Manual Instalación y Configuración Firewall TMG

Instalación y Configuración Microsoft Forefront TMG GESTIÓN DE REDES DE DATOS

SERVICIO NACIONAL DE APRENDIZAJE DIEGO LEON GIL BARRIENTOS

Ficha:

464327

1

Microsoft Forefront Threat Management Gateway (TMG) es un completo

gateway de seguridad web desarrollado por Microsoft que ayuda a proteger a las

empresas de las amenazas que existen actualmente en internet. Simple manejo e

interfaz con la que se puede habilitar una seguridad perimetral perfecta a prueba

de ataques gracias al firewall integrado, VPN, prevención de accesos no

autorizados, antivirus y anti-spam.

Microsoft Forefront TMG estará también integrado en la nueva suite completa de

Forefront conocida con el nombre en clave de Microsoft Forefront STIRLING.

Características

Protección ante múltiples de ataques gracias a tener integrado un anti-malware

y antivirus, protecciones contra ataques de nivel de red y nivel de aplicación y

firewall multicapa.

Altamente seguro gracias a la protección contra ataques de usuarios web, un

sistema altamente fiable y seguro para la publicación por parte de usuarios

remotos y un sistema avanzado para VPN.

Gestión simplificada gracias a wizards que le ayudarán a configurarlo, un

servicio centralizado y un sistema de envío de e-mails integrado.

Inspección HTTPS. Inspecciones paquetes cifrados con SSL para descubrir

malware, limitar el acceso a ciertas webs a sus empleados e incluso pudiendo

creando exclusiones a webs sensibles, como las bancarias, evitando la

inspección por parte de Forefront TMG.

2

Topología planteada

Según la topología planteada contamos con una red LAN, DMZ Y WAN; todas

centralizadas por un Firewall en software en Microsoft Forefront TMG, el cual se

ejecutará en Windows server 2008 R2.

LAN

Red: 172.16.10.0

Mascara: 255.255.0.0

Gateway: 172.16.10.1

S.O de prueba: Windows XP

DMZ

IP del servidor: 192.168.10.2 /24

Servicios: FTP, WEB

Gateway: 192.168.10.1

S.O: Windows Server 2008 R2

3

WAN IP del servidor: 40.0.0.2 /8 Servicios: FTP, WEB Gateway: 40.0.0.1 S.O: Windows Server 2008 R2 TMG

3 tarjetas de Red: Tarjeta de Red LAN: 172.16.10.1 /16 Tarjeta de Red DMZ: 192.168.10.1 /24 Tarjeta de Red WAN: 40.0.0.1 /8 S.O: Windows Server 2008 R2

INSTALACION DE MICROSFOT FOREFRONT TMG

Debemos tener una maquina Windows Server 2008 R2 previamente instalada, con unos días de licencia de prueba o con su debida activación para poder trabajar sin problemas el firewall en Windows. Usaremos el TMG 2010. NOTA: Lo podemos descargar del siguiente enlace: http://www.microsoft.com/en-us/download/details.aspx?id=14238 Comenzaremos con lo más básico del Windows Server 2008 R2 que prestará los servicios de firewall, recordemos no tiene ningún servicio, solo prestará servicio de Firewall. Comenzaremos a configurar tarjetas de red, según la topología nuestro servidor TMG tiene 3 tarjetas, procedemos entonces a configurarlas en nuestro VirtualBox.

4

Procedemos entonces a configurar nuestras tarjetas de red, de nuestro servidor

TMG.

Nota: Recordemos que son 3 tarjetas de red, y las direcciones IP que tendrán son

los gateways de las redes LAN, DMZ Y WAN.

El adaptador 2 será la WAN, lo ponemos en Adaptador puente.

5

Luego de habilitadas las 3 tarjetas de red, procedemos a iniciar nuestra maquina virtual con el Windows Server 2008 R2, para comenzar nuestra instalación del TMG. NOTA: Atención con el nombre del equipo del servidor TMG y sus días de activación de licencia, ya que pueden afectar el funcionamiento.

6

También debemos configurar una carpeta compartida, para transferir el archivo .exe desde nuestra maquina anfitriona a nuestro servidor TMG virtual.

En la imagen anterior muestro la ubicación del archivo ejecutable que contiene el Microsoft Forefront TMG. Iniciamos nuestro servidor y procedemos a ver las tarjetas de red que posee, debemos comenzar a configurarlas.

NOTA: Recomendado para evitar confusiones, asignarles nombre distintivos para cada segmento de la topología. Consejo identificamos fácilmente la que se encuentra en adaptador puente, porque inmediatamente identifica una red (internet de nuestra maquina anfitriona). De resto las que se encuentran en red interna se diferencian por el nombre externo del VirtualBox en cada tarjeta de red.

7

Empezamos entonces a asignar direcciones IP a las 3 tarjetas de red de nuestro servidor TMG, empezamos con la LAN…

Podemos observar que esta tarjeta de red (LAN) posee el Gateway de la red 172.16.10.0/16.

8

Continuamos, configurando la tarjeta de red de la DMZ.

Esta tarjeta de red, podemos observar que tiene el Gateway de la red 192.168.10.0/24.

9

Por ultimo configuramos la tarjeta de red de “internet” con el Gateway de la red simulada WAN.

Tenemos en esta última tarjeta de red, el Gateway de la red 40.0.0.0/8.

10

Configuradas entonces nuestras 3 tarjetas de red con sus respectivas direcciones, procedemos entonces a copiar desde nuestra carpeta compartida el ejecutable del TMG para tenerlo en nuestro servidor.

En mi caso lo copié en el escritorio, y procedemos entonces a ejecutarlo.

11

Comenzamos entonces con lo wizards de instalación…

Next..

Next…

12

Una vez automáticamente se abra la interfaz mostrada anteriormente, damos en Run Preparation Tool…

13

Next…

Aceptamos términos de licencia….

14

Seleccionamos los servicios y consola de administración de TMG…

Esperamos que analice los pore-requisitos de nuestro servidor…

15

Una vez terminada la herramienta de preparación, le damos finalizar… NOTA: Importante seleccionar la casilla para lanzar el proceso de instalación del TMG como tal.

Se abrirá esta pestaña debemos esperar a que se abra una ventana en la parte inferior…

16

Next…

Aceptamos los términos de licencia y damos Next…

17

Dejamos esto por defecto, y le damos Next…

Podemos escoger donde queremos que sea instalado el TMG, lo dejé por defecto…Next…

18

En esta parte vamos a seleccionar nuestra tarjeta de red INTERNA (LAN), según nuestra topología es la que posee la dirección IP 172.16.10.1/16.

Añadir adaptador…

19

Ya seleccionada la tarjeta de red que se dirige a la red LAN…Next…

20

Next…

Damos Instalar…

21

Esperamos que termine de instalar…

Continua en la parte superior el cuadro mostrado anteriormente, debemos esperar que los componentes adicionales sean instalados y confirados, este proceso es un poco demorado…

22

Una vez terminado el proceso de los componentes adicionales, esperamos el nuevo Wizard…

Verificamos la casilla seleccionada y damos finalizar…

23

Comenzamos entonces a configurar nuestras tarjetas de red, según nuestra topología son 3 LAN, DMZ Y WAN…

Next…

24

Seleccionamos una red con 3 piernas: LAN, DMZ E INTERNET…

Seleccionamos la tarjeta de red de la LAN…

25

En esta parte seleccionamos el adaptador conectado a la WAN…

26

27

Next…

Lo dejamos con el grupo de trabajo, no lo configuraremos con un dominio…

28

Finalizar…

29

Next...

30

Se deja por defecto y damos Next…

31

Le decimos que no queremos participar en al Feedback…

Finalizar…

32

Ahora le damos cerrar, y verificamos la casilla para correr el Wizard de acceso web…

33

34

35

En esta parte vamos a configurar la Cache…

La configuraremos de 200MB, damos Set… y por ultimo aceptamos…

36

37

Se nos abrirá la consola de administración de Microsoft Forefront TMG, lo primero que debemos hacer es aplicar los cambios…

Cuando le demos aplicar los cambios, nos abre la ventana mostrada anteriormente, le decimos guardar los cambios y reiniciar los servicios…

38

Aplicar… Ahora que está correctamente instalado el TMG, debemos comenzar a configurar los parámetros que nos exige nuestra instructora…

Los 2 primero parámetros están cumplidos ya con la topología planteada inicialmente, y con el direccionamiento que tuvimos…

En la imagen anterior muestro que tengo 4 máquinas virtuales, correspondientes a la topología, el TMG está instalado y listo para ser configurado…

39

La máquina virtual de la DMZ, es un Windows Server 2008 R2 igualmente que el TMG, cuenta con servicio FTP Y WEB; podemos ver externamente en el VirtualBox que posee una tarjeta de red, en red interna llamada DMZ.

Nuestra máquina virtual de internet, es un Windows Server 2008 R2 con servicios FTP YWEB, la tarjeta de red, está configurada en adaptador puente como en el TMG.

40

La máquina virtual correspondiente a la LAN es un cliente con un Windows XP sencillo, la tarjeta de red es en red interna y según el nombre de las tarjetas de red de nuestro TMG, se llama “LAN”.

En la imagen mostrada anteriormente, demuestro que el servidor de la DMZ con la dirección IP 192.168.10.2/24 posee los servicios DNS (local) y el Web server que incluye servicio WEB Y FTP.

41

Al encender la máquina virtual de la DMZ, y asignarle la dirección IP 192.168.10.2 y encontrarse igualmente encendido nuestro servidor TMG que posee la puerta de enlace 192.168.10.1 en la red interna llamada “DMZ”, inmediatamente identifica la red.

En la imagen anterior muestro efectivamente el direccionamiento de la DMZ, con su respectiva puerta de enlace.

42

Igualmente mi servidor que simula INTERNET, que posee la dirección IP 40.0.0.2/8 es un Windows Server 2008 R2, que posee servicio DNS (local) y tiene instalado el Web Server que incluye servicio WEB Y FTP.

También podemos ver que al asignarle el direccionamiento correcto y estando encendida la máquina virtual de nuestro servidor TMG, vemos que identifica la red. NOTA: Recordemos que la tarjeta de red de nuestro servidor TMG de la WAN y la tarjeta de red de esta máquina que simula internet deben estar ambas en adaptador puente.

43

Por ultimo nuestra máquina virtual que va ser un cliente de Windows XP, perteneciente a la red interna llamada “LAN” debe tener una dirección IP en la red 172.16.10.0/16.

44

Ahora procedemos a configurar las reglas de acceso y diversas configuraciones necesarias en nuestro servidor TMG para cumplir los requisitos del instructor. Buscamos en nuestro servidor TMG, la consola de administración de Microsoft Forefront TMG…

Por gusto personal y pruebas anticipadas, me gusta establecer un PING desde la LAN, DMZ Y WAN al servidor TMG, para identificar que si hay funcionalidad de nuestro servidor y están bien configuradas las tarjetas de red.

Procedemos entonces en el menú de “Firewall Policy” a crear una nueva regla de acceso…

45

Colocamos el nombre a la regla de acceso como deseemos…

Le decimos que vamos a permitir tráfico…

46

Vamos a especificar que protocolos vamos a permitir, para ello le damos “ADD…”

Debemos buscar el protocolo ICMP, pero Windows Server nos lo facilita llamándolo “ping”…

47

Ya seleccionado el protocolo, damos clic en Next…

Ahora debemos especificar desde que origen viene el tráfico, vamos a especificarle que el origen son nuestras redes LAN, DMZ Y WAN.

48

En este caso lo especificaré solo con la DMZ, para hacer una prueba sencilla…

Una vez seleccionadas nuestras redes de origen, damos clic en Next para especificar quien será nuestro destino. Recordemos la sintaxis del Wizard: Estamos permitiendo trafico PING desde la zona perimetral hacia…

49

Ahora debemos escoger nuestra red destino…

En este caso es el local host, la configuración de dicha regla de acceso la estamos haciendo desde nuestro servidor TMG, por lo tanto el local host es el Servidor TMG.

50

Seleccionamos todos los usuarios…Next…

Finalizamos la creación de la regla de acceso…

51

Solo nos resta aplicar los cambios, para comenzar a hacer pruebas de nuestra regla creada y aplicada.

La regla está creada y la sintaxis es la siguiente… Estamos permitiendo de la regla de acceso llamada “PING1”, estamos permitiendo el tráfico “PING” desde la zona perimetral (DMZ) al local host que es nuestro servidor TMG.

52

Procedemos entonces a hacer pruebas, desde nuestra DMZ vamos a hacerle ping a nuestra puerta de enlace 192.168.10.1 que es la dirección IP configurada en el servidor TMG. NOTA: Recordemos que el TMG implícitamente está negando todo tráfico.

Vemos que el PING es exitoso.

53

Permitir el acceso a los servicios de la DMZ desde la LAN sin hacer NAT. Empezamos mirando que reglas trae nuestro servidor TMG implícitamente de NAT.

Podemos observar que trae 2 reglas implícitas de NAT; básicamente desde la red interna y de la DMZ hacia internet se genera un NAT por defecto, pero para la regla que estamos configurando que es de la LAN a la DMZ no haya un NAT, no tenemos problema alguno.

Procedemos entonces a crear una nueva regla de acceso, para permitir el tráfico.

54

Por orden y facilitar posteriormente la administración de nuestro servidor TMG, nombramos las reglas con distintivos de origen y destino.

Vamos a permitir el tráfico…

55

Vamos a especificar qué tipo de tráfico vamos a permitir, en nuestra DMZ tenemos servicios de FTP Y WEB, por lo tanto habilitamos los protocolos mostrados anteriormente.

56

Especificamos que nuestra red origen es nuestra red LAN, en contexto del TMG es la red INTERNAL…

La red destino es la DMZ, en contexto del TMG es “Perimeter”…

57

Next…

Finalizamos la creación de la regla…

58

Como vemos la regla fue creada, no nos olvidemos de aplicar los cambios… Procedemos a hacer pruebas entonces desde nuestra LAN a los servicios FTP Y WEB de nuestra DMZ…

59

Como en nuestro servidor de la DMZ, poseemos servicio FTP, por requisito de nuestra instructora nos pide que accedamos también a nuestro servidor FTP de forma ACTIVA, por lo tanto debemos hacer lo siguiente en el TMG…

En System > FTP Access Filer, damos clic derecho > propiedades…

Seleccionamos permitir acceso a FTP activo…

60

También debemos hacer una última modificación a la regla que creamos anteriormente permitiendo el tráfico desde la LAN a la DMZ…

Damos clic derecho y seleccionamos “Configure FTP”…

Le quitamos la selección a la casilla que dice solo lectura…

61

Hacemos pruebas accediendo a nuestro servidor de forma ACTIVA…

Sabemos que está funcionando bien, cuando logramos listar el contenido el FTP. Ahora vamos probar desde nuestra DMZ que no se esté realizando una traducción de direcciones NAT… Abrimos el analizador de tráfico Wireshark en el servidor de la DMZ…

62

Podemos ver que aparece muy clara la dirección origen de nuestro cliente de Windows XP perteneciente a la red LAN.

Permitir el acceso a los servicios de internet desde LAN haciendo NAT

Empezamos mirando que reglas de NAT tenemos implícitamente en nuestro servidor TMG, podemos ver que ya hay una por defecto desde la red INTERNAL (LAN) hacia la red EXTERNAL (WAN) con la IP por defecto que sería 40.0.0.1.

63

Ya que tenemos claro que se está ejecutando un NAT, procedemos entonces a habilitar el acceso a los servicios de internet desde nuestra red LAN.

64

Vamos a permitir el tráfico…

Nuestro servidor de internet con dirección IP 40.0.0.2 posee los servicios FTP y WEB, por lo tanto seleccionamos dichos protocolos…

65

La red origen es la red INTERNAL (LAN)…

66

La red destino es la EXTERNAL (WAN)…

Todos los usuarios, Next…

67

Finalizamos… Se creará entonces la nueva regla de acceso, solos nos falta aplicar los cambios y proceder a hacer pruebas a los servicios de internet desde la LAN.

El acceso a la página WEB es exitoso…

68

Igualmente al FTP de forma pasiva…

Vamos a habilitar el FTP activo, damos clic derecho a la regla de la LAN a INTERNET, y le damos “Configure FTP”…

69

Aplicamos los cambios, y procedemos entonces a hacer pruebas desde el cliente LAN al servidor FTP activo de internet…

70

Mostramos de nuevo la regla de NAT…

Vamos a nuestro servidor que es INTERNET, y ejecutamos el analizador de trafico Wireshark para demostrar que la red origen está siendo nateada…

71

Desde la LAN probamos accediendo al FTP de forma pasiva de internet. NOTA: Recordemos que nuestro cliente LAN posee la dirección 172.16.10.2.

Podemos ver que la dirección origen es 40.0.0.1 y es la interfaz del TMG según la regla por donde sale el tráfico hacia internet.

72

Hacer PAT a los servicios de la DMZ para que sean vistos desde internet usando dirección pública fija Vamos entonces a proceder a publicar nuestro servidor que se encuentra en la DMZ con la dirección IP 192.168.10.2 y la idea es que sea visto desde internet (40.0.0.2) con una dirección IP en el mismo segmento, como la única IP disponible según la topología sería la 40.0.0.1.

Empezaremos publicando el servidor WEB de la DMZ…

73

74

Especificamos la dirección IP de nuestro servidor de la DMZ…

75

Dejamos por defecto, Next…

76

Procedemos entonces a crear una configuración para la escucha web…

77

Seleccionamos que va escuchar las solicitudes que vengan de la red EXTERNAL.

78

Sin autenticación…

79

Finalizamos el asistente de creación del objeto de escucha web…

Podemos observar que asigna la configuración del web-listener creado anteriormente.

80

81

Finalizamos la configuración de la publicación del servidor web…

Aplicamos los cambios…

82

Vamos a hacer una configuración adicional respecto a la autenticación, para evitar un problema del TMG…

Vamos a propiedades de la regla creada anteriormente donde publicamos el servidor web de la DMZ…

Vamos al listener, y le damos a propiedades, para especificar algo en la autenticación….

83

En autenticación, anteriormente especificamos que sin autenticación; pero debemos hacer una configuración avanzada…

84

Aplicamos los cambios y guardamos… Procedemos a hacer pruebas desde la máquina virtual que simula internet, accediendo al servidor web publicado de la DMZ, que debe tener una dirección IP pública (40.0.0.1).

Vemos que fue exitoso el acceso desde “internet” al servidor web publicado en la DMZ… Ahora procedemos a publicar nuestro otro servicio (FTP), lo hacemos de la siguiente forma…

85

Especificamos la dirección IP del servidor FTP de la DMZ…

86

Seleccionamos el protocolo FTP…

Las solicitudes las aceptará desde internet…

87

Finalizamos…

Aplicamos los cambios y procedemos a hacer pruebas…

88

Probamos acceso al servidor FTP activo publicado…

Vemos que es exitoso.

89

Permitir NAT desde la DMZ para salir a los servicios de internet. Procedemos a mirar las configuraciones de NAT por defecto de nuestro servidor TMG…

Podemos ver que hay un NAT por defecto desde la zona perimetral (DMZ) hacia internet (WAN), por lo tanto no tenemos que crearlo. Según las versiones del TMG trae esta regla de NAT implícita, si no la tenemos la creamos… La regla de NAT la trae implícita pero debemos crear regla de acceso desde la DMZ hacia internet…

90

Vamos a permitir tráfico…

91

Bien sabemos que son 2 servicios: FTP y WEB.

92

La red origen es Internet, porque vamos a permitir acceso a ellos…

Red de destino colocamos nuestra DMZ, que es la que nos falta que tenga conectividad…

93

Finalizamos…

94

Aplicamos los cambios y procedemos a hacer pruebas, desde la DMZ a internet y debe estar haciendo una traducción de direcciones NAT.

95

Podemos ver que la dirección IP origen, analizando el trafico entrante a internet es la dirección IP 40.0.0.1, por lo tanto si se está ejecutando un NAT desde la DMZ hacia internet.

96

WEBGRAFIA http://www.isaserver.org/articles-tutorials/configuration-general/Forefront-TMG-2010-Policy-Configuration-Management-Tips-Tricks.html http://araihan.wordpress.com/2010/03/08/forefront-tmg-2010-how-to-install-and-configure-forefront-tmg-2010-step-by-step/ http://seguridadit.blogspot.com/2010/02/instalacion-paso-paso-de-forefront-tmg.html http://freyes.svetlian.com/TMG/TMG.htm http://blogs.itpro.es/jimcesse/2011/10/24/tipos-de-reglas-en-isa-server-forefront-tmg/ http://technet.microsoft.com/es-co/library/dd897018.aspx http://www.youtube.com/watch?v=iEg_wsfxqrw