Protegiendo nuestro Active Directory con Forefront Threat Management Gateway 2010–Parte 1 {HowTo}

ForeFront_TMG2010_LogoQuería escribir hoy de como proteger nuestro Active Directory con Forefront Threat Management Gateway 2010. Este producto es la actualización natural de ISA Server 2006. Esta versión cuenta con muchas mejoras, ya sean en rendimiento con funcionalidades en si. Por ejemplo, tiene la posibilidad de filtrar contenido por medio de categorías que compara las url contra un servicio de Microsoft (Microsoft Reputation Service)y en caso de ser necesario bloquea el sitio de forma automática.

Microsoft Reputation Services permite a los administradores de seguridad para bloquear categorías Web inapropiado o peligroso sitio sin la molestia de productividad de los empleados. "

Algunos de los features (en mas detalle) que tiene esta versión son:

  • La protección contra código malintecionado web es parte de un servicio de suscripción de Protección de web de Forefront TMG. La protección contra código malintencionado web examina las páginas web en busca de virus, código malintencionado y otras amenazas.
  • Filtrado de URL permite o deniega el acceso a los sitios web según categorías de direcciones URL (por ejemplo, pornografía, drogas, manías o compras). Las organizaciones no solo pueden impedir que los empleados visiten sitios con código malintencionado conocido, sino que también pueden proteger la productividad de la empresa limitando o bloqueando el acceso a los sitios que se consideran distracciones que la perjudican. El filtrado de URL es una parte del servicio de suscripción de Protección de web.
  • El servicio de suscripción de protección del correo electrónico—Forefront TMG proporciona un servicio de suscripción para la protección del correo electrónico que se basa en la tecnología integrada de Forefront Protection 2010 for Exchange Server. Forefront TMG actúa como transmisor del tráfico SMTP y examina el correo electrónico para comprobar si contiene virus, código malintencionado, correo y contenido no deseado (como los archivos ejecutables o cifrados) a medida que atraviesa la red.
  • La inspección de HTTPS permite que las sesiones cifradas con HTTPS sean inspeccionadas en busca de código malintencionado o vulnerabilidades. Algunos grupos específicos de sitios, por ejemplo, los de banca, pueden excluirse de la inspección por motivos de privacidad. A los usuarios del Cliente de Forefront TMG se les puede notificar la inspección.
  • El Sistema de inspección de red (NIS) permite que el tráfico sea inspeccionado en busca de vulnerabilidades de Microsoft. Según el análisis de los protocolos, NIS puede bloquear algunos tipos de ataques al tiempo que reduce los falsos positivos. Las protecciones se pueden actualizar según sea necesario.
  • La traducción de direcciones de red (NAT) mejorada permite especificar servidores de correo individuales que se pueden publicar con NAT de uno a uno.
  • Voz sobre IP mejorada permite incluir SIP transversal, lo que facilita la implementación de Voz sobre IP dentro de la red.
  • Windows Server 2008 con compatibilidad para 64 bits—Forefront TMG se instala en Windows Server 2008 con compatibilidad para 64 bits.

Debemos tener en cuenta que ya esta disponible también el Service Pack 1 del producto, con esta versión disponemos de:

  • Nuevas características de informes: El nuevo informe Actividad de usuario nos muestra la información de exploración web, incluyendo las categorías de direcciones URL y sitios web que usuarios concretos han solicitado, sobre cualquier período especificado.
    Todos los informes de Forefront TMG tienen una nueva apariencia.
  • Mejoras en el filtrado de URL: Ahora podemos permitir a los usuarios invalidar la restricción de acceso en los sitios bloqueados por el filtrado de URL. De esta manera se facilita la directiva de acceso web para la implementación y se hace más flexible, de modo que los usuarios pueden decidir por ellos mismos si desean tener acceso a un sitio bloqueado. Esto resulta de especial utilidad para los sitios web que se han clasificado de manera incorrecta.
    Podemos invalidar la clasificación de una dirección URL en el nivel de empresa; la invalidación se hará efectiva para cada matriz combinada de empresa.
    Podemos personalizar páginas de notificación de denegación en base a las necesidades de su organización.
  • Compatibilidad mejorada para las sucursales: Al instalarse en un equipo que ejecuta Windows Server 2008 R2, SP1 simplifica la implementación de BranchCache en la sucursal, usando Forefront TMG como servidor de caché hospedada.
    Podemos colocar Forefront TMG y un controlador de dominio de sólo lectura en el mismo servidor, que puede ayudar a reducir el costo total de la propiedad de las sucursales.
  • Compatibilidad para la publicación de SharePoint 2010: Forefront TMGSP1 admite la publicación segura de SharePoint 2010.

Los requerimientos de hardware son los siguientes:

image

Los requerimientos de Software son:

image

Es Importante aclarar que este producto no puede ser implementado sobre un controlador de dominio.

Algo importante antes de instalar este producto (y en general, pasa con todos los productos) es planear y diseñar como vamos a instalarlo de acuerdo a nuestra infraestructura actual, tenemos que tener en cuenta que funcionalidades vamos a utilizar, y los mas importante, que topología de red de ForeFront vamos a implementar, que sea la más adecuada para nuestra topología de red existente y para nuestros requisitos de seguridad de red.

Disponemos de las siguientes topologías de red de Forefront TMG:

  • Firewall perimetral (Edge Firewall): en esta topología, Forefront TMG se encuentra en el perímetro de la red, donde actúa como firewall perimetral de la organización, y está conectado a dos redes: la red interna y la red externa (normalmente, Internet).

03

  • Perímetro de 3 secciones (3-Leg Perimeter): esta topología implementa una red perimetral. Forefront TMG está conectado por lo menos a tres redes físicas: la red interna, una o más redes perimetrales, y la red externa.

3LegPerimetrer

  • Firewall posterior (Back Firewall): en esta topología, Forefront TMG se encuentra en el back-end de la red. Podemos utilizar esta topología cuando otro elemento de red, como una red perimetral o un dispositivo de seguridad perimetral, se encuentre entre Forefront TMG y la red externa. Forefront TMG se conecta a la red interna y al elemento de red situado delante.

04

  • Adaptador de red único (Single Network Adapter): esta topología habilita funcionalidad de Forefront TMG limitada. En esta topología, Forefront TMG está conectado únicamente a una red, ya sea la red interna o una red perimetral. Normalmente, se utilizaría esta configuración si Forefront TMG se encontrase en la red corporativa interna o en una red perimetral y otro firewall estuviese situado en el perímetro, protegiendo los recursos corporativos de Internet.

05

Forefront TMG puede estar conectado a la red de área local (LAN) directamente o a través de un enrutador u otro firewall. Si se está conectando a Forefront TMG a través de un firewall para administración remota, o como un cliente protegido de Forefront TMG, debemos tener en cuenta lo siguiente:

  • La administración remota como, por ejemplo, desde un equipo Enterprise Management Server (EMS), requiere el uso de llamada a procedimiento remoto (RPC) para el estado del servidor remoto y la supervisión de estado de servicio.
  • La ruta de acceso desde los clientes de Forefront TMG a Forefront TMG no debe estar filtrada por puertos.
  • Los puertos necesarios en el firewall de intervención se describen en el artículo Introducción al servicio y requisitos del puerto de red para el sistema Windows Server

La semana que viene veremos el proceso de Implementación de este producto en una nota donde veremos el paso a paso de este procedimiento.

Espero que les sea de interés el tema. Saludos, Roberto Di Lello.

Mas Información:

Roberto Di Lello

Acerca del autor: Roberto Di Lello

Hola, soy Roberto Di Lello trabajo como Consultor Senior en Infraestructura, especializado en Tecnologias Microsoft con mas de 25 años en la industria. He sido galardonado como MS-MVP en Active Directory-Enterprise Mobility por 10 años, y actualmente soy MVP Windows Insider, ademas de poseer otras certificaciones de Microsoft. He trabajado en distintos projectos que involucran Migraciones, Implementaciones, y soporte de Active Directory y Microsoft Exchange, y en los ultimos años me he desempeñado armando equipos de trabajo para diferentes paises y areas de sistemas, he planificado a distintas migraciones a datacenters (ambiente cloud y mixtos). He tenido la oportunidad de participar como miembro del staff de Microsoft en eventos internacionales como ser TechEd NorteAmerica y MS Ignite (NA) al ser Trainer Certificado por Microsoft (MCT).

You May Also Like

12 Comments

  1. roberto buenas tardes,
    Agradezco me puedas informar si existe algún foro en el que participes y pueda llegar a escalar preguntas relacionadas con Infrestructura, ignoro si me puedes ayudar,

    Tengo el siguiente escenario y me gustaría terner tu sugerencia.
    Tengo 2 DC con Windows 2003 y el objetivo es Migrarlos a 2008. hasta ahi­ todo bien y sin líos,

    La consulta la realizo dado a que sobre la misma red, hay un Servidor Exchange 2007 y un Lync 2010,

    Que procedimiento debo ejecutar para que la configuración tanto del Exchange 2007 y el Lync 2010 no se vea Alterada.?

    Saludos y muchas gracias por tu posible colaboración

  2. Fernando, muchas gracias por participar del blog y ayudar a que siga creciendo! Te cuento que hay mucho material en el.

    Desconozco un poco el tema de Lync, pero en principio no deberías tener problemas. Te recomiendo no realizar una migración in place; sino en otro equipo y recién una vez que todo este funcionando correctamente eliminar los viejos DCs. Si debes tener en cuenta, cambiar aquellas configuraciones que estén apuntando a los DCs que desinstalaras. Obviamente, te recomiendo realizar un laboratorio antes de meter mano en el ambiente de producción. Probando todos los procedimientos antes de implementarlos.

    Puedes hacer preguntas en mi blog y sino también en: http://social.technet.microsoft.com/Forums/es-ES/category/windowsserver

    Te invito a que veas los labs, videos, tutoriales, notas. Si querés buscar un tema o necesitás ayuda, tenés la solapa AYUDA donde explico un poco como hacerlo, sino también tenés el buscador de google.

    Espero te sean de utilidad. Saludos!

  3. Buenos días roberto
    Antes de todo, te agradezco por tener el tiempo para responder este mensaje, al cual seguiré tus consejos de experto, para poder así continuar con el proyecto.

    Saludos

    Fernando Corella
    Infrastructure Consulting Engineer
    INTERGRUPO – Cali

  4. Juan Antonio, muchas gracias por participar. Disculpa mi demora en contestar pero tuve serios problemas con los mails que recibo del blog y recien los pude recuperar.

    Estuve tratando de averiguar lo que me comentabas, y no hay nada oficialmente que se sepa al respecto mas alla de lo que relfeja la nota sobre el roadmap de TMG que dice que habra soporte hasta el 2020. Estare siguiendo el tema y ni bien haya informacion oficial lo voy a estar publicando en el blog.

    Aprovecho la oportunidad para agradecerte por participar del blog y ayudar a que siga creciendo; y te pido que nos ayudes a difundirlo con tus amigos y contactos! Te cuento que hay mucho material en el. Te invito a que veas los labs, videos, tutoriales, notas. Si querés buscar un tema o necesitas ayuda, tenés la solapa AYUDA donde explico un poco como hacerlo, sino también tenés el buscador de google. Saludos!

  5. Tengo un server con active directory, dns y dhcp me gustaria saber si puedo instalar el forefront en este server o si me daria problemas por el active directory.

  6. ElMerto, disculpa mi demora en contestar pero estuve muy complicado con varios temas de trabajo, con el cambio de empresa he estado muy tapado de trabajo, pero voy respondiendo de a poco a medida que puedo y voy a responder todas las consultas.

    Te recomiendo no poner un forefront en un Domain Controller. basicamente el TMG Forefront es un proxy/firewall con lo cual deberia estar aislado por un tema de seguridad. Tene en cuenta que tu AD contienen informacion critica. La unica opcion es instalarlo en un RODC (read-only domain controller), te paso un link: Installing Forefront TMG on a domain controller technet.microsoft.com/en-us/library/ff808305.aspx

    Aprovecho la oportunidad para agradecerte por participar del blog y ayudar a que siga creciendo! Te pido que difundas la direccion del sitio y mi twitter @RaDiansBlog, asi sumamos mas gente. Te invito a que veas los labs, videos, tutoriales, notas. Si querés buscar un tema o necesitas ayuda, tenés la solapa AYUDA donde explico un poco como hacerlo, sino también tenés el buscador de google.

    En 2014 debido a nuevas disposiciones de la ley Argentina debo afrontar distintos gastos para mantener el blog en funcionamiento. Si te parecio util la informacion del blog hace click en el boton “DONATE”

    Seguimos en contacto! Saludos y gracias!

  7. Buen dia, tengo un servidor tmg como proxy y tengo activada la autenticacion integrada. y tengo 2 dc por redundancia. actualmente perdi el dc primario. como puedo decirla a tmg que busque el controlador secundario para el tema de la autenticacion. gracias.

  8. Edinson, disculpa mi demora en contestar pero estuve muy complicado con varios temas de trabajo, estuve de viaje por un proyecto muy grande y recien estoy poniendome al dia con las cosas y voy respondiendo de a poco a medida que puedo; igualmente voy a responder todas las consultas.

    Respecto a tu pregunta, te paso un link que puede ayudarte a solucionar este tema: Unable to Add…/Edit…/Delete Domain Controllers computer set on TMG/ISA rmlinar.net/blog/2013/03/13/unable-to-addeditdelete-domain-controllers-computer-set-on-tmgisa/

    Espero que esto conteste tu pregunta, cualquier cosa volve a escribirme. Aprovecho la oportunidad para agradecerte por participar del blog y ayudar a que siga creciendo! Te pido que difundas la direccion del sitio y mi twitter @RaDiansBlog, asi sumamos mas gente. Te invito a que veas los labs, videos, tutoriales, notas. Si querés buscar un tema o necesitas ayuda, tenés la solapa AYUDA donde explico un poco como hacerlo, sino también tenés el buscador de google.

    En 2014 debido a nuevas disposiciones de la ley Argentina debo afrontar distintos gastos para mantener el blog en funcionamiento. Si te parecio util la informacion del blog hace click en el boton “DONATE”

    Seguimos en contacto! Saludos y gracias!

Comments are closed.