Está en la página 1de 18

Configuracin Inicial de Forefront Threat Management Gateway (TMG) Contenido 1. Introduccin 2.

Requisito Previo A La Configuracin: RRAS (LAN Router) 3. Asistente de comienzo 3.1 Configuracin de red 3.2 Configuracin del sistema 3.3 Opciones de despliegue 4. Asistente de acceso Web 5. Configuracin personalizada 5.1 Permitir los reenviadores

1. Introduccin
Este documento tiene por finalidad indicar la configuracin inicial de Forefront Threat Management Gateway (TMG), una vez realizada la instalacin, en un entorno de dominio, de forma que de acceso a Internet al dominio, protegiendo el trfico de amenazas de malware. Para instalar TMG, nos podemos bajar la versin includa en la evaluacin de la Beta de Microsoft Forefront Codename Stirling.

2. Requisito Previo A La Configuracin: RRAS (LAN Router)


Una vez instalado TMG, es necesario habilitar RRAS. En el asistente se selecciona configuracin personalizada y se habilita LAN router.

3. Asistente de comienzo
Una configurado RRAS como enrutador LAN, se lanza la configuracin de Forefront Threat Management Gateway, con el asistente de comienzo. ste presenta la pantalla de bienvenida, en la que se puede lanzar la configuracin de tres partes: 1. Configuracin de red. 2. Configuracin del sistema. 3. Opciones de despliege.

3.1 Configuracin de red


Una vez pulsamos en el cuadro de dilogo de bienvenida la opcin de configuracin de red, se abre el asistente de configuracin de red de TMG, mostrando la pantalla de bienvenida:

Pulsamos siguiente, lo que nos lleva al cuadro de dilogo de seleccin de plantilla de configuracin, que presenta 4 opciones: 1. Servidor de permetro. 2. Servidor de permetro de tres redes. 3. Cortafuegos trasero. 4. Un solo adaptador de red.

En la configuracin que pretendemos, seleccionaremos la primera opcin, es decir, servidor de permetro y pulsamos siguiente. Esto nos sita en el cuadro de dilogo de configuracin de la red local, donde especificamos el adaptador de red conectado a la red privada y aadiremos aquellos segmentos de red que sean de la LAN y en los cuales no est la configuracin propia del adaptador:

En nuestro caso seleccionaremos el adaptador de la red privada y no agregaremos ningn segmento de red ms. Pulsamos siguiente lo que nos lleva al cuadro de dilogo de configuracin de Internet, en el que seleccionaremos el adaptador de red pblico:

Se puede especificar las propiedades de TCP/IP de este adaptador o dejarlas como dinmicas; en nuestro caso las dejamos como dinmicas. Pulsamos siguiente y el asistente se sita en el cuadro de dilogo de resumen de configuracin, en el que pulsamos finalizar:

3.2 Configuracin del sistema


Una vez configurada la red, se presenta de nuevo el cuadro de dilogo de bienvenida a la configuracin de TMG:

Pulsamos en la configuracin del sistema. Esto abre el asistente de configuracin del sistema, que presenta la pantalla de bienvenida:

Pulsamos siguiente, lo que nos sita en el cuadro de dilogo de identificacin del servidor, en el que dejaremos el nombre de mquina, que estar escrito ya de forma automtica. El asistente detecta que el servidor es miembro de un dominio y por ello tiene ya seleccionado la opcin de miembro de dominio y el nombre del dominio al que pertenece ya cumplimentado. Tambin podemos observar que muestra el sufijo DNS del equipo. Pulsamos siguiente, lo que no lleva al cuadro de dilogo de resumen de configuracin del sistema:

Pulsamos finalizar y se cierra el asistente de configuracin del sistema.

3.3

Opciones de despliegue

Una vez finalizado el asistente de configuracin del sistema, aparece de nuevo la pantalla de bienvenida de configuracin de TMG:

Pulsamos en la configuracin de despliegue, lo que abre el asistente de configuracin del despliegue en el cuadro de dilogo de bienvenida:

Pulsamos siguiente, lo que nos sita en el cuadro de dilogo de configuracin de actualizaciones de Windows:

Seleccionamos usar Microsoft Update y pulsamos siguiente, lo que nos lleva al cuadro de dilogo de definicin de opciones de actualizacin:

Dejamos las opciones predeterminadas y pulsamos siguiente, lo que nos sita en el cuadro de dilogo de retroalimentacin del usuario a Microsoft:

Al tratarse de una versin Beta, debemos dejar marcada la opcin de suministrar retroalimentacin a Microsoft y pulsamos siguiente lo que hace que el asistente vaya al cuadro de dilogo de configuracin del servicio de telemetra de Microsoft, que permite a Microsoft recibir informacin de uso:

En este caso nos uniremos con una cuenta avanzada, que permitir a Microsoft recibir ms informacin. Pulsamos siguiente y aparece el cuadro de dilogo de resumen del asistente de configuracin de despliegue:

Una vez cerrado el asistente se ve de nuevo el cuadro de dilogo de bienvenida del asistente de comienzo:

Como podemos contemplar, ha cambiado y ahora comunica que se ha completado y muestra una casilla de verificacin que permite que se lance el asistente de acceso Web cuando se cierre este cuadro de dilogo. Verificamos que est marcado y pulsamos cerrar.

4. Asistente de acceso Web


Al cerrar el cuadro de dilogo del asistente de comienzo, teniendo marcada la casilla de ejecutar el asistente de acceso Web, se ejecuta ste y se sita en el cuadro de dilogo de bienvenida:

Pulsamos siguiente, lo que nos sita en el cuadro de dilogo de proteccin Web:

Dejamos marcada la opcin de habilitar la inspeccin de Malware en el trfico HTTP. Pulsamos siguiente, lo que lleva al cuadro de dilogo de seleccin del tipo de poltica de acceso:

Vamos a crear una poltica personalizada, as que seleccionamos la segunda opcin y pulsamos siguiente. El asistente pasa ahora al cuadro de dilogo de grupos de poltica de acceso:

Este cuadro de dilogo nos permite establecer qu tipo de control de acceso vamos a permitir: 1. Acceso que requiere autenticacin (usuarios y grupos exclusivamente). 2. Acceso que no requiere autenticacin (IPs y subredes exclusivamente). 3. Acceso autenticado y sin autenticar. (usuarios, grupos, IPs y subredes). Para poder tener ms opciones, seleccionaremos el tercer tipo. Pulsamos siguiente, lo que sita el asistente en el cuadro de dilogo de poltica predeterminada de acceso Web. En este cuadro de dilogo establecemos el comportamiento de TMG cuando una de peticin Web no est explcitamente definida en la poltica:

Dejaremos permitir como accin predeterminada. Pulsamos siguiente, lo que coloca al asistente en el cuadro de dilogo de polticas de acceso annimo:

En este cuadro de dilogo podemos establecer polticas de acceso que afecten a los clientes que acceden sin autenticarse. Por ejemplo, podramos dejar acceso slo a determinados destinos o denegar el acceso a otros. Si pulsamos el botn agregar, aparece el cuadro de dilogo de agregar poltica:

En l estableceramos un nombre para la poltica, los orgenes a los que afecta (IPs, subredes, etc.), el tipo de poltica (de permitir o denegar) y las URLs, subredes, etc., de destino. En este caso hemos definido una poltica por la cual todos los equipos internos (servidor TMG incluido) tienen acceso concedido a Internet; una vez establecida, pulsamos aceptar, lo que nos lleva de nuevo al cuadro de dilogo de polticas de acceso annimo:

Ahora vemos en la lista la poltica que acabamos de dar de alta. Podemos volver a hacer este proceso tantas veces como sea necesario. Una vez establecidas las polticas pulsamos siguiente. Esto llevar al asistente al cuadro de dilogo de polticas de acceso autenticado, muy similar al anterior en su operativa:

Al igual que en el caso de las polticas de acceso annimo, pulsando agregar se mostrar el cuadro de dilogo de agregar poltica:

Creamos una directiva de acceso a internet e intranet para los usuarios autenticados y pulsamos aceptar, lo que nos devuelve al cuadro de dilogo de polticas de acceso autenticado, en el que veremos la poltica que acabamos de dar de alta en la lista:

Pulsamos siguiente, lo que establece la posicin del asistente de poltica de acceso web en el cuadro de dilogo de configuracin de inspeccin de malware:

Aqu estableceremos que se inspeccione el contenido Web y que se permita la entrega parcial de ficheros; no habilitaremos el bloqueo de ficheros encriptados. Pulsamos siguiente y el asistente pasa al cuadro de dilogo de configuracin de la cach de Web:

Habilitaremos la cach, seleccionaremos el servidor y pulsaremos el botn de discos de cach, con lo que se abrir el cuadro de dilogo de definicin de discos de cache:

Establecemos un tamao de 10 GBytes, pulsamos el botn de establecimiento de mximo tamao de cache y el botn aceptar, lo que nos devuelve al cuadro de dilogo de configuracin de cache de Web:

Pulsamos siguiente y el asistente se sita en el cuadro de dilogo de resumen de la configuracin:

Pulsamos finalizar y se aplica la configuracin.

5. Configuracin personalizada
Vamos a realizar determinadas tareas como son: 1. Permitir al DC que utilice reenviadores

5.1 Permitir los reenviadores


Lo primero que haremos ser definir como objetos las IPs de los servidores DNS del dominio y las de los reenviadores que utilizaremos, como miembros de dos conjuntos de equipos, los servidores DNS del dominio y los Reenviadores de DNS. Para ello, en la consola de administracin de TMG, en el panel del rbol nos situamos en el nodo Firewall policy, en el panel de tareas hacemos clic en la pestaa Toolbox, hacemos clic derecho sobre Computer Sets y ejecutamos New Computer Set:

Esto abre el cuadro de dilogo de nuevo elemento de regla de conjunto de equipos (en el ejemplo crearemos el conjunto de reenviadores):

En este cuadro de dilogo pulsaremos agregar y en el desplegable pulsaremos en equipo; se abre el cuadro de dilogo de elemento de regla de equipo, donde pondremos el nombre, la IP y una descripcin:

Pulsamos OK y veremos creado el nuevo equipo. Repetimos este procedimiento con tantos reenviadores como queramos usar y con tantos servidores DNS como necesitemos dar de alta:

Una vez creado el conjunto se pulsa aceptar. El mismo procedimiento seguimos para crear un conjunto de los servidores DNS del dominio, con lo que en la lista de conjuntos de equipos quedar as:

A continuacin hacemos clic en el panel de tareas en la pestaa Tasks y clic en Create Access Rule:

Esto abrir el asistente de nueva regla de acceso en cuadro de dilogo de bienvenida, en el cual escribiremos el nombre que queremos dar a la nueva regla:

Pulsamos siguiente y el asistente se ubica en el cuadro de dilogo de accin de la regla, en el que seleccionaremos permitir:

Pulsamos siguiente y el asistente se sita en el cuadro de dilogo de Protocolos:

Pulsamos el botn agregar y se abre el cuadro de dilogo de agregar protocolos:

En l desplegamos la carpeta Infrastructure, seleccionamos DNS y DNS Server, pulsamos agregar y pulsamos cerrar. Esto nos devuelve al cuadro de dilogo de protocolos:

A continuacin pulsamos siguiente, lo que sita al asistente en el cuadro de dilogo de reglas de origen del trfico:

Pulsamos en el botn agregar, lo que abre el cuadro de dilogo de agregar entidades de red:

Expandimos la carpeta Computer Sets, hacemos clic en Servidores DNS del domino y hacemos clic en el botn agregar y despus en el botn cerrar. Con esto veremos que se ha agregado el conjunto de equipos:

Pulsamos siguiente, lo que lleva al asistente al cuadro de dilogo de destinos de regla de acceso, de operativa igual al del cuadro de dilogo de orgenes de regla de acceso. En este caso seleccionaremos los reenviadores:

Pulsamos siguiente y el asistente se sita en el cuadro de dilogo de conjuntos de usuarios a los que se aplica la regla, el cual dejaremos tal y como se presenta, con el conjunto All Users:

Pulsamos siguiente y el asistente se va al cuadro de dilogo de resumen, en el que pulsaremos finalizar:

Una vez creada la regla, aplicamos los cambios:

Una vez aplicados los cambios pulsamos el botn aceptar:

Con esto ya habremos configurado los reenviadores y con ello la salida a Internet estar
completada.