SlideShare una empresa de Scribd logo

Manual Instalación y Configuración Firewall TMG

cyberleon95, profile picture
cyberleon95

Este documento describe la instalación y configuración de Microsoft Forefront Threat Management Gateway (TMG). TMG es un firewall y gateway de seguridad que ayuda a proteger las empresas de amenazas en Internet. El documento detalla los pasos para instalar TMG en una máquina virtual con tres tarjetas de red correspondientes a las redes LAN, DMZ y WAN. Luego explica cómo crear reglas de firewall para permitir el tráfico entre las diferentes redes según los requisitos.

Tecnología
1 de 97
Descargado 1095 veces
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
60
61
62
63
64
65
66
67
68
69
70
71
72
73
74
75
76
77
78
79
80
81
82
83
84
85
86
87
88
89
90
91
92
93
94
95
96
97
Instalación y Configuración Microsoft Forefront TMG GESTIÓN DE REDES DE DATOS SERVICIO NACIONAL DE APRENDIZAJE DIEGO LEON GIL BARRIENTOS Ficha: 464327
1 Microsoft Forefront Threat Management Gateway (TMG) es un completo gateway de seguridad web desarrollado por Microsoft que ayuda a proteger a las empresas de las amenazas que existen actualmente en internet. Simple manejo e interfaz con la que se puede habilitar una seguridad perimetral perfecta a prueba de ataques gracias al firewall integrado, VPN, prevención de accesos no autorizados, antivirus y anti-spam. Microsoft Forefront TMG estará también integrado en la nueva suite completa de Forefront conocida con el nombre en clave de Microsoft Forefront STIRLING. Características  Protección ante múltiples de ataques gracias a tener integrado un anti-malware y antivirus, protecciones contra ataques de nivel de red y nivel de aplicación y firewall multicapa.  Altamente seguro gracias a la protección contra ataques de usuarios web, un sistema altamente fiable y seguro para la publicación por parte de usuarios remotos y un sistema avanzado para VPN.  Gestión simplificada gracias a wizards que le ayudarán a configurarlo, un servicio centralizado y un sistema de envío de e-mails integrado.  Inspección HTTPS. Inspecciones paquetes cifrados con SSL para descubrir malware, limitar el acceso a ciertas webs a sus empleados e incluso pudiendo creando exclusiones a webs sensibles, como las bancarias, evitando la inspección por parte de Forefront TMG.
2 Topología planteada Según la topología planteada contamos con una red LAN, DMZ Y WAN; todas centralizadas por un Firewall en software en Microsoft Forefront TMG, el cual se ejecutará en Windows server 2008 R2. LAN Red: 172.16.10.0 Mascara: 255.255.0.0 Gateway: 172.16.10.1 S.O de prueba: Windows XP DMZ IP del servidor: 192.168.10.2 /24 Servicios: FTP, WEB Gateway: 192.168.10.1 S.O: Windows Server 2008 R2
3 WAN IP del servidor: 40.0.0.2 /8 Servicios: FTP, WEB Gateway: 40.0.0.1 S.O: Windows Server 2008 R2 TMG 3 tarjetas de Red: Tarjeta de Red LAN: 172.16.10.1 /16 Tarjeta de Red DMZ: 192.168.10.1 /24 Tarjeta de Red WAN: 40.0.0.1 /8 S.O: Windows Server 2008 R2 INSTALACION DE MICROSFOT FOREFRONT TMG Debemos tener una maquina Windows Server 2008 R2 previamente instalada, con unos días de licencia de prueba o con su debida activación para poder trabajar sin problemas el firewall en Windows. Usaremos el TMG 2010. NOTA: Lo podemos descargar del siguiente enlace: http://www.microsoft.com/en-us/download/details.aspx?id=14238 Comenzaremos con lo más básico del Windows Server 2008 R2 que prestará los servicios de firewall, recordemos no tiene ningún servicio, solo prestará servicio de Firewall. Comenzaremos a configurar tarjetas de red, según la topología nuestro servidor TMG tiene 3 tarjetas, procedemos entonces a configurarlas en nuestro VirtualBox.
4 Procedemos entonces a configurar nuestras tarjetas de red, de nuestro servidor TMG. Nota: Recordemos que son 3 tarjetas de red, y las direcciones IP que tendrán son los gateways de las redes LAN, DMZ Y WAN. El adaptador 2 será la WAN, lo ponemos en Adaptador puente.
5 Luego de habilitadas las 3 tarjetas de red, procedemos a iniciar nuestra maquina virtual con el Windows Server 2008 R2, para comenzar nuestra instalación del TMG. NOTA: Atención con el nombre del equipo del servidor TMG y sus días de activación de licencia, ya que pueden afectar el funcionamiento.
6 También debemos configurar una carpeta compartida, para transferir el archivo .exe desde nuestra maquina anfitriona a nuestro servidor TMG virtual. En la imagen anterior muestro la ubicación del archivo ejecutable que contiene el Microsoft Forefront TMG. Iniciamos nuestro servidor y procedemos a ver las tarjetas de red que posee, debemos comenzar a configurarlas. NOTA: Recomendado para evitar confusiones, asignarles nombre distintivos para cada segmento de la topología. Consejo identificamos fácilmente la que se encuentra en adaptador puente, porque inmediatamente identifica una red (internet de nuestra maquina anfitriona). De resto las que se encuentran en red interna se diferencian por el nombre externo del VirtualBox en cada tarjeta de red.
7 Empezamos entonces a asignar direcciones IP a las 3 tarjetas de red de nuestro servidor TMG, empezamos con la LAN… Podemos observar que esta tarjeta de red (LAN) posee el Gateway de la red 172.16.10.0/16.
8 Continuamos, configurando la tarjeta de red de la DMZ. Esta tarjeta de red, podemos observar que tiene el Gateway de la red 192.168.10.0/24.
9 Por ultimo configuramos la tarjeta de red de “internet” con el Gateway de la red simulada WAN. Tenemos en esta última tarjeta de red, el Gateway de la red 40.0.0.0/8.
10 Configuradas entonces nuestras 3 tarjetas de red con sus respectivas direcciones, procedemos entonces a copiar desde nuestra carpeta compartida el ejecutable del TMG para tenerlo en nuestro servidor. En mi caso lo copié en el escritorio, y procedemos entonces a ejecutarlo.
11 Comenzamos entonces con lo wizards de instalación… Next.. Next…
12 Una vez automáticamente se abra la interfaz mostrada anteriormente, damos en Run Preparation Tool…
13 Next… Aceptamos términos de licencia….
14 Seleccionamos los servicios y consola de administración de TMG… Esperamos que analice los pore-requisitos de nuestro servidor…
15 Una vez terminada la herramienta de preparación, le damos finalizar… NOTA: Importante seleccionar la casilla para lanzar el proceso de instalación del TMG como tal. Se abrirá esta pestaña debemos esperar a que se abra una ventana en la parte inferior…
16 Next… Aceptamos los términos de licencia y damos Next…
17 Dejamos esto por defecto, y le damos Next… Podemos escoger donde queremos que sea instalado el TMG, lo dejé por defecto…Next…
18 En esta parte vamos a seleccionar nuestra tarjeta de red INTERNA (LAN), según nuestra topología es la que posee la dirección IP 172.16.10.1/16. Añadir adaptador…
19 Ya seleccionada la tarjeta de red que se dirige a la red LAN…Next…
20 Next… Damos Instalar…
21 Esperamos que termine de instalar… Continua en la parte superior el cuadro mostrado anteriormente, debemos esperar que los componentes adicionales sean instalados y confirados, este proceso es un poco demorado…
22 Una vez terminado el proceso de los componentes adicionales, esperamos el nuevo Wizard… Verificamos la casilla seleccionada y damos finalizar…
23 Comenzamos entonces a configurar nuestras tarjetas de red, según nuestra topología son 3 LAN, DMZ Y WAN… Next…
24 Seleccionamos una red con 3 piernas: LAN, DMZ E INTERNET… Seleccionamos la tarjeta de red de la LAN…
25 En esta parte seleccionamos el adaptador conectado a la WAN…
26
27 Next… Lo dejamos con el grupo de trabajo, no lo configuraremos con un dominio…
28 Finalizar…
29 Next...
30 Se deja por defecto y damos Next…
31 Le decimos que no queremos participar en al Feedback… Finalizar…
32 Ahora le damos cerrar, y verificamos la casilla para correr el Wizard de acceso web…
33
34
35 En esta parte vamos a configurar la Cache… La configuraremos de 200MB, damos Set… y por ultimo aceptamos…
36
37 Se nos abrirá la consola de administración de Microsoft Forefront TMG, lo primero que debemos hacer es aplicar los cambios… Cuando le demos aplicar los cambios, nos abre la ventana mostrada anteriormente, le decimos guardar los cambios y reiniciar los servicios…
38 Aplicar… Ahora que está correctamente instalado el TMG, debemos comenzar a configurar los parámetros que nos exige nuestra instructora… Los 2 primero parámetros están cumplidos ya con la topología planteada inicialmente, y con el direccionamiento que tuvimos… En la imagen anterior muestro que tengo 4 máquinas virtuales, correspondientes a la topología, el TMG está instalado y listo para ser configurado…
39 La máquina virtual de la DMZ, es un Windows Server 2008 R2 igualmente que el TMG, cuenta con servicio FTP Y WEB; podemos ver externamente en el VirtualBox que posee una tarjeta de red, en red interna llamada DMZ. Nuestra máquina virtual de internet, es un Windows Server 2008 R2 con servicios FTP YWEB, la tarjeta de red, está configurada en adaptador puente como en el TMG.
40 La máquina virtual correspondiente a la LAN es un cliente con un Windows XP sencillo, la tarjeta de red es en red interna y según el nombre de las tarjetas de red de nuestro TMG, se llama “LAN”. En la imagen mostrada anteriormente, demuestro que el servidor de la DMZ con la dirección IP 192.168.10.2/24 posee los servicios DNS (local) y el Web server que incluye servicio WEB Y FTP.
41 Al encender la máquina virtual de la DMZ, y asignarle la dirección IP 192.168.10.2 y encontrarse igualmente encendido nuestro servidor TMG que posee la puerta de enlace 192.168.10.1 en la red interna llamada “DMZ”, inmediatamente identifica la red. En la imagen anterior muestro efectivamente el direccionamiento de la DMZ, con su respectiva puerta de enlace.
42 Igualmente mi servidor que simula INTERNET, que posee la dirección IP 40.0.0.2/8 es un Windows Server 2008 R2, que posee servicio DNS (local) y tiene instalado el Web Server que incluye servicio WEB Y FTP. También podemos ver que al asignarle el direccionamiento correcto y estando encendida la máquina virtual de nuestro servidor TMG, vemos que identifica la red. NOTA: Recordemos que la tarjeta de red de nuestro servidor TMG de la WAN y la tarjeta de red de esta máquina que simula internet deben estar ambas en adaptador puente.
43 Por ultimo nuestra máquina virtual que va ser un cliente de Windows XP, perteneciente a la red interna llamada “LAN” debe tener una dirección IP en la red 172.16.10.0/16.
44 Ahora procedemos a configurar las reglas de acceso y diversas configuraciones necesarias en nuestro servidor TMG para cumplir los requisitos del instructor. Buscamos en nuestro servidor TMG, la consola de administración de Microsoft Forefront TMG… Por gusto personal y pruebas anticipadas, me gusta establecer un PING desde la LAN, DMZ Y WAN al servidor TMG, para identificar que si hay funcionalidad de nuestro servidor y están bien configuradas las tarjetas de red. Procedemos entonces en el menú de “Firewall Policy” a crear una nueva regla de acceso…
45 Colocamos el nombre a la regla de acceso como deseemos… Le decimos que vamos a permitir tráfico…
46 Vamos a especificar que protocolos vamos a permitir, para ello le damos “ADD…” Debemos buscar el protocolo ICMP, pero Windows Server nos lo facilita llamándolo “ping”…
47 Ya seleccionado el protocolo, damos clic en Next… Ahora debemos especificar desde que origen viene el tráfico, vamos a especificarle que el origen son nuestras redes LAN, DMZ Y WAN.
48 En este caso lo especificaré solo con la DMZ, para hacer una prueba sencilla… Una vez seleccionadas nuestras redes de origen, damos clic en Next para especificar quien será nuestro destino. Recordemos la sintaxis del Wizard: Estamos permitiendo trafico PING desde la zona perimetral hacia…
49 Ahora debemos escoger nuestra red destino… En este caso es el local host, la configuración de dicha regla de acceso la estamos haciendo desde nuestro servidor TMG, por lo tanto el local host es el Servidor TMG.
50 Seleccionamos todos los usuarios…Next… Finalizamos la creación de la regla de acceso…
51 Solo nos resta aplicar los cambios, para comenzar a hacer pruebas de nuestra regla creada y aplicada. La regla está creada y la sintaxis es la siguiente… Estamos permitiendo de la regla de acceso llamada “PING1”, estamos permitiendo el tráfico “PING” desde la zona perimetral (DMZ) al local host que es nuestro servidor TMG.
52 Procedemos entonces a hacer pruebas, desde nuestra DMZ vamos a hacerle ping a nuestra puerta de enlace 192.168.10.1 que es la dirección IP configurada en el servidor TMG. NOTA: Recordemos que el TMG implícitamente está negando todo tráfico. Vemos que el PING es exitoso.
53 Permitir el acceso a los servicios de la DMZ desde la LAN sin hacer NAT. Empezamos mirando que reglas trae nuestro servidor TMG implícitamente de NAT. Podemos observar que trae 2 reglas implícitas de NAT; básicamente desde la red interna y de la DMZ hacia internet se genera un NAT por defecto, pero para la regla que estamos configurando que es de la LAN a la DMZ no haya un NAT, no tenemos problema alguno. Procedemos entonces a crear una nueva regla de acceso, para permitir el tráfico.
54 Por orden y facilitar posteriormente la administración de nuestro servidor TMG, nombramos las reglas con distintivos de origen y destino. Vamos a permitir el tráfico…
55 Vamos a especificar qué tipo de tráfico vamos a permitir, en nuestra DMZ tenemos servicios de FTP Y WEB, por lo tanto habilitamos los protocolos mostrados anteriormente.
56 Especificamos que nuestra red origen es nuestra red LAN, en contexto del TMG es la red INTERNAL… La red destino es la DMZ, en contexto del TMG es “Perimeter”…
57 Next… Finalizamos la creación de la regla…
58 Como vemos la regla fue creada, no nos olvidemos de aplicar los cambios… Procedemos a hacer pruebas entonces desde nuestra LAN a los servicios FTP Y WEB de nuestra DMZ…
59 Como en nuestro servidor de la DMZ, poseemos servicio FTP, por requisito de nuestra instructora nos pide que accedamos también a nuestro servidor FTP de forma ACTIVA, por lo tanto debemos hacer lo siguiente en el TMG… En System > FTP Access Filer, damos clic derecho > propiedades… Seleccionamos permitir acceso a FTP activo…
60 También debemos hacer una última modificación a la regla que creamos anteriormente permitiendo el tráfico desde la LAN a la DMZ… Damos clic derecho y seleccionamos “Configure FTP”… Le quitamos la selección a la casilla que dice solo lectura…
61 Hacemos pruebas accediendo a nuestro servidor de forma ACTIVA… Sabemos que está funcionando bien, cuando logramos listar el contenido el FTP. Ahora vamos probar desde nuestra DMZ que no se esté realizando una traducción de direcciones NAT… Abrimos el analizador de tráfico Wireshark en el servidor de la DMZ…
62 Podemos ver que aparece muy clara la dirección origen de nuestro cliente de Windows XP perteneciente a la red LAN. Permitir el acceso a los servicios de internet desde LAN haciendo NAT Empezamos mirando que reglas de NAT tenemos implícitamente en nuestro servidor TMG, podemos ver que ya hay una por defecto desde la red INTERNAL (LAN) hacia la red EXTERNAL (WAN) con la IP por defecto que sería 40.0.0.1.
63 Ya que tenemos claro que se está ejecutando un NAT, procedemos entonces a habilitar el acceso a los servicios de internet desde nuestra red LAN.
64 Vamos a permitir el tráfico… Nuestro servidor de internet con dirección IP 40.0.0.2 posee los servicios FTP y WEB, por lo tanto seleccionamos dichos protocolos…
65 La red origen es la red INTERNAL (LAN)…
66 La red destino es la EXTERNAL (WAN)… Todos los usuarios, Next…
67 Finalizamos… Se creará entonces la nueva regla de acceso, solos nos falta aplicar los cambios y proceder a hacer pruebas a los servicios de internet desde la LAN. El acceso a la página WEB es exitoso…
68 Igualmente al FTP de forma pasiva… Vamos a habilitar el FTP activo, damos clic derecho a la regla de la LAN a INTERNET, y le damos “Configure FTP”…
69 Aplicamos los cambios, y procedemos entonces a hacer pruebas desde el cliente LAN al servidor FTP activo de internet…
70 Mostramos de nuevo la regla de NAT… Vamos a nuestro servidor que es INTERNET, y ejecutamos el analizador de trafico Wireshark para demostrar que la red origen está siendo nateada…
71 Desde la LAN probamos accediendo al FTP de forma pasiva de internet. NOTA: Recordemos que nuestro cliente LAN posee la dirección 172.16.10.2. Podemos ver que la dirección origen es 40.0.0.1 y es la interfaz del TMG según la regla por donde sale el tráfico hacia internet.
72 Hacer PAT a los servicios de la DMZ para que sean vistos desde internet usando dirección pública fija Vamos entonces a proceder a publicar nuestro servidor que se encuentra en la DMZ con la dirección IP 192.168.10.2 y la idea es que sea visto desde internet (40.0.0.2) con una dirección IP en el mismo segmento, como la única IP disponible según la topología sería la 40.0.0.1. Empezaremos publicando el servidor WEB de la DMZ…
73
74 Especificamos la dirección IP de nuestro servidor de la DMZ…
75 Dejamos por defecto, Next…
76 Procedemos entonces a crear una configuración para la escucha web…
77 Seleccionamos que va escuchar las solicitudes que vengan de la red EXTERNAL.
78 Sin autenticación…
79 Finalizamos el asistente de creación del objeto de escucha web… Podemos observar que asigna la configuración del web-listener creado anteriormente.
80
81 Finalizamos la configuración de la publicación del servidor web… Aplicamos los cambios…
82 Vamos a hacer una configuración adicional respecto a la autenticación, para evitar un problema del TMG… Vamos a propiedades de la regla creada anteriormente donde publicamos el servidor web de la DMZ… Vamos al listener, y le damos a propiedades, para especificar algo en la autenticación….
83 En autenticación, anteriormente especificamos que sin autenticación; pero debemos hacer una configuración avanzada…
84 Aplicamos los cambios y guardamos… Procedemos a hacer pruebas desde la máquina virtual que simula internet, accediendo al servidor web publicado de la DMZ, que debe tener una dirección IP pública (40.0.0.1). Vemos que fue exitoso el acceso desde “internet” al servidor web publicado en la DMZ… Ahora procedemos a publicar nuestro otro servicio (FTP), lo hacemos de la siguiente forma…
85 Especificamos la dirección IP del servidor FTP de la DMZ…
86 Seleccionamos el protocolo FTP… Las solicitudes las aceptará desde internet…
87 Finalizamos… Aplicamos los cambios y procedemos a hacer pruebas…
88 Probamos acceso al servidor FTP activo publicado… Vemos que es exitoso.
89 Permitir NAT desde la DMZ para salir a los servicios de internet. Procedemos a mirar las configuraciones de NAT por defecto de nuestro servidor TMG… Podemos ver que hay un NAT por defecto desde la zona perimetral (DMZ) hacia internet (WAN), por lo tanto no tenemos que crearlo. Según las versiones del TMG trae esta regla de NAT implícita, si no la tenemos la creamos… La regla de NAT la trae implícita pero debemos crear regla de acceso desde la DMZ hacia internet…
90 Vamos a permitir tráfico…
91 Bien sabemos que son 2 servicios: FTP y WEB.
92 La red origen es Internet, porque vamos a permitir acceso a ellos… Red de destino colocamos nuestra DMZ, que es la que nos falta que tenga conectividad…
93 Finalizamos…
94 Aplicamos los cambios y procedemos a hacer pruebas, desde la DMZ a internet y debe estar haciendo una traducción de direcciones NAT.
95 Podemos ver que la dirección IP origen, analizando el trafico entrante a internet es la dirección IP 40.0.0.1, por lo tanto si se está ejecutando un NAT desde la DMZ hacia internet.
96 WEBGRAFIA http://www.isaserver.org/articles-tutorials/configuration-general/Forefront-TMG- 2010-Policy-Configuration-Management-Tips-Tricks.html http://araihan.wordpress.com/2010/03/08/forefront-tmg-2010-how-to-install-and- configure-forefront-tmg-2010-step-by-step/ http://seguridadit.blogspot.com/2010/02/instalacion-paso-paso-de-forefront- tmg.html http://freyes.svetlian.com/TMG/TMG.htm http://blogs.itpro.es/jimcesse/2011/10/24/tipos-de-reglas-en-isa-server-forefront- tmg/ http://technet.microsoft.com/es-co/library/dd897018.aspx http://www.youtube.com/watch?v=iEg_wsfxqrw

Más contenido relacionado

PDF
Aruba instant iap setup rev3
Aruba, a Hewlett Packard Enterprise company
 
PPTX
FreeSBC How To - Advanced SIP Routing
Alan Percy
 
PPS
Linux05 DHCP Server
Jainul Musani
 
PPTX
EMEA Airheads - AP Discovery Logic and AP Deployment
Aruba, a Hewlett Packard Enterprise company
 
PPT
Conceptos y Protocolos de Enrutamiento (Capitulo 9)
Cristiān Villegās
 
PPTX
Introduction to sandvine dpi
Mohammed Abdallah
 
PDF
Palo Alto Virtual firewall deployment guide on OpenStack Cloud
Ajeet Singh
 
PPTX
CCNA3 Verson6 Chapter4
Chaing Ravuth
 
Aruba instant iap setup rev3
Aruba, a Hewlett Packard Enterprise company
 
FreeSBC How To - Advanced SIP Routing
Alan Percy
 
Linux05 DHCP Server
Jainul Musani
 
EMEA Airheads - AP Discovery Logic and AP Deployment
Aruba, a Hewlett Packard Enterprise company
 
Conceptos y Protocolos de Enrutamiento (Capitulo 9)
Cristiān Villegās
 
Introduction to sandvine dpi
Mohammed Abdallah
 
Palo Alto Virtual firewall deployment guide on OpenStack Cloud
Ajeet Singh
 
CCNA3 Verson6 Chapter4
Chaing Ravuth
 

La actualidad más candente (20)

PDF
Tunnel vs VPN on Mikrotik
GLC Networks
 
PDF
Mikrotik firewall filter
Achmad Mardiansyah
 
PPTX
Network Troubleshooting - Part 2
SolarWinds
 
PPTX
Great new Domino features since 9.0.1FP8 - 2023 Ed.pptx
Darren Duke
 
PDF
IEEE MACSec and NSA ESS: How to Protect Your WAN, LAN and Cloud
Priyanka Aash
 
PDF
Wireless LAN Security, Policy, and Deployment Best Practices
Cisco Mobility
 
PPT
CCNA Router Startup and Configuration
Dsunte Wilson
 
PPTX
EMEA Airheads ClearPass guest with MAC- caching using Time Source
Aruba, a Hewlett Packard Enterprise company
 
PDF
Servidor de Correo Postfix/Dovecot
Javier Martin Rivero
 
PPTX
Troubleshooting Your Network.pptx
ssusere578aa
 
PPTX
Network address translation
Karppinen Ngoc Anh
 
PDF
Domain Name System (DNS)
Venkatesh Jambulingam
 
PDF
IIJmio meeting 17 DSDSと着信シーケンスについて
techlog (Internet Initiative Japan Inc.)
 
PDF
EMEA Airheads- Aruba Instant AP- VPN Troubleshooting
Aruba, a Hewlett Packard Enterprise company
 
PDF
What SD-WAN Means for Enterprise
Toshal Dudhwala
 
PDF
Advanced enterprise campus design. routed access (2015 milan)
slide_site
 
PDF
Metrics, Risk Management & DLP
Robert Kloots
 
PDF
01 ip oc180 e1_1 zxr10 m6000_t8000 basic operation (v1.00.20)
legasu zemene
 
PPTX
Best Practice TLS for IBM Domino
Jared Roberts
 
PPTX
ACI Hands-on Lab
Cisco Canada
 
Tunnel vs VPN on Mikrotik
GLC Networks
 
Mikrotik firewall filter
Achmad Mardiansyah
 
Network Troubleshooting - Part 2
SolarWinds
 
Great new Domino features since 9.0.1FP8 - 2023 Ed.pptx
Darren Duke
 
IEEE MACSec and NSA ESS: How to Protect Your WAN, LAN and Cloud
Priyanka Aash
 
Wireless LAN Security, Policy, and Deployment Best Practices
Cisco Mobility
 
CCNA Router Startup and Configuration
Dsunte Wilson
 
EMEA Airheads ClearPass guest with MAC- caching using Time Source
Aruba, a Hewlett Packard Enterprise company
 
Servidor de Correo Postfix/Dovecot
Javier Martin Rivero
 
Troubleshooting Your Network.pptx
ssusere578aa
 
Network address translation
Karppinen Ngoc Anh
 
Domain Name System (DNS)
Venkatesh Jambulingam
 
IIJmio meeting 17 DSDSと着信シーケンスについて
techlog (Internet Initiative Japan Inc.)
 
EMEA Airheads- Aruba Instant AP- VPN Troubleshooting
Aruba, a Hewlett Packard Enterprise company
 
What SD-WAN Means for Enterprise
Toshal Dudhwala
 
Advanced enterprise campus design. routed access (2015 milan)
slide_site
 
Metrics, Risk Management & DLP
Robert Kloots
 
01 ip oc180 e1_1 zxr10 m6000_t8000 basic operation (v1.00.20)
legasu zemene
 
Best Practice TLS for IBM Domino
Jared Roberts
 
ACI Hands-on Lab
Cisco Canada
 
Publicidad

Similar a Manual Instalación y Configuración Firewall TMG (20)

DOCX
Manual de instalación de EXCHANGE y TMG 2010
Hugo Rios
 
DOCX
Manual de instalación de EXCHANGE y TMG 2010
Hugo Rios
 
DOCX
Manual de instalación de Exchangey tmg 2010
Hugo Rios
 
PDF
Instalación y Configuración Firewall ENDIAN
cyberleon95
 
PDF
Instalación y configuración de Firewall ENDIAN
Yimy Pérez Medina
 
DOCX
Microsoft forefront threat management gateway 2010
Luis Maza
 
PDF
Configuración VPN de Acceso remoto con TMG
cyberleon95
 
PDF
Configuración VPN De Acceso Remoto en TMG
Yimy Pérez Medina
 
PPTX
Configurar modem
Manuel Cota
 
PDF
Router Tp-Link TL-WR841N-TL-WR841ND
JAV_999
 
DOCX
Forefront tmg
gchv
 
DOCX
Informe instalacion tmg
gchv
 
DOCX
Requisitos jin
Gina Rodriguez Cando
 
PDF
M0n0wall
Hernan Hidalgo
 
PDF
Manual configuracion iiee adsl-ip
Luis Alberto Noa Chacchi
 
PDF
Vlan sobre un interface
Mrc Edward Acevedo
 
PDF
Configuración de mikro tik para thundercache
Marco Arias
 
PDF
Manual rompe 2014 3bumen
Orija Zenemij
 
PPTX
Instalación Firewall Checkpoint R70
symple9
 
PDF
M0n0wall
sisi123456
 
Manual de instalación de EXCHANGE y TMG 2010
Hugo Rios
 
Manual de instalación de EXCHANGE y TMG 2010
Hugo Rios
 
Manual de instalación de Exchangey tmg 2010
Hugo Rios
 
Instalación y Configuración Firewall ENDIAN
cyberleon95
 
Instalación y configuración de Firewall ENDIAN
Yimy Pérez Medina
 
Microsoft forefront threat management gateway 2010
Luis Maza
 
Configuración VPN de Acceso remoto con TMG
cyberleon95
 
Configuración VPN De Acceso Remoto en TMG
Yimy Pérez Medina
 
Configurar modem
Manuel Cota
 
Router Tp-Link TL-WR841N-TL-WR841ND
JAV_999
 
Forefront tmg
gchv
 
Informe instalacion tmg
gchv
 
Requisitos jin
Gina Rodriguez Cando
 
M0n0wall
Hernan Hidalgo
 
Manual configuracion iiee adsl-ip
Luis Alberto Noa Chacchi
 
Vlan sobre un interface
Mrc Edward Acevedo
 
Configuración de mikro tik para thundercache
Marco Arias
 
Manual rompe 2014 3bumen
Orija Zenemij
 
Instalación Firewall Checkpoint R70
symple9
 
M0n0wall
sisi123456
 
Publicidad

Más de cyberleon95 (20)

PDF
Configuración VPN Sitio a Sitio en ENDIAN
cyberleon95
 
PDF
Documentación ACL - Firewall ASA
cyberleon95
 
PDF
Plan de continuidad
cyberleon95
 
PDF
Análisis de riesgos y vulnerabilidades
cyberleon95
 
PDF
Manual PXE - RHEL 6.2
cyberleon95
 
PDF
Manual WDS - Windows Server 2008 R2
cyberleon95
 
PDF
Manual WSUS - Windows Server 2008 R2
cyberleon95
 
PDF
Manual Monitoreo de Servidores
cyberleon95
 
PDF
Teoría Plataformas de Monitoreo
cyberleon95
 
PDF
Autodiagnostico 5 Trimestre
cyberleon95
 
PDF
Integración LDAP + SAMBA
cyberleon95
 
PDF
Actividad Topologías VoIP
cyberleon95
 
PDF
Conceptos VoIP
cyberleon95
 
PDF
Integración GNS3 - VirtualBox - Wireshark
cyberleon95
 
PDF
Instalación y Configuración SSH CentOS 6.5 / RHEL 6.2
cyberleon95
 
PDF
Centos 6.5 Servidor Básico
cyberleon95
 
PDF
Configuración DHCP - NAT
cyberleon95
 
PDF
Trabajo IOS de CISCO
cyberleon95
 
PDF
Herramientas Administrativas de Red
cyberleon95
 
PDF
Correo Red Hat Enterprise Linux 6.2
cyberleon95
 
Configuración VPN Sitio a Sitio en ENDIAN
cyberleon95
 
Documentación ACL - Firewall ASA
cyberleon95
 
Plan de continuidad
cyberleon95
 
Análisis de riesgos y vulnerabilidades
cyberleon95
 
Manual PXE - RHEL 6.2
cyberleon95
 
Manual WDS - Windows Server 2008 R2
cyberleon95
 
Manual WSUS - Windows Server 2008 R2
cyberleon95
 
Manual Monitoreo de Servidores
cyberleon95
 
Teoría Plataformas de Monitoreo
cyberleon95
 
Autodiagnostico 5 Trimestre
cyberleon95
 
Integración LDAP + SAMBA
cyberleon95
 
Actividad Topologías VoIP
cyberleon95
 
Conceptos VoIP
cyberleon95
 
Integración GNS3 - VirtualBox - Wireshark
cyberleon95
 
Instalación y Configuración SSH CentOS 6.5 / RHEL 6.2
cyberleon95
 
Centos 6.5 Servidor Básico
cyberleon95
 
Configuración DHCP - NAT
cyberleon95
 
Trabajo IOS de CISCO
cyberleon95
 
Herramientas Administrativas de Red
cyberleon95
 
Correo Red Hat Enterprise Linux 6.2
cyberleon95
 

Último (20)

PPTX
ccna: redes de nat ipv4 stharlling cande
StharllingCandelario
 
DOCX
TRABAJO GRUPAL (5) (1).docxjesjssjsjjskss
edeplucasmolina
 
DOCX
Guía 5. Test de orientación Vocacional 2.docx
andresssespinosa59
 
PDF
Tips de Seguridad para evitar clonar sus claves del portal bancario.pdf
saberpublicidadsas
 
PPTX
CLAASIFICACIÓN DE LOS ROBOTS POR UTILIDAD
isabelfiallos99
 
DOCX
Trabajo grupal.docxjsjsjsksjsjsskksjsjsjsj
edeplucasmolina
 
PDF
ADMINISTRACIÓN DE ARCHIVOS - TICS (SENA).pdf
whomarxxdemie
 
PDF
TRABAJO DE TECNOLOGIA.pdf...........................
IsabellaReyesPerea
 
PPTX
Sesion 1 de microsoft power point - Clase 1
carlosmedina2810
 
PPTX
Power Point Nicolás Carrasco (disertación Roblox).pptx
JoseCarrasco807534
 
PPTX
Propuesta BKP servidores con Acronis1.pptx
CarlosAndresuztes
 
PPTX
modulo seguimiento 1 para iniciantes del
UcielnicolasMola
 
PPTX
historia_web de la creacion de un navegador_presentacion.pptx
Carlos704324
 
PPTX
la-historia-de-la-medicina Edna Silva.pptx
adairrojas2
 
PDF
0007_PPT_DefinicionesDeDataMining_201_v1-0.pdf
ssuserfa7846
 
PPTX
Diapositivas Borrador Rocha Jauregui David Paolo (3).pptx
DavidPaoloRochaJaure
 
PPTX
Mecanismos-de-Propagacion de ondas electromagneticas
FernandoAjila
 
PPTX
unidad 3 tecnología 8° básico: planificación y elaboración de un objeto
franh1998
 
PDF
programa-de-estudios-2011-guc3ada-para-el-maestro-secundarias-tecnicas-tecnol...
ParaVerPeliculas
 
PDF
Distribucion de frecuencia exel (1).pdf
samuelcuaran
 
ccna: redes de nat ipv4 stharlling cande
StharllingCandelario
 
TRABAJO GRUPAL (5) (1).docxjesjssjsjjskss
edeplucasmolina
 
Guía 5. Test de orientación Vocacional 2.docx
andresssespinosa59
 
Tips de Seguridad para evitar clonar sus claves del portal bancario.pdf
saberpublicidadsas
 
CLAASIFICACIÓN DE LOS ROBOTS POR UTILIDAD
isabelfiallos99
 
Trabajo grupal.docxjsjsjsksjsjsskksjsjsjsj
edeplucasmolina
 
ADMINISTRACIÓN DE ARCHIVOS - TICS (SENA).pdf
whomarxxdemie
 
TRABAJO DE TECNOLOGIA.pdf...........................
IsabellaReyesPerea
 
Sesion 1 de microsoft power point - Clase 1
carlosmedina2810
 
Power Point Nicolás Carrasco (disertación Roblox).pptx
JoseCarrasco807534
 
Propuesta BKP servidores con Acronis1.pptx
CarlosAndresuztes
 
modulo seguimiento 1 para iniciantes del
UcielnicolasMola
 
historia_web de la creacion de un navegador_presentacion.pptx
Carlos704324
 
la-historia-de-la-medicina Edna Silva.pptx
adairrojas2
 
0007_PPT_DefinicionesDeDataMining_201_v1-0.pdf
ssuserfa7846
 
Diapositivas Borrador Rocha Jauregui David Paolo (3).pptx
DavidPaoloRochaJaure
 
Mecanismos-de-Propagacion de ondas electromagneticas
FernandoAjila
 
unidad 3 tecnología 8° básico: planificación y elaboración de un objeto
franh1998
 
programa-de-estudios-2011-guc3ada-para-el-maestro-secundarias-tecnicas-tecnol...
ParaVerPeliculas
 
Distribucion de frecuencia exel (1).pdf
samuelcuaran
 

Manual Instalación y Configuración Firewall TMG

  • 1. Instalación y Configuración Microsoft Forefront TMG GESTIÓN DE REDES DE DATOS SERVICIO NACIONAL DE APRENDIZAJE DIEGO LEON GIL BARRIENTOS Ficha: 464327
  • 2. 1 Microsoft Forefront Threat Management Gateway (TMG) es un completo gateway de seguridad web desarrollado por Microsoft que ayuda a proteger a las empresas de las amenazas que existen actualmente en internet. Simple manejo e interfaz con la que se puede habilitar una seguridad perimetral perfecta a prueba de ataques gracias al firewall integrado, VPN, prevención de accesos no autorizados, antivirus y anti-spam. Microsoft Forefront TMG estará también integrado en la nueva suite completa de Forefront conocida con el nombre en clave de Microsoft Forefront STIRLING. Características  Protección ante múltiples de ataques gracias a tener integrado un anti-malware y antivirus, protecciones contra ataques de nivel de red y nivel de aplicación y firewall multicapa.  Altamente seguro gracias a la protección contra ataques de usuarios web, un sistema altamente fiable y seguro para la publicación por parte de usuarios remotos y un sistema avanzado para VPN.  Gestión simplificada gracias a wizards que le ayudarán a configurarlo, un servicio centralizado y un sistema de envío de e-mails integrado.  Inspección HTTPS. Inspecciones paquetes cifrados con SSL para descubrir malware, limitar el acceso a ciertas webs a sus empleados e incluso pudiendo creando exclusiones a webs sensibles, como las bancarias, evitando la inspección por parte de Forefront TMG.
  • 3. 2 Topología planteada Según la topología planteada contamos con una red LAN, DMZ Y WAN; todas centralizadas por un Firewall en software en Microsoft Forefront TMG, el cual se ejecutará en Windows server 2008 R2. LAN Red: 172.16.10.0 Mascara: 255.255.0.0 Gateway: 172.16.10.1 S.O de prueba: Windows XP DMZ IP del servidor: 192.168.10.2 /24 Servicios: FTP, WEB Gateway: 192.168.10.1 S.O: Windows Server 2008 R2
  • 4. 3 WAN IP del servidor: 40.0.0.2 /8 Servicios: FTP, WEB Gateway: 40.0.0.1 S.O: Windows Server 2008 R2 TMG 3 tarjetas de Red: Tarjeta de Red LAN: 172.16.10.1 /16 Tarjeta de Red DMZ: 192.168.10.1 /24 Tarjeta de Red WAN: 40.0.0.1 /8 S.O: Windows Server 2008 R2 INSTALACION DE MICROSFOT FOREFRONT TMG Debemos tener una maquina Windows Server 2008 R2 previamente instalada, con unos días de licencia de prueba o con su debida activación para poder trabajar sin problemas el firewall en Windows. Usaremos el TMG 2010. NOTA: Lo podemos descargar del siguiente enlace: http://www.microsoft.com/en-us/download/details.aspx?id=14238 Comenzaremos con lo más básico del Windows Server 2008 R2 que prestará los servicios de firewall, recordemos no tiene ningún servicio, solo prestará servicio de Firewall. Comenzaremos a configurar tarjetas de red, según la topología nuestro servidor TMG tiene 3 tarjetas, procedemos entonces a configurarlas en nuestro VirtualBox.
  • 5. 4 Procedemos entonces a configurar nuestras tarjetas de red, de nuestro servidor TMG. Nota: Recordemos que son 3 tarjetas de red, y las direcciones IP que tendrán son los gateways de las redes LAN, DMZ Y WAN. El adaptador 2 será la WAN, lo ponemos en Adaptador puente.
  • 6. 5 Luego de habilitadas las 3 tarjetas de red, procedemos a iniciar nuestra maquina virtual con el Windows Server 2008 R2, para comenzar nuestra instalación del TMG. NOTA: Atención con el nombre del equipo del servidor TMG y sus días de activación de licencia, ya que pueden afectar el funcionamiento.
  • 7. 6 También debemos configurar una carpeta compartida, para transferir el archivo .exe desde nuestra maquina anfitriona a nuestro servidor TMG virtual. En la imagen anterior muestro la ubicación del archivo ejecutable que contiene el Microsoft Forefront TMG. Iniciamos nuestro servidor y procedemos a ver las tarjetas de red que posee, debemos comenzar a configurarlas. NOTA: Recomendado para evitar confusiones, asignarles nombre distintivos para cada segmento de la topología. Consejo identificamos fácilmente la que se encuentra en adaptador puente, porque inmediatamente identifica una red (internet de nuestra maquina anfitriona). De resto las que se encuentran en red interna se diferencian por el nombre externo del VirtualBox en cada tarjeta de red.
  • 8. 7 Empezamos entonces a asignar direcciones IP a las 3 tarjetas de red de nuestro servidor TMG, empezamos con la LAN… Podemos observar que esta tarjeta de red (LAN) posee el Gateway de la red 172.16.10.0/16.
  • 9. 8 Continuamos, configurando la tarjeta de red de la DMZ. Esta tarjeta de red, podemos observar que tiene el Gateway de la red 192.168.10.0/24.
  • 10. 9 Por ultimo configuramos la tarjeta de red de “internet” con el Gateway de la red simulada WAN. Tenemos en esta última tarjeta de red, el Gateway de la red 40.0.0.0/8.
  • 11. 10 Configuradas entonces nuestras 3 tarjetas de red con sus respectivas direcciones, procedemos entonces a copiar desde nuestra carpeta compartida el ejecutable del TMG para tenerlo en nuestro servidor. En mi caso lo copié en el escritorio, y procedemos entonces a ejecutarlo.
  • 12. 11 Comenzamos entonces con lo wizards de instalación… Next.. Next…
  • 13. 12 Una vez automáticamente se abra la interfaz mostrada anteriormente, damos en Run Preparation Tool…
  • 14. 13 Next… Aceptamos términos de licencia….
  • 15. 14 Seleccionamos los servicios y consola de administración de TMG… Esperamos que analice los pore-requisitos de nuestro servidor…
  • 16. 15 Una vez terminada la herramienta de preparación, le damos finalizar… NOTA: Importante seleccionar la casilla para lanzar el proceso de instalación del TMG como tal. Se abrirá esta pestaña debemos esperar a que se abra una ventana en la parte inferior…
  • 17. 16 Next… Aceptamos los términos de licencia y damos Next…
  • 18. 17 Dejamos esto por defecto, y le damos Next… Podemos escoger donde queremos que sea instalado el TMG, lo dejé por defecto…Next…
  • 19. 18 En esta parte vamos a seleccionar nuestra tarjeta de red INTERNA (LAN), según nuestra topología es la que posee la dirección IP 172.16.10.1/16. Añadir adaptador…
  • 20. 19 Ya seleccionada la tarjeta de red que se dirige a la red LAN…Next…
  • 21. 20 Next… Damos Instalar…
  • 22. 21 Esperamos que termine de instalar… Continua en la parte superior el cuadro mostrado anteriormente, debemos esperar que los componentes adicionales sean instalados y confirados, este proceso es un poco demorado…
  • 23. 22 Una vez terminado el proceso de los componentes adicionales, esperamos el nuevo Wizard… Verificamos la casilla seleccionada y damos finalizar…
  • 24. 23 Comenzamos entonces a configurar nuestras tarjetas de red, según nuestra topología son 3 LAN, DMZ Y WAN… Next…
  • 25. 24 Seleccionamos una red con 3 piernas: LAN, DMZ E INTERNET… Seleccionamos la tarjeta de red de la LAN…
  • 26. 25 En esta parte seleccionamos el adaptador conectado a la WAN…
  • 27. 26
  • 28. 27 Next… Lo dejamos con el grupo de trabajo, no lo configuraremos con un dominio…
  • 31. 30 Se deja por defecto y damos Next…
  • 32. 31 Le decimos que no queremos participar en al Feedback… Finalizar…
  • 33. 32 Ahora le damos cerrar, y verificamos la casilla para correr el Wizard de acceso web…
  • 34. 33
  • 35. 34
  • 36. 35 En esta parte vamos a configurar la Cache… La configuraremos de 200MB, damos Set… y por ultimo aceptamos…
  • 37. 36
  • 38. 37 Se nos abrirá la consola de administración de Microsoft Forefront TMG, lo primero que debemos hacer es aplicar los cambios… Cuando le demos aplicar los cambios, nos abre la ventana mostrada anteriormente, le decimos guardar los cambios y reiniciar los servicios…
  • 39. 38 Aplicar… Ahora que está correctamente instalado el TMG, debemos comenzar a configurar los parámetros que nos exige nuestra instructora… Los 2 primero parámetros están cumplidos ya con la topología planteada inicialmente, y con el direccionamiento que tuvimos… En la imagen anterior muestro que tengo 4 máquinas virtuales, correspondientes a la topología, el TMG está instalado y listo para ser configurado…
  • 40. 39 La máquina virtual de la DMZ, es un Windows Server 2008 R2 igualmente que el TMG, cuenta con servicio FTP Y WEB; podemos ver externamente en el VirtualBox que posee una tarjeta de red, en red interna llamada DMZ. Nuestra máquina virtual de internet, es un Windows Server 2008 R2 con servicios FTP YWEB, la tarjeta de red, está configurada en adaptador puente como en el TMG.
  • 41. 40 La máquina virtual correspondiente a la LAN es un cliente con un Windows XP sencillo, la tarjeta de red es en red interna y según el nombre de las tarjetas de red de nuestro TMG, se llama “LAN”. En la imagen mostrada anteriormente, demuestro que el servidor de la DMZ con la dirección IP 192.168.10.2/24 posee los servicios DNS (local) y el Web server que incluye servicio WEB Y FTP.
  • 42. 41 Al encender la máquina virtual de la DMZ, y asignarle la dirección IP 192.168.10.2 y encontrarse igualmente encendido nuestro servidor TMG que posee la puerta de enlace 192.168.10.1 en la red interna llamada “DMZ”, inmediatamente identifica la red. En la imagen anterior muestro efectivamente el direccionamiento de la DMZ, con su respectiva puerta de enlace.
  • 43. 42 Igualmente mi servidor que simula INTERNET, que posee la dirección IP 40.0.0.2/8 es un Windows Server 2008 R2, que posee servicio DNS (local) y tiene instalado el Web Server que incluye servicio WEB Y FTP. También podemos ver que al asignarle el direccionamiento correcto y estando encendida la máquina virtual de nuestro servidor TMG, vemos que identifica la red. NOTA: Recordemos que la tarjeta de red de nuestro servidor TMG de la WAN y la tarjeta de red de esta máquina que simula internet deben estar ambas en adaptador puente.
  • 44. 43 Por ultimo nuestra máquina virtual que va ser un cliente de Windows XP, perteneciente a la red interna llamada “LAN” debe tener una dirección IP en la red 172.16.10.0/16.
  • 45. 44 Ahora procedemos a configurar las reglas de acceso y diversas configuraciones necesarias en nuestro servidor TMG para cumplir los requisitos del instructor. Buscamos en nuestro servidor TMG, la consola de administración de Microsoft Forefront TMG… Por gusto personal y pruebas anticipadas, me gusta establecer un PING desde la LAN, DMZ Y WAN al servidor TMG, para identificar que si hay funcionalidad de nuestro servidor y están bien configuradas las tarjetas de red. Procedemos entonces en el menú de “Firewall Policy” a crear una nueva regla de acceso…
  • 46. 45 Colocamos el nombre a la regla de acceso como deseemos… Le decimos que vamos a permitir tráfico…
  • 47. 46 Vamos a especificar que protocolos vamos a permitir, para ello le damos “ADD…” Debemos buscar el protocolo ICMP, pero Windows Server nos lo facilita llamándolo “ping”…
  • 48. 47 Ya seleccionado el protocolo, damos clic en Next… Ahora debemos especificar desde que origen viene el tráfico, vamos a especificarle que el origen son nuestras redes LAN, DMZ Y WAN.
  • 49. 48 En este caso lo especificaré solo con la DMZ, para hacer una prueba sencilla… Una vez seleccionadas nuestras redes de origen, damos clic en Next para especificar quien será nuestro destino. Recordemos la sintaxis del Wizard: Estamos permitiendo trafico PING desde la zona perimetral hacia…
  • 50. 49 Ahora debemos escoger nuestra red destino… En este caso es el local host, la configuración de dicha regla de acceso la estamos haciendo desde nuestro servidor TMG, por lo tanto el local host es el Servidor TMG.
  • 51. 50 Seleccionamos todos los usuarios…Next… Finalizamos la creación de la regla de acceso…
  • 52. 51 Solo nos resta aplicar los cambios, para comenzar a hacer pruebas de nuestra regla creada y aplicada. La regla está creada y la sintaxis es la siguiente… Estamos permitiendo de la regla de acceso llamada “PING1”, estamos permitiendo el tráfico “PING” desde la zona perimetral (DMZ) al local host que es nuestro servidor TMG.
  • 53. 52 Procedemos entonces a hacer pruebas, desde nuestra DMZ vamos a hacerle ping a nuestra puerta de enlace 192.168.10.1 que es la dirección IP configurada en el servidor TMG. NOTA: Recordemos que el TMG implícitamente está negando todo tráfico. Vemos que el PING es exitoso.
  • 54. 53 Permitir el acceso a los servicios de la DMZ desde la LAN sin hacer NAT. Empezamos mirando que reglas trae nuestro servidor TMG implícitamente de NAT. Podemos observar que trae 2 reglas implícitas de NAT; básicamente desde la red interna y de la DMZ hacia internet se genera un NAT por defecto, pero para la regla que estamos configurando que es de la LAN a la DMZ no haya un NAT, no tenemos problema alguno. Procedemos entonces a crear una nueva regla de acceso, para permitir el tráfico.
  • 55. 54 Por orden y facilitar posteriormente la administración de nuestro servidor TMG, nombramos las reglas con distintivos de origen y destino. Vamos a permitir el tráfico…
  • 56. 55 Vamos a especificar qué tipo de tráfico vamos a permitir, en nuestra DMZ tenemos servicios de FTP Y WEB, por lo tanto habilitamos los protocolos mostrados anteriormente.
  • 57. 56 Especificamos que nuestra red origen es nuestra red LAN, en contexto del TMG es la red INTERNAL… La red destino es la DMZ, en contexto del TMG es “Perimeter”…
  • 58. 57 Next… Finalizamos la creación de la regla…
  • 59. 58 Como vemos la regla fue creada, no nos olvidemos de aplicar los cambios… Procedemos a hacer pruebas entonces desde nuestra LAN a los servicios FTP Y WEB de nuestra DMZ…
  • 60. 59 Como en nuestro servidor de la DMZ, poseemos servicio FTP, por requisito de nuestra instructora nos pide que accedamos también a nuestro servidor FTP de forma ACTIVA, por lo tanto debemos hacer lo siguiente en el TMG… En System > FTP Access Filer, damos clic derecho > propiedades… Seleccionamos permitir acceso a FTP activo…
  • 61. 60 También debemos hacer una última modificación a la regla que creamos anteriormente permitiendo el tráfico desde la LAN a la DMZ… Damos clic derecho y seleccionamos “Configure FTP”… Le quitamos la selección a la casilla que dice solo lectura…
  • 62. 61 Hacemos pruebas accediendo a nuestro servidor de forma ACTIVA… Sabemos que está funcionando bien, cuando logramos listar el contenido el FTP. Ahora vamos probar desde nuestra DMZ que no se esté realizando una traducción de direcciones NAT… Abrimos el analizador de tráfico Wireshark en el servidor de la DMZ…
  • 63. 62 Podemos ver que aparece muy clara la dirección origen de nuestro cliente de Windows XP perteneciente a la red LAN. Permitir el acceso a los servicios de internet desde LAN haciendo NAT Empezamos mirando que reglas de NAT tenemos implícitamente en nuestro servidor TMG, podemos ver que ya hay una por defecto desde la red INTERNAL (LAN) hacia la red EXTERNAL (WAN) con la IP por defecto que sería 40.0.0.1.
  • 64. 63 Ya que tenemos claro que se está ejecutando un NAT, procedemos entonces a habilitar el acceso a los servicios de internet desde nuestra red LAN.
  • 65. 64 Vamos a permitir el tráfico… Nuestro servidor de internet con dirección IP 40.0.0.2 posee los servicios FTP y WEB, por lo tanto seleccionamos dichos protocolos…
  • 66. 65 La red origen es la red INTERNAL (LAN)…
  • 67. 66 La red destino es la EXTERNAL (WAN)… Todos los usuarios, Next…
  • 68. 67 Finalizamos… Se creará entonces la nueva regla de acceso, solos nos falta aplicar los cambios y proceder a hacer pruebas a los servicios de internet desde la LAN. El acceso a la página WEB es exitoso…
  • 69. 68 Igualmente al FTP de forma pasiva… Vamos a habilitar el FTP activo, damos clic derecho a la regla de la LAN a INTERNET, y le damos “Configure FTP”…
  • 70. 69 Aplicamos los cambios, y procedemos entonces a hacer pruebas desde el cliente LAN al servidor FTP activo de internet…
  • 71. 70 Mostramos de nuevo la regla de NAT… Vamos a nuestro servidor que es INTERNET, y ejecutamos el analizador de trafico Wireshark para demostrar que la red origen está siendo nateada…
  • 72. 71 Desde la LAN probamos accediendo al FTP de forma pasiva de internet. NOTA: Recordemos que nuestro cliente LAN posee la dirección 172.16.10.2. Podemos ver que la dirección origen es 40.0.0.1 y es la interfaz del TMG según la regla por donde sale el tráfico hacia internet.
  • 73. 72 Hacer PAT a los servicios de la DMZ para que sean vistos desde internet usando dirección pública fija Vamos entonces a proceder a publicar nuestro servidor que se encuentra en la DMZ con la dirección IP 192.168.10.2 y la idea es que sea visto desde internet (40.0.0.2) con una dirección IP en el mismo segmento, como la única IP disponible según la topología sería la 40.0.0.1. Empezaremos publicando el servidor WEB de la DMZ…
  • 74. 73
  • 75. 74 Especificamos la dirección IP de nuestro servidor de la DMZ…
  • 76. 75 Dejamos por defecto, Next…
  • 77. 76 Procedemos entonces a crear una configuración para la escucha web…
  • 78. 77 Seleccionamos que va escuchar las solicitudes que vengan de la red EXTERNAL.
  • 80. 79 Finalizamos el asistente de creación del objeto de escucha web… Podemos observar que asigna la configuración del web-listener creado anteriormente.
  • 81. 80
  • 82. 81 Finalizamos la configuración de la publicación del servidor web… Aplicamos los cambios…
  • 83. 82 Vamos a hacer una configuración adicional respecto a la autenticación, para evitar un problema del TMG… Vamos a propiedades de la regla creada anteriormente donde publicamos el servidor web de la DMZ… Vamos al listener, y le damos a propiedades, para especificar algo en la autenticación….
  • 84. 83 En autenticación, anteriormente especificamos que sin autenticación; pero debemos hacer una configuración avanzada…
  • 85. 84 Aplicamos los cambios y guardamos… Procedemos a hacer pruebas desde la máquina virtual que simula internet, accediendo al servidor web publicado de la DMZ, que debe tener una dirección IP pública (40.0.0.1). Vemos que fue exitoso el acceso desde “internet” al servidor web publicado en la DMZ… Ahora procedemos a publicar nuestro otro servicio (FTP), lo hacemos de la siguiente forma…
  • 86. 85 Especificamos la dirección IP del servidor FTP de la DMZ…
  • 87. 86 Seleccionamos el protocolo FTP… Las solicitudes las aceptará desde internet…
  • 88. 87 Finalizamos… Aplicamos los cambios y procedemos a hacer pruebas…
  • 89. 88 Probamos acceso al servidor FTP activo publicado… Vemos que es exitoso.
  • 90. 89 Permitir NAT desde la DMZ para salir a los servicios de internet. Procedemos a mirar las configuraciones de NAT por defecto de nuestro servidor TMG… Podemos ver que hay un NAT por defecto desde la zona perimetral (DMZ) hacia internet (WAN), por lo tanto no tenemos que crearlo. Según las versiones del TMG trae esta regla de NAT implícita, si no la tenemos la creamos… La regla de NAT la trae implícita pero debemos crear regla de acceso desde la DMZ hacia internet…
  • 91. 90 Vamos a permitir tráfico…
  • 92. 91 Bien sabemos que son 2 servicios: FTP y WEB.
  • 93. 92 La red origen es Internet, porque vamos a permitir acceso a ellos… Red de destino colocamos nuestra DMZ, que es la que nos falta que tenga conectividad…
  • 95. 94 Aplicamos los cambios y procedemos a hacer pruebas, desde la DMZ a internet y debe estar haciendo una traducción de direcciones NAT.
  • 96. 95 Podemos ver que la dirección IP origen, analizando el trafico entrante a internet es la dirección IP 40.0.0.1, por lo tanto si se está ejecutando un NAT desde la DMZ hacia internet.
  • 97. 96 WEBGRAFIA http://www.isaserver.org/articles-tutorials/configuration-general/Forefront-TMG- 2010-Policy-Configuration-Management-Tips-Tricks.html http://araihan.wordpress.com/2010/03/08/forefront-tmg-2010-how-to-install-and- configure-forefront-tmg-2010-step-by-step/ http://seguridadit.blogspot.com/2010/02/instalacion-paso-paso-de-forefront- tmg.html http://freyes.svetlian.com/TMG/TMG.htm http://blogs.itpro.es/jimcesse/2011/10/24/tipos-de-reglas-en-isa-server-forefront- tmg/ http://technet.microsoft.com/es-co/library/dd897018.aspx http://www.youtube.com/watch?v=iEg_wsfxqrw