Microsoft Forefront: protección de grupos de trabajo con Forefront
Puede usar Microsoft Forefront Threat Management Gateway como está diseñado con Active Directory, o usarlo para proteger una configuración de grupo de trabajo.
Brien Posey
La conectividad permite colaboración, pero significa riesgo y exposición. Gracias a Microsoft Forefront Threat Management Gateway (Forefront TMG) 2010, es posible configurar a los trabajadores en un grupo de trabajo y mantenerlos protegidos, junto con sus datos y su red corporativa.
Aunque generalmente se lo considera una aplicación empresarial diseñada para un entorno de Active Directory, Forefront no necesariamente se debe implementar dentro de Active Directory. Forefront TMG se puede implementar eficazmente en diversas topologías y para varios propósitos.
En un entorno de grupo de trabajo, es recomendable configurar Forefront TMG en el perímetro de la red, de manera que busque la presencia de contenido malintencionado en paquetes HTTP y HTTPS entrantes. También lo puede usar para filtrar los tipos de sitios web que visitan sus usuarios.
Dado que el servidor Forefront TMG se asienta en el perímetro de la red, debe tener un mínimo de dos adaptadores de red. Un adaptador se conecta a la red privada, mientras que el otro se conecta al mundo exterior. Microsoft recomienda que ambos adaptadores se configuren con una dirección IP estática.
Microsoft diseñó Forefront para implementarlo en un dominio de Windows. Aunque se puede usar en el contexto de un grupo de trabajo empresarial, existen algunas limitaciones menores que normalmente no se encontrarían en un entorno de dominio.
Por ejemplo, si se va a implementar Forefront en un entorno de grupo de trabajo, no se podrá usar la detección de proxy web automática. De manera similar, sin un dominio de Active Directory, no es posible configurar Forefront mediante directiva de grupo. En su lugar, se deben usar directivas de seguridad locales en cada máquina individual que ejecute Forefront.
Otras limitaciones exigen una consideración más cuidadosa. Por ejemplo, los equipos que ejecutan Forefront TMG Standard generalmente están unidos a Enterprise Management Server. Sin embargo, no es posible realizar la replicación Enterprise Management Server en un entorno de grupo de trabajo.
Entidad de certificación
Uno de los mayores requisitos para instalar Forefront en un entorno de grupo de trabajo es que se debe tener instalado un certificado de servidor en el servidor de Forefront TMG. Dado que este certificado sólo se usará internamente, Microsoft recomienda la creación de una entidad de certificación empresarial propia como forma de evitar los costos asociados con la compra de un certificado comercial.
Windows Server tiene todo lo necesario para su configuración como entidad de certificación. Dada la naturaleza confidencial de los certificados de servidor, sin embargo, se deben implementar servicios de certificado en un servidor distinto del que actuará como puerta de enlace de Forefront en el perímetro de la red.
Una vez que haya elegido un servidor para que actúe como entidad de certificación, abra Administrador del servidor. Vaya al contenedor Funciones y haga clic en el vínculo Agregar funciones. Windows iniciará el asistente Agregar funciones. Omita la pantalla de bienvenida del asistente y pasará a otra pantalla que le pedirá que elija las funciones que desea instalar.
Elija la función Servicios de certificados de Active Directory y haga clic en Siguiente. Verá un mensaje de advertencia que le dirá que, una vez que instale los servicios de certificado de Active Directory, no podrá cambiar el nombre ni el estado de dominio del servidor.
Se le pedirá que elija los servicios de la función que desea a implementar. Elija los servicios de Entidad de certificación e Inscripción web de entidad de certificación y haga clic en Siguiente.
En este punto, Windows le preguntará si desea implementar una entidad de certificación independiente o empresarial. Dado que está realizando la configuración para un entorno de grupo de trabajo, elija la opción Independiente. Haga clic en Siguiente, y se le pedirá que elija el tipo de Entidad de certificación. Dado que ésta es la primera entidad de certificación de la organización, elija la opción CA raíz y haga clic en Siguiente.
El asistente, a continuación, le preguntará si desea crear una clave privada nueva o usar una clave privada existente. Cree una nueva clave privada y haga clic en Siguiente.
Cuando Windows muestre la pantalla Criptografía del asistente, haga clic en Siguiente para aceptar los valores predeterminados. A continuación, se le pedirá que proporcione un nombre común para la Entidad de certificación. Escriba un nombre a su elección y anótelo. Más adelante necesitará conocer este nombre cuando implemente Forefront.
Se le pedirá que seleccione un período de validez del certificado. Haga clic en Siguiente para aceptar los valores predeterminados. A continuación, el asistente le pedirá que especifique la ubicación de la base de datos del certificado. Use cualquier ubicación que desee, pero debe asegurarse de hacer copias de seguridad de cualquier ubicación que elija.
A continuación, el asistente mostrará una introducción a IIS. Haga clic en Siguiente una vez más y podrá instalar servicios de función adicionales para IIS. Los servicios de función requeridos ya están seleccionados, por lo que sólo debe hacer clic en Siguiente y después en Instalar para implementar los servicios de función requeridos. Cuando el proceso termine, haga clic en Cerrar.
Preparación del servidor
Deberá preparar el servidor antes de instalar Forefront TMG. Empiece con la instalación de todas las revisiones más recientes de Windows Server en el servidor. Esto es importante; Forefront no se instaló correctamente cuando omití sin darme cuenta este paso.
Una vez que el servidor esté actualizado, inserte los medios de instalación de Forefront TMG 2010. Cuando Windows muestre la pantalla de presentación de Forefront, haga clic en el vínculo Run Preparation Tool (Ejecutar herramienta de preparación). Cuando lo haga, Windows iniciará el asistente Forefront TMG Preparation Tool (Herramienta de preparación de Forefront TMG).
Omita la pantalla de bienvenida del asistente y se le pedirá que acepte el contrato de licencia. Verá la pantalla que se muestra en la ilustración 1, que le pregunta el tipo de instalación de Forefront que realizará. Elija la opción Forefront TMG Services and Management (Servicios y administración de Forefront TMG) y haga clic en Siguiente.
.jpg)
Ilustración 1 Elija la opción ForeFront TMG Services and Management para la instalación
Windows ahora instalará todas las funciones y características necesarias. Cuando el proceso termine, asegúrese de que la casilla Launch Forefront TMG Installation Wizard (Iniciar asistente de instalación de Forefront TMG) esté activada y haga clic en Finalizar.
Instalación de Forefront TMG
A continuación, Windows iniciará el asistente Forefront TMG Enterprise Installation (Instalación empresarial de Forefront TMG). Después de la pantalla de bienvenida y de aceptar el contrato de licencia, haga clic en Siguiente una vez más y deberá proporcionar la clave de producto. Haga clic en Siguiente una vez más y el asistente le pedirá que confirme la ruta de instalación. Suponiendo que todo esté bien, haga clic en Siguiente para ir a la pantalla Define Internal Network (Definir red interna).
Forefront TMG está diseñado para implementación en el perímetro de la red, por lo que necesita conocer las direcciones IP incluidas en su red interna. Puede proporcionar su intervalo de direcciones interno haciendo clic en el botón Agregar.
En este punto, se lo dirigirá al cuadro de diálogo Direcciones. Haga clic en el botón Add Adapters (Agregar adaptadores) y elija el adaptador conectado a su red interna, como se muestra en la ilustración 2. Si el adaptador usa una dirección IP dinámica, puede que deba volver al cuadro de diálogo Direcciones y especificar su intervalo de direcciones manualmente.
.jpg)
Ilustración 2 Elija el adaptador conectado a su red interna
Cuando haya especificado su adaptador y todos los intervalos de direcciones IP internos, haga clic en Siguiente. Puede que vea un mensaje de advertencia que le indica que reinicie algunos de sus servicios. Si lo ve, sólo haga clic en Siguiente una vez más.
En este punto, puede que vea un mensaje que le indica que se está habilitando la administración remota desde su dirección IP. Si ve dicho mensaje en ese momento, asegúrese de anotar la dirección IP antes de hacer clic en Siguiente.
Ahora debe ver un mensaje que le indica que está listo para instalar Forefront. Haga clic en el botón Instalar, y comenzará el proceso de instalación. Como puede ver en la ilustración 2, el asistente le indica el tiempo calculado que tardará la instalación. Cuando el proceso de instalación termine, haga clic en
Configuración de Forefront TMG
Ahora que ha instalado Forefront TMG, abra la consola Forefront TMG Management y seleccione el nodo superior en el árbol de consola. Haga clic en el vínculo Launch Getting Started Wizard (Iniciar asistente de introducción), ubicado en el panel Acciones. Cuando lo haga, Forefront iniciará el asistente de introducción, como se muestra en la ilustración 3.
.jpg)
Ilustración 3 Getting Started Wizard (Asistente de introducción) lo guía a través del proceso de configuración
Haga clic en el botón Configure Network Settings (Configurar las opciones de red) para comenzar el proceso de configuración, como se muestra en la ilustración 3. Con esta acción se iniciará el Asistente para configuración de red. Omita la pantalla de bienvenida del asistente y pasará a una pantalla que le pedirá que elija la plantilla de red que mejor representen su topología. Dado que va a configurar el servidor de Forefront para que proporcione protección en el perímetro, seleccione Firewall perimetral como se muestra en la ilustración 4.
.jpg)
Ilustración 4 Seleccione la opción Firewall perimetral
Se le pedirá que seleccione el adaptador de red conectado a su red interna. Esto también le permite especificar rutas adicionales, pero hacer esto rara vez es necesario en un entorno de grupo de trabajo.
Después de realizar la selección, haga clic en Siguiente y verá una pantalla que le pedirá que elija el adaptador de red conectado a Internet. Realice su selección y haga clic en Siguiente y, a continuación, en Finalizar.
Configuración de los valores del sistema
Ahora es momento de configurar los valores del sistema. Haga clic en el botón Configure System Settings (Configurar los valores del sistema) que se muestra en la ilustración 3. Cuando lo haga, Windows iniciará System Configuration Wizard (Asistente para configuración del sistema).
Omita la pantalla de bienvenida del asistente y verá una pantalla similar a la que se muestra en la ilustración 5. En un entorno de dominio, debe proporcionar un nombre de dominio y un sufijo DNS. Dado que estamos configurando Forefront en un grupo de trabajo, no necesitamos hacer nada. Haga clic en Siguiente y después en Finalizar para completar la configuración del sistema.
.jpg)
Ilustración 5 Compruebe que Forefront esté configurado para una implementación de grupo de trabajo
Definir opciones de implementación
El último paso en el proceso de configuración es la definición de las opciones de implementación. Haga clic en el botón Define Deployment Options (Definir opciones de implementación) que se muestra en la ilustración 3. Cuando Windows inicie el Asistente para implementación, haga clic en Siguiente para omitir la pantalla de bienvenida.
A continuación, se le preguntará si desea usar Microsoft Update para comprobar si existen actualizaciones de antivirus. Es muy recomendable elegir Sí. Haga clic en Siguiente y pasará a la pantalla que se muestra en la ilustración 6.
.jpg)
Ilustración 6 Activar la licencia gratuita y habilitar la inspección de malware
Como se puede ver en la ilustración 6, debe activar su licencia de Forefront. Habilite el Network Inspection System (Sistema de inspección de redes), que buscará código malintencionado en el nivel de paquetes HTTP/HTTPS. También debe activar la casilla Enable Malware Inspection (Habilitar inspección de Malware); también puede habilitar el filtrado de URL si lo desea.
Deberá configurar una opción para controlar la frecuencia con la que Forefront busca actualizaciones de antivirus. De manera predeterminada, la actualización revisará cada 15 minutos. También puede configurar una notificación si las revisiones de la actualización fallan durante un tiempo prolongado.
A continuación, el asistente le preguntará si desea participar en el Programa para la mejora de la experiencia del usuario de Microsoft. Realice su selección, haga clic en Siguiente y después en Finalizar para terminar el proceso de configuración. Haga clic en cerrar para cerrar Getting Started Wizard (Asistente de introducción).
Windows ahora iniciará automáticamente el Asistente para directivas de acceso web. Este asistente permite controlar los tipos de filtrado web que realiza Forefront. Haga clic en Siguiente para omitir la pantalla de bienvenida y verá una pantalla que le preguntará si desea crear una regla predeterminada que bloquee posibles URL malintencionados. Haga clic en Sí y, a continuación, en Siguiente.
En este punto, verá una pantalla que le preguntará acerca de los tipos de sitios web a los cuales desearía bloquear el acceso. Por ejemplo, puede bloquear el acceso a sitios que contengan lenguaje inflamatorio o cualquier cosa obscena. La lista de contenido bloqueado se llena automáticamente, pero puede ajustarla según sea necesario.
A continuación, el asistente le preguntará si desea aplicar reglas de inspección de malware a las directivas de acceso web. Se recomienda elegir Sí, al igual que activar la casilla, para bloquear archivos ZIP cifrados que puedan contener archivos malintencionados.
Se le preguntará si desea que los usuarios usen sesiones HTTP de SSL cifrado (HTTPS). Se recomienda inspeccionar el contenido de HTTPS, pero las precauciones de Forefront que hacen esto podrían tener consecuencias legales. Considere su decisión cuidadosamente.
Si elige inspecciones HTTPS, se le preguntará si desea o no notificar al usuario de dichas inspecciones. También se informará que se requiere un certificado para el proceso de inspección.
Puede hacer que Forefront genere un certificado autofirmado o usar un certificado personalizado. El uso de un certificado autofirmado ni siquiera es una opción en un entorno de grupo de trabajo, por lo que deberá elegir la opción Certificado personalizado. A continuación, deberá proporcionar el nombre de su entidad de certificación. Éste es el nombre descriptivo que definió cuando creó la entidad de certificación, no necesariamente el nombre del equipo del servidor.
Por último, verá una pantalla que indica que deberá exportar e implementar manualmente el certificado. Proporcione una carpeta de destino en el asistente, en la cual se pueda descargar el certificado, y haga clic en Siguiente. Cuando se le pida, habilite la regla Almacenamiento en caché de Web para finalizar el proceso.
Este procedimiento instala Forefront TMG de manera tal que puede hacer que inspeccione paquetes HTTP/HTTPS cuando pasan por el perímetro de la red. Tenga en cuenta, sin embargo, que Forefront TMG ofrece muchas características adicionales, como la capacidad de inspeccionar mensajes de correo electrónico. Ésta es una implementación más simple, adecuada para proteger grupos de trabajo.
.jpg)
Brien Posey*, MVP, es autor técnico independiente con miles de artículos y docenas de libros a su haber. Puede visitar el sitio web de Brien en brienposey.com.*