Documenta la relación de productos que tiene y ha tenido Microsoft en relación a servidores “Proxy”. ¿Qué función tiene actualmente Microsoft Forefront TMG Treat Management Gateway?. Describe su instalación y configuración. Microsoft Proxy Server El Microsoft Forefront Threat Management Gateway línea de productos se originó con Microsoft Proxy Server . Desarrollado bajo el nombre código de "Catapult", Microsoft Proxy Server 1.0 se lanzó por primera vez en enero de 1997, y fue diseñado para ejecutarse en Windows NT 4.0 . Microsoft Proxy Server v1.0 es un producto de base diseñado para proporcionar acceso a Internet para los clientes en un entorno de LAN a través de TCP / IP . También se prestó apoyo para IPX / SPX de redes (utilizado principalmente en el legado de Novell NetWare ambientes), a través de un WinSock traducción de cliente / túnel que permitía a las aplicaciones TCP / IP, tales como los navegadores web, para operar de manera transparente sin ningún tipo de protocolo TCP / IP en el alambre. Aunque bien integrado en Windows NT4, Microsoft Proxy Server v1.0 sólo tenía una funcionalidad básica, y se produjo en una sola edición. El soporte extendido para Microsoft Proxy Server v1.0 finalizó el 31 de marzo de 2002. Microsoft Proxy Server v2.0 se lanzó en diciembre de 1997, y buscando una mayor integración de la cuenta de NT, la mejora de filtrado de paquetes de apoyo y soporte para una amplia gama de protocolos de red . Microsoft Proxy Server v2.0 salido de la fase de soporte extendido y llegó a final de la vida el 31 de diciembre de 2004. ISA Server 2000 El 18 de marzo de 2001, Microsoft lanzó Microsoft Internet Security and Acceleration Server 2000 (ISA Server 2000) . ISA Server 2000 introdujo los estándares y la Empresa ediciones, con la funcionalidad de nivel empresarial tales como alta disponibilidad de clústeres no está incluido en la edición estándar . ISA Server 2000 requiere Windows 2000 (cualquier edición), y también se pueden ejecutar en Windows Server 2003 . De conformidad con el soporte técnico de Microsoft de la política del ciclo de vida, ISA Server 2000 fue el primer producto de ISA Server para que utilice el ciclo de vida de soporte de 10 años con 5 años de Mainstream apoyo y cinco años de extendido de soporte. ISA Server 2000 llegó a final de la vida el 12 de abril de 2011. ISA Server 2004 Microsoft para servidores de Internet Security and Acceleration 2004 (ISA Server 2004) salió el 8 de septiembre de 2004. ISA Server 2004 introduce una serie de múltiples redes de apoyo aclaración necesaria , virtual integrada de configuración de red privada, el usuario de autenticación extensible y modelos, la capa de aplicación firewall de apoyo, de Active Directory de integración, SecureNAT aclaración necesaria , y mejorar la presentación de informes y funciones de administración. Las reglas de configuración de la base también se han simplificado considerablemente en la versión de ISA Server 2000. ISA Server 2004 Enterprise Edition incluye soporte matriz, integrado Network Load Balancing (NLB), y Cache Array Routing Protocol(CARP). Una de las principales capacidades de ISA Server 2004, Edición llamado servidor seguro, era su capacidad para exponer de forma segura sus servidores internos a Internet. Por ejemplo, algunas organizaciones utilizan ISA Server 2004 para publicar su Microsoft Exchange Server servicios como Outlook Web Access (OWA), Outlook Mobile Access (OMA) o ActiveSync . Uso de la autenticación basada en formularios ( FBA tipo de autenticación), ISA Server puede ser utilizado para autenticar a los clientes pre- Luis Alfonso Sánchez Brazales web, de manera que el tráfico de clientes no autenticados a los servidores publicados no está permitido. ISA Server 2004 está disponible en dos ediciones, Standard y Enterprise. Enterprise Edition incluye funciones que permiten las políticas que se configuran en un nivel de matriz, en lugar de individuales servidores ISA, y balanceo de carga a través de múltiples servidores ISA. Cada edición de ISA Server se licencia por procesador. (La versión incluida en Windows Small Business Server 2000/2003 de Premium incluye licencias para 2 procesadores). ISA Server 2004 se ejecuta en Windows Server 2003 Standard o Enterprise Edition. Hardware del dispositivo que contiene Windows Server 2003 Appliance Edition e ISA Server Standard Edition está disponible en una variedad de socios de Microsoft. ISA Server 2006 Microsoft para servidores de Internet Security and Acceleration 2006 (ISA Server 2006) fue lanzado el 17 de octubre de 2006. 12 Se trata de una versión actualizada de ISA Server 2004, y conserva todas las características de ISA Server 2004, excepto Message Screener. ISA Server Appliance Edition Microsoft también ofrece ISA Server 2006 Appliance Edition, un software diseñado para ser pre-instalado en un hardware OEM que se vende por el fabricante de hardware como un solo tipo de dispositivo de servidor de seguridad. Microsoft Forefront TMG MBE Microsoft Forefront Threat Management Gateway medio Business Edition (Forefront TMG MBE) es la próxima versión de ISA Server, que también se incluye con Windows Essential Business Server . Esta versión sólo se ejecuta en la edición de 64 bits de Windows Server 2008 y no soporta características Enterpise edición como el apoyo de matriz o política de empresa. Microsoft Forefront TMG 2010 Microsoft Forefront Threat Management Gateway 2010 (Forefront TMG 2010) fue lanzado el 17 de noviembre de 2009. Se construye sobre la base de ISA Server 2006 y proporciona una protección Web mejorada, soporte nativo de 64 bits, soporte para Windows Server 2008 y de Windows Server 2008 R2 , la protección contra malware y BITS almacenamiento en caché. Service Pack 1 para este producto fue lanzado el 23 de junio de 2010. Se incluye varias nuevas características para apoyar a Windows Server 2008 R2 y Microsoft SharePoint 2010 líneas de productos. Service Pack dos para este producto fue lanzado el 10 de octubre de 2011. ¿Qué función tiene actualmente Microsoft Forefront TMG Treat Managment Gateway? Microsoft Forefront Threat Management Gateway (Forefront TMG) , anteriormente conocido como Microsoft Internet Security and Acceleration Server (ISA Server) , es una seguridad de red y solución de protección de Microsoft Windows , descrita por Microsoft como " permite a las empresas, al permitir a los empleados a utilizar de manera segura y productiva Internet para los negocios sin la preocupación de malware y otras amenazas. Microsoft diseñó Forefront para implementarlo en un dominio de Windows. Aunque se puede usar en el contexto de un grupo de trabajo empresarial, existen algunas limitaciones menores que normalmente no se encontrarían en un entorno de dominio. Luis Alfonso Sánchez Brazales Por ejemplo, si se va a implementar Forefront en un entorno de grupo de trabajo, no se podrá usar la detección de proxy web automática. De manera similar, sin un dominio de Active Directory, no es posible configurar Forefront mediante directiva de grupo. En su lugar, se deben usar directivas de seguridad locales en cada máquina individual que ejecute Forefront. Otras limitaciones exigen una consideración más cuidadosa. Por ejemplo, los equipos que ejecutan Forefront TMG Standard generalmente están unidos a Enterprise Management Server. Sin embargo, no es posible realizar la replicación Enterprise Management Server en un entorno de grupo de trabajo. A menudo en las organizaciones el tratamiento de cada departamento o rol de empresa, en lo concerniente al acceso a Internet, presenta unas peculiaridades que hacen necesario aplicar excepciones a las condiciones generales. Así por necesidad determinadas áreas como la de seguridad necesitarán tener acceso a web maliciosas para la realización de pruebas o la descarga de aplicaciones con la que realizar determinados test. En otras circunstancias roles o usuarios VIP podrían solicitar condiciones particulares para el acceso a determinadas web como pueden ser las de Poker Online. La características aportadas por MS Forefront TMG ofrece dos opciones para garantizar el acceso. Permite el establecimiento de filtrados por categorización de URLs o haciendo uso del objeto gestionado conjunto de URL, de tal forma que estas pueden integrarse en las reglas del firewall para permitir o denegar el acceso en función de dichas características. Tomando como ejemplo vínculos a Juegos de Poker, se podrían establecer condiciones para que determinados usuarios de la organización tuvieran acceso a las mismas, mientras que el resto no. En el caso del servicio de reputación de Microsoft (MSR), estas web se encuentran categorizada como de Apuestas. Por lo tanto para hacer factible el acceso a determinados usuarios, sería necesario la creación de una regla de acceso haciendo factible el acceso a los usuarios correspondientes a dicha categoría tal y como se muestra en la siguiente imagen. INSTALACIÓN Y CONFIGURACIÓN Entidad de certificación Uno de los mayores requisitos para instalar Forefront en un entorno de grupo de trabajo es que se debe tener instalado un certificado de servidor en el servidor de Forefront TMG. Dado que este certificado sólo se usará internamente, Microsoft recomienda la creación de una entidad de certificación empresarial propia como forma de evitar los costos asociados con la compra de un certificado comercial. Windows Server tiene todo lo necesario para su configuración como entidad de certificación. Dada la naturaleza confidencial de los certificados de servidor, sin embargo, se deben implementar servicios de certificado en un servidor distinto del que actuará como puerta de enlace de Forefront en el perímetro de la red. Una vez que haya elegido un servidor para que actúe como entidad de certificación, abra Administrador del servidor. Vaya al contenedor Funciones y haga clic en el vínculo Agregar funciones. Windows iniciará el asistente Agregar funciones. Omita la pantalla de bienvenida del asistente y pasará a otra pantalla que le pedirá que elija las funciones que desea instalar. Elija la función Servicios de certificados de Active Directory y haga clic en Siguiente. Verá un mensaje de advertencia que le dirá que, una vez que instale los servicios de certificado de Active Directory, no podrá cambiar el nombre ni el estado de dominio del servidor. Luis Alfonso Sánchez Brazales Se le pedirá que elija los servicios de la función que desea a implementar. Elija los servicios de Entidad de certificación e Inscripción web de entidad de certificación y haga clic en Siguiente. En este punto, Windows le preguntará si desea implementar una entidad de certificación independiente o empresarial. Dado que está realizando la configuración para un entorno de grupo de trabajo, elija la opción Independiente. Haga clic en Siguiente, y se le pedirá que elija el tipo de Entidad de certificación. Dado que ésta es la primera entidad de certificación de la organización, elija la opción CA raíz y haga clic en Siguiente. El asistente, a continuación, le preguntará si desea crear una clave privada nueva o usar una clave privada existente. Cree una nueva clave privada y haga clic en Siguiente. Cuando Windows muestre la pantalla Criptografía del asistente, haga clic en Siguiente para aceptar los valores predeterminados. A continuación, se le pedirá que proporcione un nombre común para la Entidad de certificación. Escriba un nombre a su elección y anótelo. Más adelante necesitará conocer este nombre cuando implemente Forefront. Se le pedirá que seleccione un período de validez del certificado. Haga clic en Siguiente para aceptar los valores predeterminados. A continuación, el asistente le pedirá que especifique la ubicación de la base de datos del certificado. Use cualquier ubicación que desee, pero debe asegurarse de hacer copias de seguridad de cualquier ubicación que elija. A continuación, el asistente mostrará una introducción a IIS. Haga clic en Siguiente una vez más y podrá instalar servicios de función adicionales para IIS. Los servicios de función requeridos ya están seleccionados, por lo que sólo debe hacer clic en Siguiente y después en Instalar para implementar los servicios de función requeridos. Cuando el proceso termine, haga clic en Cerrar. Preparación del servidor Deberá preparar el servidor antes de instalar Forefront TMG. Empiece con la instalación de todas las revisiones más recientes de Windows Server en el servidor. Esto es importante; Forefront no se instaló correctamente cuando omití sin darme cuenta este paso. Una vez que el servidor esté actualizado, inserte los medios de instalación de Forefront TMG 2010. Cuando Windows muestre la pantalla de presentación de Forefront, haga clic en el vínculo Run Preparation Tool (Ejecutar herramienta de preparación). Cuando lo haga, Windows iniciará el asistente Forefront TMG Preparation Tool (Herramienta de preparación de Forefront TMG). Omita la pantalla de bienvenida del asistente y se le pedirá que acepte el contrato de licencia. Verá la pantalla que se muestra en la ilustración 1, que le pregunta el tipo de instalación de Forefront que realizará. Elija la opción Forefront TMG Services and Management (Servicios y administración de Forefront TMG) y haga clic en Siguiente. Luis Alfonso Sánchez Brazales Windows ahora instalará todas las funciones y características necesarias. Cuando el proceso termine, asegúrese de que la casilla Launch Forefront TMG Installation Wizard (Iniciar asistente de instalación de Forefront TMG) esté activada y haga clic en Finalizar. Instalación de Forefront TMG A continuación, Windows iniciará el asistente Forefront TMG Enterprise Installation (Instalación empresarial de Forefront TMG). Después de la pantalla de bienvenida y de aceptar el contrato de licencia, haga clic en Siguiente una vez más y deberá proporcionar la clave de producto. Haga clic en Siguiente una vez más y el asistente le pedirá que confirme la ruta de instalación. Suponiendo que todo esté bien, haga clic en Siguiente para ir a la pantalla Define Internal Network (Definir red interna). Forefront TMG está diseñado para implementación en el perímetro de la red, por lo que necesita conocer las direcciones IP incluidas en su red interna. Puede proporcionar su intervalo de direcciones interno haciendo clic en el botón Agregar. En este punto, se lo dirigirá al cuadro de diálogo Direcciones. Haga clic en el botón Add Adapters (Agregar adaptadores) y elija el adaptador conectado a su red interna, como se muestra en lailustración 2. Si el adaptador usa una dirección IP dinámica, puede que deba volver al cuadro de diálogo Direcciones y especificar su intervalo de direcciones manualmente. Luis Alfonso Sánchez Brazales Cuando haya especificado su adaptador y todos los intervalos de direcciones IP internos, haga clic en Siguiente. Puede que vea un mensaje de advertencia que le indica que reinicie algunos de sus servicios. Si lo ve, sólo haga clic en Siguiente una vez más. En este punto, puede que vea un mensaje que le indica que se está habilitando la administración remota desde su dirección IP. Si ve dicho mensaje en ese momento, asegúrese de anotar la dirección IP antes de hacer clic en Siguiente. Ahora debe ver un mensaje que le indica que está listo para instalar Forefront. Haga clic en el botón Instalar, y comenzará el proceso de instalación. Como puede ver en la ilustración 2, el asistente le indica el tiempo calculado que tardará la instalación. Cuando el proceso de instalación termine, haga clic en Configuración de Forefront TMG Ahora que ha instalado Forefront TMG, abra la consola Forefront TMG Management y seleccione el nodo superior en el árbol de consola. Haga clic en el vínculo Launch Getting Started Wizard (Iniciar asistente de introducción), ubicado en el panel Acciones. Cuando lo haga, Forefront iniciará el asistente de introducción, como se muestra en la ilustración 3. Luis Alfonso Sánchez Brazales Haga clic en el botón Configure Network Settings (Configurar las opciones de red) para comenzar el proceso de configuración, como se muestra en la ilustración 3. Con esta acción se iniciará el Asistente para configuración de red. Omita la pantalla de bienvenida del asistente y pasará a una pantalla que le pedirá que elija la plantilla de red que mejor representen su topología. Dado que va a configurar el servidor de Forefront para que proporcione protección en el perímetro, seleccione Firewall perimetral como se muestra en la ilustración 4. Luis Alfonso Sánchez Brazales Se le pedirá que seleccione el adaptador de red conectado a su red interna. Esto también le permite especificar rutas adicionales, pero hacer esto rara vez es necesario en un entorno de grupo de trabajo. Después de realizar la selección, haga clic en Siguiente y verá una pantalla que le pedirá que elija el adaptador de red conectado a Internet. Realice su selección y haga clic en Siguiente y, a continuación, en Finalizar. Configuración de los valores del sistema Ahora es momento de configurar los valores del sistema. Haga clic en el botón Configure System Settings (Configurar los valores del sistema) que se muestra en la ilustración 3. Cuando lo haga, Windows iniciará System Configuration Wizard (Asistente para configuración del sistema). Omita la pantalla de bienvenida del asistente y verá una pantalla similar a la que se muestra en lailustración 5. En un entorno de dominio, debe proporcionar un nombre de dominio y un sufijo DNS. Dado que estamos configurando Forefront en un grupo de trabajo, no necesitamos hacer nada. Haga clic en Siguiente y después en Finalizar para completar la configuración del sistema. Luis Alfonso Sánchez Brazales Definir opciones de implementación El último paso en el proceso de configuración es la definición de las opciones de implementación. Haga clic en el botón Define Deployment Options (Definir opciones de implementación) que se muestra en la ilustración 3. Cuando Windows inicie el Asistente para implementación, haga clic en Siguiente para omitir la pantalla de bienvenida. A continuación, se le preguntará si desea usar Microsoft Update para comprobar si existen actualizaciones de antivirus. Es muy recomendable elegir Sí. Haga clic en Siguiente y pasará a la pantalla que se muestra en la ilustración 6. Luis Alfonso Sánchez Brazales Como se puede ver en la ilustración 6, debe activar su licencia de Forefront. Habilite el Network Inspection System (Sistema de inspección de redes), que buscará código malintencionado en el nivel de paquetes HTTP/HTTPS. También debe activar la casilla Enable Malware Inspection (Habilitar inspección de Malware); también puede habilitar el filtrado de URL si lo desea. Deberá configurar una opción para controlar la frecuencia con la que Forefront busca actualizaciones de antivirus. De manera predeterminada, la actualización revisará cada 15 minutos. También puede configurar una notificación si las revisiones de la actualización fallan durante un tiempo prolongado A continuación, el asistente le preguntará si desea participar en el Programa para la mejora de la experiencia del usuario de Microsoft. Realice su selección, haga clic en Siguiente y después en Finalizar para terminar el proceso de configuración. Haga clic en cerrar para cerrar Getting Started Wizard (Asistente de introducción). Windows ahora iniciará automáticamente el Asistente para directivas de acceso web. Este asistente permite controlar los tipos de filtrado web que realiza Forefront. Haga clic en Siguiente para omitir la pantalla de bienvenida y verá una pantalla que le preguntará si desea crear una regla predeterminada que bloquee posibles URL malintencionados. Haga clic en Sí y, a continuación, en Siguiente. En este punto, verá una pantalla que le preguntará acerca de los tipos de sitios web a los cuales desearía bloquear el acceso. Por ejemplo, puede bloquear el acceso a sitios que contengan lenguaje inflamatorio o cualquier cosa obscena. La lista de contenido bloqueado se llena automáticamente, pero puede ajustarla según sea necesario. Luis Alfonso Sánchez Brazales A continuación, el asistente le preguntará si desea aplicar reglas de inspección de malware a las directivas de acceso web. Se recomienda elegir Sí, al igual que activar la casilla, para bloquear archivos ZIP cifrados que puedan contener archivos malintencionados. Se le preguntará si desea que los usuarios usen sesiones HTTP de SSL cifrado (HTTPS). Se recomienda inspeccionar el contenido de HTTPS, pero las precauciones de Forefront que hacen esto podrían tener consecuencias legales. Considere su decisión cuidadosamente. Si elige inspecciones HTTPS, se le preguntará si desea o no notificar al usuario de dichas inspecciones. También se informará que se requiere un certificado para el proceso de inspección. Puede hacer que Forefront genere un certificado autofirmado o usar un certificado personalizado. El uso de un certificado autofirmado ni siquiera es una opción en un entorno de grupo de trabajo, por lo que deberá elegir la opción Certificado personalizado. A continuación, deberá proporcionar el nombre de su entidad de certificación. Éste es el nombre descriptivo que definió cuando creó la entidad de certificación, no necesariamente el nombre del equipo del servidor. Por último, verá una pantalla que indica que deberá exportar e implementar manualmente el certificado. Proporcione una carpeta de destino en el asistente, en la cual se pueda descargar el certificado, y haga clic en Siguiente. Cuando se le pida, habilite la regla Almacenamiento en caché de Web para finalizar el proceso. Este procedimiento instala Forefront TMG de manera tal que puede hacer que inspeccione paquetes HTTP/HTTPS cuando pasan por el perímetro de la red. Tenga en cuenta, sin embargo, que Forefront TMG ofrece muchas características adicionales, como la capacidad de inspeccionar mensajes de correo electrónico. Ésta es una implementación más simple, adecuada para proteger grupos de trabajo. Luis Alfonso Sánchez Brazales