INSTALACIN DE FOREFRONT TMG 2010

REALIZADO POR:

ELIZABETH MONTOYA RAMIREZ

JACOB RODRIGUEZ DUQUE
BEATRIZ ELENA VERGARA
JUAN DAVID HERNANDEZ

FICHA 321961

SERVICIO NACIONAL DE APRENDIZAJE SENA

CENTRO DE SERVICIOS Y GESTIN EMPRESARIAL
GESTIN DE REDES DE DATOS
MEDELLIN-ANTIOQUIA
2013

INSTALACIN DE FOREFRONT 2010

REALIZADO POR:

ELIZABETH MONTOYA RAMIREZ

JACOB RODRIGUEZ DUQUE
BEATRIZ ELENA VERGARA
JUAN DAVID HERNANDEZ

FICHA 321961

INSTALACIN DE FOREFRONT TMG

INSTRUCTORA
LINA MCKOLL HERNANDEZ

SERVICIO NACIONAL DE APRENDIZAJE SENA

CENTRO DE SERVICIOS Y GESTIN EMPRESARIAL
GESTIN DE REDES DE DATOS
MEDELLIN-ANTIOQUIA
2013
2

INDICE

Pg.

1.
2.
3.
4.
5.
6.

INTRODUCCIN A TMG4
ESQUEMA A MONTAR..7
REQUERIMIENTOS DE HARDWARE DE TMG....8
PREPARAR MQUINA VIRTUAL8
INSTALACIN DE TMG.9
CONFIGURACIN DE TMG.26
6.1. CONFIGURACIN INICIAL TMG.26
6.2. CREACIN DE REGLAS BSICAS.40

7. CONCLUSIONES...79
8. GLOSARIO...80

1. INTRODUCCIN A FOREFRONT TMG

Forefront es una versin que constituye la evolucin de seguridad perimetral

de ISA server 2006, TMG posee novedosas tecnologas de seguridad que nos
van a permitir obtener mucho ms de los que se obtena con ISA server, los
principales cambios son:

Instalacin y administracin:

Arquitectura de 64 bits: solo se maneja en arquitectura de 64 bits, con estos

vamos a tener todas las mejoras a nivel de memoria y rendimiento que nos
ofrece esta arquitectura.
Reportes mejorados: incorpora mucha mejora a nivel de reportes, ya entrega
mucha ms informacin y mejor estructurada a la que nos daba el ISA
SERVER 2006.

Firewall:

NAT mejorado: permite la traduccin de direcciones IP privadas a pblicas, hay

protocolos que an no son lo suficientemente compactibles con TMG.
Redundancia de ISP: vamos a poder tener dos proveedores de internet, en
caso de que falle un proveedor los usuarios van a poder seguir navegando por
la otra conexin sin ningn problema, caracterstica que no posea el ISA
SERVER.
Mejoras en logging: el motor de registros es mucho ms rpido y
eficiente.
Cliente de firewall actualizado: es mucho ms rpido, da ms informacin al
usuario e incluye nuevas caractersticas.

Acceso remoto:

Integracin de NAP con VPN: VPN de TMG se integra con el servicio de

Network Access Protection, ahora podemos decir que si un usuario que se est
conectando por VPN
no cumple con ciertos
requisitos a nivel de
actualizaciones o de antivirus simplemente no le vamos a dar acceso a nuestra
red y vamos a tener mejor control en caso de que llegue una mquina que
este desactualizada o con algn tipo de troyano o virus.
4

Soporta VPNs en SSTP: ahora tambin se soporta un nuevo tnel de VPN

llamado SSTP que est basado exclusivamente en SSL, lo que quiere decir
que utiliza el puerto 443 y vamos a poder conectarnos desde cualquier lugar
que soporte una conexin por HTTPS, anteriormente cuando se utilizaban otros
tipos de tneles (IPSEC ) se presentaba mucho problema los usuarios no
podan establecer una conexin por problema de que no se soportaba NAT o
estaba cerrada la conexin, ahora es menos complicado ya que corre sobre el
mismo protocolo de HTTPS.

Proteccin de EMAIL:

Soporte de Exchange Edge/FPES: es posible instalar el rol de correo en la

misma mquina que se instala TMG, solo activamos el rol de Exchange
transport y en esa misma maquina instalamos el Forefront Protection for
Exchange, de esta manera vamos a tener en un solo servidor la parte de
antivirus, la parte de filtrado de contenido, la parte de firewall y la parte de
higiene de correo.
Antivirus: dentro de este servicio vamos a poder configurar antivirus para los
correos y Anti-Spam para los correos que estn entrando, esto se maneja a
travs de una licencia adicional ya que no es un servicio que venga con el
TMG, pero existe la posibilidad de tener todo integrado dentro de una misma
consola.

Secure Web Access:

Sistema de suscripcin MRS: el antivirus HTTP y el URL Filtering funcionan

mediante un sistema de suscripcin llamado MRS, es el que nos va a estar
brindando las actualizaciones de web y es el que nos va a estar dando
acceso a las URL Filtering, esto es una licencia adicional y se activa en el
TMG.
Http antivirus/antimalware: cuando trabajbamos con ISA SERVER podamos
saber que usuario sala a internet y que usuario no sala a internet, pero no
podamos saber si lo que descargaba esa persona viniera limpio de virus o de
cdigo malicioso, ahora con el TMG 2010 nosotros podemos chequear a nivel
de antivirus, nivel de antimalware todo lo que esta persona est descargando
de internet para tener un nivel de proteccin adicional y no depender
nicamente del antivirus que est instalado en la mquina del usuario
URL Filtering (92 categoras): adicionalmente podemos filtrar los sitios a los
cuales se est conectando esta persona mediante otra tecnologa llamada
URL Filtering, cuando se usaba ISA SERVER 2006 y queramos especificar
que no queremos que los usuarios visiten sitios de juegos, sitios de
pornografa, sitios de intercambio de archivos etc. tenamos que utilizar una
herramienta de terceros que tuviera estas categoras y pudiramos bloquear la
5

navegacin de los usuarios , ahora con TMG, se incluye la parte de filtrado de

URL directamente en el Forefront TMG.
HTTPS inspection: nosotros anteriormente no podamos verificar las
conexiones salientes de HTTPS de los usuarios y muchos troyanos se estn
encaminando por tneles de HTTP para que los firewall no los puedan prevenir
o bloquear, con TMG ahora podemos abrir un tnel de HTTPS, ver todo lo que
est pasando por ese tnel y verificar que los usuarios no estn recibiendo
ningn virus, ningn troyano, y tener la red mucho ms protegida.

DIFERENCIAS ENTRE ISA SERVER 2006 Y FOREFRONT THREAT

MANAGEMENT GATEWAY 2010.

FEATURES SUMMARY
COMPARING WITH ISA SERVER 2006
Network layer firewall
Application layer firewall
Internet access protection (proxy)
Basic OWA & SharePoint publishing
Exchange publishing (RPC over HTTP)
IPsec VPN (remote & site to site)
Web caching, HTTP compression
Windows Server 2008 /R2. 64 Bits (only)
Web anti-virus, anti-malware
URL filtering
Email anti-malware, anti-spam
Network intrusion prevention
Enhanced UI, management, reporting

ISA SERVER FOREFRONT

2006
TMG 2010

New
New
New
New
New
New

2. ESQUEMA A MONTAR
ZONA 1 _ LAN
Es la zona de la red privada o interna, cuya direccin de red asignada es
172.16.70.10, la mquina tendr el S.O Centos, contar con los servicios FTP y
WEB, tendr traduccin de direcciones NAT para cuando requiera salir a
INTERNET.
ZONA 2_DMZ (Zona Desmilitarizada)
Es la red perimetral donde se ubican los servidores de la red interna que sern
accedidos por los usuarios de la internet, estos debern estar siempre
disponibles a la red exterior, la direccin de red asignada es la 10.0.0.5, La
mquina tendr el S.O Centos, contara con los servicios FTP, WEB y DNS.
ZONA 3_WAN
Es la zona externa o internet, la cual solo tendr acceso a los servicios alojados
en la DMZ, la mquina tendr un S.O Windows y la IP ser asignada por
DHCP, cuyo servicio se obtendr de un ISP.

NOTA IMPORTANTE:
LA ACTIVIDAD FUE TERMINADA CON DIRECCIN IP DIFERENTE EN LA
RED PERIMETRAL, 192.168.4.2.
7

3. REQUERIMIENTOS DE HARDWARE DE TMG.

PC con procesador de 64 bits.

Sistema operativo Windows server 2008 64 bits.
2 GB de memoria RAM.
25 GB de disco duro.
3 tarjetas de red, (Interna, TMG, Externa), en nuestro caso. Adaptador
de red adicional por cada red conectada al equipo TMG.

4.

PREPARAR MQUINA VIRTUAL

Descargar actualizaciones a la mquina servidor donde se montara

Forefront TMG.
Cambiarle el nombre a la mquina por uno que sea sencillo para usted
recordar.
Configurar los adaptadores de red, recomendable colocarle nombre a
cada adaptador segn el tipo de red que se conecta en ella (interna,
externa o DMZ), ya que ms adelante podran crearse confusiones con
dichos adaptadores.
Al momento de configurar IP esttica, dar clic en advanced, vamos a
DNS y quitamos la seleccin para que este pc no se registre en un
servidor DNS. Ahora vamos a WINS y apagamos el NetBIOS sobre
TCP/IP (Disable NetBIOS over TCP/IP)
Montar servicio WEB IIS, servidor de aplicaciones, DHCP, DNS Y
ACTIVE DIRECTORY.
Pegar la mquina al dominio para instalar TMG.
Montar a la maquina los instaladores necesarios para Forefront TMG.

5. INSTALACIN DE TMG

Damos doble clic al ejecutable y aparece la ventana de instalacin de

TMG, clic en siguiente.

Aqu nos pide la carpeta en la que vamos a descomprimir los

instaladores del TMG, lo dejamos por defecto, clic en siguiente.

Empieza a descomprimir los paquetes, esperamos a que termine.

Una vez ha terminado de descomprimir aparece la ventana de bienvenida y los

pasos de instalacin del Forefront TMG, lo primero que recomienda es que
ejecutemos la actualizacin, Windows update pero ya lo hicimos en los
primeros pasos.

10

Ahora lo que vamos a hacer es ejecutar la herramienta de preparacin,

esta va a instalar algunos roles que se necesitan para este servidor
antes de instalar el TMG.

Aparece la ventana de bienvenida para la preparacin de TMG, clic en

siguiente.

11

Nos dice que va a instalar framework 3.5, entre otras cosas, aceptamos sus
licencias y clic en siguiente.

Seleccionamos la primera opcin para instalar todas las caractersticas

del servidor TMG ya que la ltima solo instala la consola y clic en
siguiente.
12

Aqu va a empezar a instalar los roles que se necesitan para TMG.

13

Si vamos a la consola del servidor en los roles nos van a aparecer un

par de roles nuevos que se estn agregando en este momento.

Una vez termina la instalacin de los roles nos aparece el mensaje en la

ventana de instalacin y los roles agregados al servidor, damos clic en finalizar
para comenzar la instalacin del TMG.

14

Automticamente corre la instalacin TMG Wizard, ya que lo

especificamos en la ventana anterior.

Esperamos unos segundos ya que est levantando la instalacin de los

componentes del TMG.

15

Ahora nos aparece la ventana de bienvenida para la instalacin de

Forefront TMG, clic en siguiente.

16

Aceptamos los trminos la licencia y clic en siguiente.

Esta licencia nos la pone el programa por defecto, clic en siguiente.

Aqu seleccionamos vamos a colocar los instaladores de la aplicacin, lo

dejamos por defecto, clic en siguiente.
17

Aqu nos pide que definamos la red interna que va a brindarle servicios
el servidor de TMG, le vamos decir al TMG cuales direcciones IP son
internas y cuales son externas, clic en agregar.

18

yo le puedo decir que el por defecto busque los rangos de direcciones IP

que yo estoy utilizando basado en un adaptador de red de la mquina,
le doy clic en agregar adaptador.

Como podemos ver e configurado los 3 adaptadores de red y los he

renombrado.

19

Le digo que las busque en el adaptador interna y me dice que la

direccin IP que tiene es la 172.16.70.10, y el rango que l va a poner
es de la 172.16.0.0 a la 172.16.255.255.

Hago lo mismo con la zona desmilitarizada la cual tiene una IP 10.0.0.5,

el rango que l va a poner es de 10.0.0.0 a la 10.255.255.255.

20

En la red externa nos muestra la IP que tiene configurada nuestro

adaptador y adems las redes que ha detectado a su alrededor, es
decir, la informacin que se ha registrado en nuestro Router de salida a
la red.

Entonces seleccionamos las respectivas tarjetas de red y clic en ok.

21

Aqu vemos las redes incluidas en nuestra red interna que van a ser
protegidas, adems, podemos agregar rangos de red si los conocemos
en add Ranger, clic en ok.

Aparece informacin de las redes que acabamos de agregar, clic en

siguiente.

22

Aqu nos dice que va a reiniciar algunos servicios, le damos clic en

siguiente.

Ahora damos clic en instalar.

23

Se demora instalando ms o menos media hora, mientras hace la

instalacin de los componentes necesarios del TMG.

Aqu nos dice que se complet la instalacin satisfactoriamente, damos

clic en finalizar pero no le digamos que lanc el Forefront TMG cuando
se cierre (quitamos el chulito). Damos clic en finalizar.

24

Antes de iniciar la configuracin de Forefront TMG vamos a instalar el

service pack 1 del TMG.
Damos clic en siguiente en la ventana de bienvenida. Clic en siguiente.

Aceptamos los trminos de licencia, clic en siguiente.

25

Vamos a decirle que inicie sesiones con el usuario que esta logueado
actualmente despus de una actualizacin TMG. Clic en siguiente.

Ahora solo queda darle instalar, una vez termine reiniciamos nuestra
maquina server 2008 r2.

26

6. CONFIGURACIN DE TMG
6.1. CONFIGURACIN INICIAL TMG

Ya tenemos instalado entonces TMG, vamos a abrir la consola del Forefront

TMG desde el men INICIO (Forefront TMG Management).

Una vez que nosotros cargamos la consola nos va a salir este asistente de
configuracin inicial, es recomendable que lo sigamos, son pasos muy bsicos
para realizar la configuracin de nuestro TMG. Primero nos aparece activo
configure Network Settings, las dems estn desactivadas porque todava no
las hemos ejecutado. Damos clic.

27

Aparece la ventana de bienvenida de la instalacin, clic en siguiente.

28

Aqu nos pide que tipo de firewall en TMG estamos instalando, tenemos cuatro
opciones, en este caso tenemos un TMG que est separando una red local
interna de una red externa y da acceso a clientes de VPN

Esta opcin solo aparece activada si tiene configurado 3 adaptadores de red,

que es nuestro caso, en el que el TMG protege una red interna del exterior y
brinda una proteccin especial a la zona donde se encuentran los servicios a
los que accedern los clientes de la red externa.

29

En esta red estamos usando un TMG en conjunto con otro firewall que est
ms hacia afuera de la red de permetro y el TMG seria le firewall interno

Otra opcin es usarla como solo proxy y como solo cache en el TMG con una
sola tarjeta de red

30

Seleccionamos la segunda opcin y clic en siguiente.

Aqu nos pregunta cul es el adaptador que tenemos conectado a la LAN (red
interna), aqu es donde le damos utilidad al hecho de haber renombrado las
tarjetas de red.

31

Aqu vemos los datos de la tarjeta de red interna, si quisiramos agregar rutas
adicionales, las podramos agregar en la opcin Add. Le damos siguiente.

Aqu nos pregunta cul es la tarjeta de red que tenemos conectada a la red
externa, a internet, nos da la opcin de colocar IP fija o que obtengamos una
direccin IP automticamente, actualmente la maquina no recibe direccin IP
de manera automtica ya que el DHCP es bloqueado por las reglas del TMG
ya que se aumenta el riesgo al recibir direcciones de DHCP desde una red no
confiable, pero se puede asumir el riesgo para el caso en que sea necesario,
clic en siguiente.

32

Aqu nos pregunta cul es la tarjeta de red que tenemos conectada a la red de
permetro, en nuestro caso el DMZ, la seleccionamos y clic en siguiente.

Aparece la ventana donde nos indica que completamos la configuracin y clic

en finish.

33

Ahora vamos a continuar configurando el segundo paso configure system

Settings

Damos clic en siguiente en la ventana de bienvenida de configuracin.

34

Aqu nos pregunta que a que dominio pertenece este servidor, pero como ya
pegamos este server al directorio activo nos aparece ya configurado con
nuestro dominio, clic en siguiente.

Y ya tenemos configurado el paso nmero dos, clic en finish.

35

Finalmente vamos a definir las opciones de deployment.

Clic en siguiente en la ventana de bienvenida de configuracin.

36

Aqu nos pregunta cmo vamos a descargar las actualizaciones de Forefront,

tanto las de URL Filtering, las de Windows Update, las de network expectin
service y la de antivirus y antimalware, vamos a decirle que use Windows
Update para descargar las actualizaciones, damos siguiente.

TMG ofrece un sistema de proteccin de red que se llama network inspection

system, este sistema es un sistema que va a estar revisando el trfico de
nuestra red y mediante firmas l va a saber y va a poder detectar anomalas
de protocolo en caso de que exista algn gusano que se est propagando por
la red, l va a poder bloquear este tipo de trfico mediante las firmas que l va
recibir desde el sitio web de Microsoft.

37

Tenemos la parte de web Protection que genera una licencia de prueba y

tambin vamos a activar el URL Filtering, esto quiere decir que vamos a tener
antivirus y filtrado mediante URL. Clic en siguiente.

Aqu decimos cada cuanto l va a verificar por las firmas, est por defecto que
chequee cada 15 minutos y que nos envi una alerta cada 45 das, lo
configuramos a 30, tambin pregunta qu tipo de respuesta se le va a dar a los
protocolos cuando el TMG detecte algn tipo de anomala en alguna firma que
l tenga instalada, dejamos lo que por defecto establece Microsoft, clic en
siguiente.

38

Aqu si queremos participar en un curso, damos no y next.

39

Aqu tambin decimos no.

Y damos finalizar, aqu ya estara terminando la configuracin inicial del TMG

y lo que nos arrancara ahora es el asistente de configuracin de reglas.

40

Ya acabado de terminar el paso tres damos clic en close y se iniciara

automticamente el asistente de configuracin de Web Access Policy Wizard.

6.2 CREACIN DE REGLAS BSICAS

Regla 1: la red LAN tenga acceso a la DMZ

Vamos a Firewall Policy, damos clic derecho, nuevo, y seleccionamos Access

rute.

Ahora le vamos a dar nombre a nuestra poltica: LAN a DMZ

41

Seleccionamos la opcin permitir ya que es el objetivo de la regla.

Escogemos los protocolos relacionados y/o necesarios para que se d la

comunicacin entre estos dos tipos de red.

42

Nos aparece la opcin de si queremos habilitar la inspeccin de malware o

cdigos maliciosos, en mi caso le digo que no y, clic en siguiente.

Ahora elegiremos la Red a la cual queremos aplicar la regla, en este caso, la

red interna para que acceda a los servicios de la DMZ.

43

Seleccionamos los servicios a los que queremos que la red ingrese

Escogemos los usuarios que autorizaremos para el ingreso a nuestra Red, en

este caso se brindaran permisos a todos los usuarios.

44

Ya terminada la configuracin damos clic en la opcin finalizar.

Ahora aplicamos la poltica que acabamos de crear.

45

Damos clic en OK y tenemos creada la regla que nos da acceso de la red LAN
a nuestra DMZ.

Comprobamos la conectividad de la Red LAN a DMZ haciendo ping.

46

SERVICIO WEB

SERVICIO FTP

47

Regla 2: la Red LAN Y DMZ tengan acceso a la red WAN

Vamos de nuevo a Firewall Policy para crear otra regla, damos un nombre a la
poltica, en nuestro caso la llamaremos LAN a WAN.

Ahora escogemos la opcin PERMITIR ya que la creacin de esta regla es con

el fin de que las redes LAN Y DMZ puedan acceder a la red WAN.

48

Seleccionamos la opcin que nuestras redes puedan acceder a todo tipo de

trfico en la WAN.

Nos aparece la opcin de habilitar la inspeccin de malware o cdigos

maliciosos, en este caso no lo habilitaremos, clic en siguiente.

49

Seleccionamos las redes que queremos que tengan conectividad con la red
externa, en nuestro caso ser la red LAN y DMZ.

Seleccionamos la red, a la cual la red LAN y DMZ accedern a sus diferentes

servicios, en nuestro caso la red WAN.

50

Seleccionamos los usuarios en los cuales se aplicara la poltica.

Terminando de configurar la regla seleccionamos la opcin finalizar.

51

Una vez creada la regla la aplicamos.

Damos la opcin OK para establecer la regla creada anteriormente.

52

Por ultimo probamos el ingreso desde las redes LAN Y DMZ a la red WAN o
internet.
Acceso de la LAN a la WAN.

Acceso de la DMZ a la WAN.

53

Regla 3: Acceso de la red WAN a los servicios de la DMZ.

Nuevamente vamos a firewall policy y elegimos crear una nueva regla.

Le asignamos un nombre a nuestra poltica.

54

En el siguiente paso, tendremos dos opciones, las cuales son, Denegar o

Permitir, en nuestro caso seleccionaremos permitir.

Seleccionamos los protocolos a permitir en nuestra regla, es decir, los

protocolos relacionados con los servicios alojados en la DMZ.

55

Le especificamos que no inspeccione ningn malware o cdigo malicioso.

Seleccionamos a la red WAN, como la red Externa a la que le permitiremos

acceder a la DMZ.

56

Escogemos el rea perimetral DMZ como la red a la que queremos ingresar

desde internet o la WAN para probar los servicios alojados.

Seleccionamos los usuarios, a los cuales aplicara esta poltica.

57

Finalizamos nuestra poltica.

Ahora aplicaremos la poltica creada anteriormente.

58

Al darle clic en OK, la poltica se establecer correctamente.

Hacemos la prueba, accediendo desde la red WAN hacia la DMZ.

WEB

59

 FTP

60

Regla 4: Publicacin del servicio Web.

Ahora publicaremos el servidor web para que sea accedido desde internet
red externa. Vamos nuevamente a firewall policy, seleccionamos nueva poltica
y le asignamos un nombre.

Segn lo establecido, permitiremos el acceso va WEB.

61

Seleccionamos la primera opcin, ya que esta nos permite publicar nuestro

servidor.

En el siguiente paso, nos presentara dos opciones, las cuales nos preguntan
que si deseamos o no deseamos utilizar seguridad en nuestro sitio, en este
caso seleccionaremos la opcin sin seguridad.

62

Ingresamos el dominio de nuestro sitio WEB.

En el siguiente paso de instalacin, dejamos las casillas tal como estn y

damos clic en siguiente.

63

En el siguiente paso, de las opciones que se nos presentan, seleccionaremos

todos los dominios. Como lo pueden apreciar en la imagen.

Ahora procedemos a dar clic en New, para crear el WEB listener, all
especificaremos que la red WAN escuche el WEB listener, sitio que estamos
publicando.

64

Le asignamos un nombre a nuestro WEB Listener.

Nuevamente se nos presenta las opciones, Que si deseamos o no utilizar

seguridad.

65

Seleccionamos la red, a la cual se le permitir acceder a nuestro sitio, en esta

caso ser la red WAN a donde se public el servicio.

En el siguiente paso, nos pregunta que si deseamos utilizar autenticacin,

decimos que no.

66

Damos clic en siguiente.

Damos por finalizada la creacin de la regla para publicar nuestro sitio WEB
listener.

67

De las opciones que se presentan en el siguiente paso, seleccionamos No

denegacin, es para que el cliente pueda acceder al sitio sin necesidad de
autenticacin.

Luego seleccionamos los usuarios a los que se les permitir el acceso al sitio
Web. En nuestro caso, diremos que todos los usuarios.

68

Finalizamos la publicacin de nuestro servicio.

Ahora realizaremos una prueba del servicio, de la red WAN hacia la DMZ.

69

Regla 5: Publicacin del servicio FTP

Ahora publicaremos el servicio FTP, vamos de nuevo a firewall policy, y crear
nueva regla, le colocamos como nombre FTP.

Especificamos la direccin IP, de donde se encuentra alojado nuestro servidor

70

FTP.

Damos clic en el botn que dice Nuevo.

Asignamos un nombre a la regla, en este cado ftp public.

71

Como vamos a establecer una conexin primaria, damos clic en New.

Seleccionamos el protocolo y el puerto a utilizar, protocolo TCP y puerto 21,

correspondiente al servicio FTP.

72

Luego nos pregunta que si deseamos establecer una segunda conexin, en

este caso diremos que no y damos clic en siguiente.

Finalizamos con la configuracin de la publicacin del servicio FTP.

73

En seleccione el protocolo, elegimos la regla que acabamos de crear llamada

ftp public, clic en siguiente.

Seleccionaremos la red a la cual le permitiremos ingresar a nuestro sitio FTP,

En este caso ser la red WAN la que va acceder a la DMZ.

74

Finalizamos la publicacin del FTP.

Regla 6: Acceso de la red interna a la DMZ.

Ahora crearemos otra regla que permita acceder a la red DMZ desde la red
INTERNA, vamos de nuevo a firewall policy, y damos crear nueva regla, como
nombre le colocaremos interna a perimetral

75

Seleccionamos la red a la cual le queremos dar acceso a la DMZ, es decir, la

red interna.

Ahora elegiremos la red a la cual acceder la red interna, es decir, la DMZ

(red perimetral).

76

Al tratarse de la red interna, debemos tener presente la privacidad y seguridad

de nuestra red, para evitar que por medio de un rastreo de IP se filtren en la red
interna vamos a aplicar NAT, esta nos va a permitir salir de la red local con una
IP diferente, por medio de la traduccin de direccin IP, evitando mostrar a toda
la red externa nuestra IP LOCAL y que vulneren todos los servicios e
informacin privada.

Luego seleccionamos la opcin de obtener una IP por defecto, en este caso,

tomara una IP del rango de red a la cual va acceder.

77

Aparece un resumen de la configuracin realizada, hemos completado la

regla, clic en finalizar.

Esta regla aplicada a la red interna y la red DMZ, es la que nos permitir
acceder a internet, aplicando traduccin de direcciones IP para la red
INTERNA.

78

79

7. CONCLUSIONES

El servidor TMG brinda la Proteccin ante mltiples ataques gracias a

tener integrado un anti-malware y antivirus, protecciones contra ataques
de nivel de red y nivel de aplicacin y firewall multicapa.
Altamente seguro gracias a la proteccin contra ataques de usuarios
web, un sistema altamente fiable y seguro para la publicacin por parte
de usuarios remotos y un sistema avanzado para VPN.Perfilado para
soluciones de red empresariales, donde la seguridad de la red y la
informacin son el pilar para tomar cualquier decisin cuando est en
juego su integridad.

80

8. GLOSARIO

FIREWALL:
Un firewall es un dispositivo que funciona como cortafuegos entre redes,
permitiendo o denegando las transmisiones de una red a la otra. Un uso tpico
es situarlo entre una red local y la red Internet, como dispositivo de seguridad
para evitar que los intrusos puedan acceder a informacin confidencial.
Un firewall es simplemente un filtro que controla todas las comunicaciones que
pasan de una red a la otra y en funcin de lo que sean permite o deniega su
paso.

DMZ:
(Zona desmilitarizada) es un diseo conceptual de red donde los servidores de
acceso pblico se colocan en un segmento separado, aislado de la red interna.
La intencin de DMZ es asegurar que los servidores de acceso pblico no
puedan comunicarse con otros segmentos de la red interna, pero estn
siempre disponibles a los usuarios, en el caso de que un servidor se encuentre
comprometido.
Un firewall es relevante en la implementacin de DMZ, ya que es responsable
de garantizar que las polticas adecuadas para proteger a las redes locales de
DMZ se encuentren habilitadas, mientras que se mantiene la accesibilidad a la

zona desmilitarizada (DMZ).

81

NAT:
traduccin de direcciones de red, traduce las direcciones IP privadas
de la red en una IP pblica para que la red pueda enviar paquetes al
exterior; y traducir luego esa IP pblica de nuevo a la IP privada del pc
que envi el paquete, para que pueda recibirlo una vez llega la
respuesta. La tecnologa NAT se desarroll con el objetivo de ofrecer
una solucin temporal al problema del agotamiento de las direcciones
IPv4. El nmero de direcciones IPv4 nicas globales (pblicas)
disponibles es muy reducido para adaptarse al creciente nmero de
equipos que necesita acceso a Internet.

RED INTERNA:
Las redes internas o Intranet estn diseadas para permitir que solo usuarios
con los privilegios y contraseas adecuados puedan acceder. En las redes
internas los servidores web se instalan en la red, la tecnologa de navegador es
la usada para acceder a la informacin.

82

RED EXTERNA:
Las redes externas hacen referencia a servicios localizados en la red interna
con acceso seguro a empresas o usuarios externos mediante contraseas
identificaciones etc. Por lo tanto, una red externa es la extensin de dos o ms
estrategias de red interna, con una interaccin segura entre empresas
participantes y sus respectivas redes internas.

TMG FOREFRONT 2010:

Microsoft Forefront Threat Management Gateway (TMG) es un completo
gateway de seguridad web desarrollado por Microsoft que ayuda a
proteger a las empresas de las amenazas que existen actualmente en
internet. Simple manejo e interfaz con la que se puede habilitar una
seguridad perimetral perfecta a prueba de ataques gracias al firewall
integrado, VPN, prevencin de accesos no autorizados, antivirus y antispam.

83