Configuración de un servidor de seguridad de la intranet
Última modificación del tema: 2006-04-14
En este tema se explica el uso de una red perimetral en la que se utiliza un servidor de seguridad externo y uno interno. En las siguientes secciones se describe cómo configurar la red perimetral, el servidor de seguridad de la intranet y el servidor ISA para que Exchange funcione correctamente.
Novedad del SP2 Con el lanzamiento de Microsoft® Exchange Server 2003 Service Pack 2 (SP2), Microsoft ha introducido la tecnología Direct Push que permite a Exchange ActiveSync® entregar mensajes de correo electrónico inmediatamente al dispositivo móvil tan pronto como llegan al servidor. Con la tecnología Direct Push, siempre que el servidor de servicios de fondo recibe un correo electrónico o datos para transmitirlos a un dispositivo móvil, envía una notificación UDP al servidor de aplicaciones para el usuario. Esta transmisión requiere que el puerto UDP 2883 esté abierto en el servidor de seguridad para que permita tráfico en un sentido desde el servidor de servicios de fondo al servidor de aplicaciones para el usuario.
Para obtener más información acerca de la implementación de la tecnología Direct Push y su efecto en la configuración del servidor de seguridad, consulte el siguiente artículo del blog de Exchange Server:
Direct Push is just a heartbeat away.
Nota
El contenido de cada blog y su URL está sujeto a cambios sin previo aviso.
Servidor de seguridad avanzado en la red perimetral
Cuando el servidor de seguridad avanzado (por ejemplo, ISA) no es también el servidor de la intranet (es decir, hay un servidor de seguridad adicional entre el servidor de seguridad avanzado y el servidor de aplicaciones para el usuario), debe abrir los puertos de protocolo necesarios en el servidor de seguridad de la intranet para que el servidor de seguridad avanzado pueda reenviar las solicitudes.
Puertos de protocolo necesarios para que el servidor de seguridad avanzado pueda reenviar solicitudes
| Número de puerto de destino/transporte | Protocolo |
|---|---|
443/TCP entrante o 80/TCP entrante |
HTTPS (HTTP protegido por SSL) o HTTP, en función de si el servidor de seguridad avanzado (por ejemplo, ISA) está descargando el descifrado de SSL |
993/TCP entrante |
IMAP protegido por SSL |
995/TCP entrante |
POP protegido por SSL |
25/TCP entrante |
SMTP |
Podrían ser necesarios otros puertos si el servidor de seguridad avanzado está realizando tareas como la autenticación de usuarios. Para obtener más información, consulte la documentación del servidor de seguridad avanzado.
Nota
Otros fabricantes de servidores de seguridad podrían recomendar que configure otras opciones de sus productos para la fragmentación de IP.
Servidor de aplicaciones para el usuario en una red perimetral
Si se coloca en una red perimetral, el servidor de aplicaciones para el usuario debe poder iniciar conexiones con servidores de servicios de fondo y servidores de servicios de directorio Active Directory®. Por lo tanto, podría configurar el servidor de seguridad interno con una regla que permita el tráfico entrante en el puerto 80 desde la red perimetral a la red corporativa. Esta regla no permitirá el tráfico saliente en el puerto 80 desde la red corporativa al servidor de aplicaciones para el usuario. Las siguientes explicaciones sobre puertos hacen referencia a puertos entrantes que transportan el tráfico desde el servidor de la red perimetral a los servidores de servicios de fondo.
Nota
El método de implementación recomendado es que el servidor de aplicaciones para el usuario esté en la intranet con los servidores de servicios de fondo y que utilice un servidor de seguridad avanzado como red perimetral. Sólo necesita consultar esta sección si sus requisitos le obligan a colocar el servidor de aplicaciones para el usuario de Exchange en la red perimetral.
Protocolos básicos
En cada caso, todos los puertos de protocolos admitidos deben estar abiertos en el servidor de seguridad interno. No es necesario que los puertos SSL estén abiertos porque no se utiliza SSL en la comunicación entre el servidor de aplicaciones para el usuario y los servidores de servicios de fondo. La siguiente tabla enumera los puertos necesarios para el servidor de seguridad de la intranet. Estos puertos son específicos del tráfico entrante (desde el servidor de aplicaciones para el usuario a los servidores de servicios de fondo).
Puertos de protocolos necesarios para el servidor de seguridad de la intranet
| Número de puerto/transporte | Protocolo |
|---|---|
80/TCP entrante |
HTTP |
143/TCP entrante |
IMAP |
110/TCP entrante |
POP |
25/TCP entrante 691/TCP |
SMTP Enrutamiento del algoritmo de estado de vínculos |
Nota
En esta tabla, "entrante" significa que el servidor de seguridad se debe configurar para que los equipos de la red perimetral, por ejemplo, el servidor de seguridad avanzado, inicie las conexiones con el servidor de aplicaciones para el usuario de la red corporativa. El servidor de aplicaciones para el usuario no tiene que iniciar nunca conexiones a los equipos de la red perimetral. El servidor de aplicaciones para el usuario sólo responde a las conexiones iniciadas por los equipos de la red perimetral.
Comunicación con Active Directory
Para comunicarse con Active Directory, el servidor de aplicaciones para el usuario de Exchange requiere que los puertos LDAP estén abiertos. Se necesita TCP y UDP: En el servidor de aplicaciones para el usuario, Windows enviará una solicitud LDAP 389/UDP a un controlador de dominio para comprobar si está disponible para su uso; después, el tráfico LDAP utiliza TCP. También se utiliza la autenticación Kerberos de Windows; por lo tanto, los puertos Kerberos también deben estar abiertos. Para Kerberos también se necesitan TCP y UDP: de forma predeterminada, Windows utiliza UDP/88 pero cuando los datos son mayores que el tamaño máximo del paquete para UDP, utiliza TCP. La siguiente tabla enumera los puertos necesarios para la comunicación con Active Directory y Kerberos.
Puertos necesarios para la comunicación con Active Directory y Kerberos
| Número de puerto/transporte | Protocolo |
|---|---|
389/TCP |
LDAP a Servicio de directorio |
389/UDP |
|
3268/TCP |
LDAP a Servidor de catálogo global |
88/TCP |
Autenticación Kerberos |
88/UDP |
|
Hay dos conjuntos de puertos opcionales que se pueden abrir en el servidor de seguridad. La decisión de abrirlos depende de las directivas de la organización. Cada decisión implica concesiones en las áreas de seguridad, facilidad de administración y funcionalidad.
Servicio de nombres de dominio (DNS)
El servidor de aplicaciones para el usuario necesita acceso a un servidor DNS para buscar correctamente los nombres de servidor (por ejemplo, para convertir los nombres de servidor en direcciones IP). La siguiente tabla enumera los puertos necesarios para el acceso.
Si no desea abrir estos puertos, debe instalar un servidor DNS en el servidor de aplicaciones para el usuario y escribir las asignaciones correctas de nombre a dirección IP para todos los servidores que pudieran necesitar ponerse en contacto. Además, también debe configurar todos los registros SRV de Active Directory porque el servidor de aplicaciones para el usuario debe poder ubicar los controladores de dominio. Si elige instalar un servidor DNS, asegúrese de mantener actualizadas estas asignaciones cuando se realicen cambios en la organización.
Puertos necesarios para el acceso a un servidor DNS
| Número de puerto/transporte | Protocolo |
|---|---|
53/TCP |
Consultar DNS |
53/UDP |
|
Nota
La mayoría de los servicios utilizan UDP para las búsquedas de DNS y sólo utilizan TCP cuando la consulta es mayor que el tamaño máximo de paquete. Sin embargo, el servicio SMTP de Exchange utiliza TCP de forma predeterminada para las búsquedas de DNS. Para obtener más información, consulte en Microsoft Knowledge Base el artículo 263237, "XCON: Windows 2000 and Exchange 2000 SMTP Use TCP DNS Queries" (XCON: Consultas TCP DNS de Windows 2000 y uso de Exchange 2000).
IPSec
En la siguiente tabla se enumeran los requisitos para permitir tráfico IPSec a través del servidor de seguridad de la intranet. Sólo necesita habilitar el puerto aplicable al protocolo que configure; por ejemplo, si elige usar ESP, sólo necesita permitir el protocolo IP 50 a través del servidor de seguridad.
Puertos necesarios para IPSec
| Número de puerto/transporte | Protocolo |
|---|---|
Protocolo IP 51 |
Encabezado de autenticación (AH) |
Protocolo IP 50 |
Encapsulating Security Payload (ESP) |
500/UDP |
Internet Key Exchange (IKE) |
88/TCP |
Kerberos |
88/UDP |
|
Llamadas a procedimientos remotos (RPC)
DSAccess ya no utiliza RPC para realizar el descubrimiento del servicio de Active Directory. Sin embargo, debido a que el servidor de aplicaciones para el usuario está configurado para autenticar solicitudes, IIS debe seguir teniendo acceso RPC a Active Directory para autenticar las solicitudes. Por lo tanto, debe abrir los puertos RPC enumerados en la tabla "Puertos RPC necesarios para autenticación".
Interrupción del tráfico RPC
Si dispone de una red perimetral bloqueada en la que el servidor de aplicaciones para el usuario no puede autenticar usuarios, es posible que no pueda abrir los puertos RPC enumerados en la tabla "Puertos RPC necesarios para autenticación". Sin estos puertos RPC, el servidor de aplicaciones para el usuario no puede realizar la autenticación. Puede configurar el servidor de aplicaciones para el usuario para que permita el acceso anónimo, pero debe comprender los riesgos que conlleva esta opción. Para obtener más información, consulte Mecanismos de autenticación para HTTP.
En lugar de detener todo el tráfico RPC, es recomendable que restrinja el tráfico RPC abriendo un puerto, tal y como se describe en la siguiente sección.
Restricción del tráfico RPC
Si desea las características que requieren RPC, como la autenticación o el inicio de sesión implícito, pero no quiere abrir el gran número de puertos situados por encima del 1024, puede configurar los controladores de dominio y los servidores de catálogo global para que usen un único puerto conocido para todo el tráfico RPC. Para obtener más información acerca de cómo restringir el tráfico RPC, consulte en Microsoft Knowledge Base el artículo 224196, "Restricting Active Directory Replication Traffic to a Specific Port" (Restringir tráfico de replicación de Active Directory a un puerto específico).
Para autenticar clientes, se debe establecer la clave del Registro (descrita en el anterior artículo de Knowledge Base e indicada más adelante) en todos los servidores con los que el servidor de aplicaciones para el usuario pueda ponerse en contacto con RPC, por ejemplo, un servidor de catálogo global. Establezca la siguiente clave del Registro a un puerto específico, por ejemplo, 1600:
HKEY_LOCAL_MACHINE\CurrentControlSet\Services\NTDS\Parameters
Valor del Registro: TCP/IP Port Tipo de valor: REG_DWORD Información del valor: (puerto disponible)
En el servidor de seguridad entre la red perimetral y la intranet, es necesario abrir sólo dos puertos para la comunicación RPC — el asignador de puertos RPC (135) y el puerto que especifique (puerto 1600, como se indica en la siguiente tabla). El servidor de aplicaciones para el usuario intenta, en primer lugar, ponerse en contacto con servidores de servicios de fondo con RPC a través del puerto 135 y el servidor de servicios de fondo responde con el puerto RPC que está usando en realidad.
Nota
El Administrador del sistema de Exchange utiliza RPC para administrar servidores de Exchange. Es recomendable que no utilice el Administrador del sistema de Exchange en un servidor de aplicaciones para el usuario para administrar servidores de servicios de fondo porque para ello es necesario configurar el acceso RPC desde el servidor de aplicaciones para el usuario al servidor de servicios de fondo. En cambio, debe usar el Administrador del sistema de Exchange desde un equipo cliente de Exchange o un servidor de servicios de fondo para administrar servidores de servicios de fondo. Siempre puede usar el Administrador del sistema de Exchange en el servidor de aplicaciones para el usuario para administrar éste.
Puertos RPC necesarios para autenticación
| Número de puerto/transporte | Protocolo |
|---|---|
135/TCP |
Asignador de puntos finales de puerto RPC |
1024+/TCP O bien, 1600/TCP |
Puertos de servicio aleatorios (Ejemplo) Puerto específico del servicio RPC, si estuviera restringido |