Ahora Exchange Server 2010, FSE y TMG se unen más que nunca. Tanto que si queremos aprovechar todas las características de integración y de seguridad que incluye TMG lo debemos instalar junto con Exchange 2010 y FSE en el mismo equipo físico.
Los tres productos son de 64 bits (x64) y además, Exchange 2010 solo se puede instalar sobre Windows Server 2008 x64 SP2 o R2.
Teniendo los tres productos instalados en el mismo servidor perimetral, TMG proporciona mecanismos de administración integrados tanto para Exchange 2010 como para Forefront Security for Exchange 2010.
Pero vamos por partes, lo primero que debemos hacer es preparar el equipo, un Windows Server 2008 R2 con el menos dos dispositivos de red, en un grupo de trabajo (necesario para Exchange EDGE) y con un sufijo DNS configurado (normalmente el dominio público de la organización)
Windows Server 2008 R2 Evaluación se puede descargar desde aqui:
Una vez hecho esto, instalamos los requisitos para Exchange Server 2010 (IIS 7, ASP.net, .Netframework 3.5.1) e instalamos el propio Exchange Server 2010 Edge transport Role.
Exchange Server 2010 RC Evaluación se puede descargar desde aqui:
Es importante que se instale Exchange 2010 antes que TMG, ya que si no habrá que parar el servicio Forefront TMG Managed Control (ISAMAnagedCTRL) antes de la instalación de Exchange.
A continuación, instalamos Forefront Security 2010 for Exchange, el cual se puede descargar desde aqui:
Una vez instalado Exchange Server 2010, Forefront Security 2010 for Exchange y TMG en el servidor perimetral, deberemos de configurar las opciones básicas de TMG. Para ello, invocamos la consola de administración de TMG y aparecerá un asistente de configuración.
De forma similar a como se configuraba en ISA Server 2006, el primer paso es establecer la configuración de red. Esta configuración permite definir la estructura física de conexiones que tendrá el servidor TMG:
- Servidor perimetral (lo que conocemos como FrontEnd)
- Servidor posterior (lo que conocemos como BackEnd)
- Servidor con un solo adaptador (actuaría solo como proxy caché)
- Servidor de 3 patas (Solo se habilita si disponemos de al menos 3 adaptadores de red)
En este laboratorio seleccionaremos la arquitectura “Edge Firewall”
A continuación debemos seleccionar el adaptador que está conectado directamente con la red local (LAN) y el adaptador que esté conectado a Internet
El segundo paso es configurar las opciones de sistema, tal como pertenencia al dominio, nombre del equipo y sufijo DNS.
Os recomiendo que estas opciones se hayan establecido antes de instalar TMG y sobre todo Exchange 2010 ya que algunos servicios de Exchange no soportan el cambio de nombre y sufijo DNS después de haberse instalado y tendremos serios problemas.
Por último hay que definir las opciones de inspección de tráfico SSL que incorpora TMG como importante novedad de seguridad, así como el registro en Windows Update.
TMG ahora permite inspeccionar el tráfico de clientes mediante un componente denominado NIS (Network Inspection System), el cual se debe licenciar y activar por separado.
Además como parte de las mejoras en seguridad, podemos habilitar la protección Web y el filtrado de URLs consideradas peligrosas o de contenido no adecuado.
El módulo de filtrado de URLs consulta el servicio de reputación y categorización de Microsoft, por lo tanto se convierte en una tarea muy sencilla el bloquear páginas con contenido no deseado.
Como NIS utiliza firmas de malware para detectar contenido potencialmente peligroso, en la siguiente pantalla, es necesario indicar tambien cada cuanto tiempo queremos actualizar dichas firmas. Se recomienda mantener el valor de 15 minutos.
Por último, el asistente nos pregunta por opciones de feedback de cliente y envío de datos de telemetría, para ayudar a mejorar el producto y el servicio de detección de malware.
Al finalizar el asistente, si dejamos habilitada la opción “Run the Web Access wizard”, podremos configurar en este mismo momento las reglas de acceso Web (HTTP y HTTPS) para los clientes, así como seleccionar los tipos de contenido no autorizados.
Como vamos a crear una primera regla predeterminada para el acceso Web, por lo tanto invocamos el asistente y dejamos la primera opción seleccionada.
Como podéis observar, TMG Beta 3 ya incluye una serie de tipos de contenido no autorizado, aunque esta lista se ampliará en la versión RTM. Esta lista hace uso del servicio de reputación y clasificación de contenido de Microsoft.
Si queremos agregar otros tipos de contenido, podemos hacerlo con el botón ADD, seleccionado el tipo de objeto Destinos (Destinations).
Como antes habíamos habilitado el módulo de inspección de tráfico, ahora podemos indicar que efectivamente queremos inspeccionar las descargas y el tráfico que proviene de Internet en esta regla de acceso que se va a crear.
Además del tráfico HTTP, nos interesa inspeccionar el tráfico HTTPS, por lo tanto lo habilitamos en la siguiente pantalla.
La inspección de tráfico HTTPS se realiza de forma similar a como ISA Server 2006 realizaba la publicación de servidores mediante el protocolo de puente SSL, es decir, cuando un cliente solicita una página SSL, TMG genera un certificado para dicha página y se lo envía al cliente, mientras que el certificado del servidor original se envía al TMG.
De esta forma se establece un puente SSL entre el servidor en Internet y TMG, y el TMG y el cliente.
Para que esto funcione correctamente, el cliente debe confiar en el certificado raiz que firma los certificados que recibe. Este certificado raíz puede ser uno generado por el propio TMG (autofirmado) o el de una CA de empresa previamente implementada.
Para este laboratorio vamos a elegir la opción de la CA, ya que será la que en la mayoría de los casos se adopte por las organizaciones. Para ello seleccionamos “Use a custom certificate”
A continuación imporamos el certificado y escribimos la contraseña que se utilizó para su exportación. (Recordad que el certificado debe ser el de la CA con su clave privada, por lo tanto lo exportamos con extensión .pfx)
Si TMG pertenece al dominio, podemos distribuir el certificado raíz utilizando el Directorio Activo, sin embargo como en este caso no pertenece al dominio, solo nos queda exportar el certificado público (.cer)
En cualquier caso, hay que tener en cuenta que si utilizamos un certificado raíz de una CA de empresa, los equipos y usuarios del dominio ya confían en dicha CA, por lo tanto no es necesario hacer ningún tipo de distribución.
Por último, el asistente nos permite configurar y habilitar una regla de caché Web.
Con todo esto se completa el proceso de configuración básica de TMG sobre un servidor perimetral de Exchange Server 2010, aunque tendremos que aplicar los cambios realizados desde la consola de administración de TMG
El siguiente paso será configurar la integración de detección de SPAM y Malware en el correo entrante, asi como permitir el tráfico de EdgeSync entre en servidor perimetral de Exchange (EDGE Transport Server) y el servidor cocentrador de transporte (HUB Transport Server).
Hasta pronto.
2cd5343d-ff5f-4ace-8302-2a3717869588|2|5.0
Exchange Server 2010, Forefront Server Security, Threat Management Gateway