Seguridad reforzada para entornos en la extranet

  • Artículo

En este artículo:

  • Herramienta para planear el refuerzo de la seguridad en la extranet

  • Topología de red

  • Relaciones de confianza en el dominio

  • Comunicación con funciones de granja de servidores

  • Comunicación con funciones de servidor de infraestructura

  • Requisitos para admitir conversiones de documentos

  • Comunicación entre dominios de red

  • Conexiones con servidores externos

En este artículo se detallan los requisitos para reforzar la seguridad en un entorno de extranet en el que hay una granja de servidores de Microsoft Office SharePoint Server 2007 dentro de una red perimetral y el contenido está disponible desde Internet o desde la red corporativa.

Para obtener más información sobre las topologías de extranet admitidas, vea Diseño de la topología de la granja de servidores de extranet (Office SharePoint Server).

Herramienta para planear el refuerzo de la seguridad en la extranet

La siguiente herramienta de planeación está disponible para su uso con el artículo sobre la herramienta para planear el refuerzo de la seguridad en la extranet cuando se trata de una extranet perimetral opuesta (en inglés) (https://go.microsoft.com/fwlink/?linkid=85533&clcid=0xC0A) (en inglés). Basándose en la topología de red perimetral opuesta, esta herramienta plantea los requisitos de puerto de cada equipo en el que se ejecuta Microsoft Internet Security and Acceleration (ISA) Server y cada enrutador o firewall. Esta herramienta es un archivo editable de Microsoft Office Visio que se puede adaptar a cada entorno. Por ejemplo, puede:

  • Agregar números de puerto personalizados, según corresponda.

  • Indicar los puertos que se usarán si se proporciona la opción de elegir protocolos o puertos.

  • Indicar los puertos específicos que se usan para la comunicación de base de datos del entorno.

  • Agregar o quitar requisitos para los puertos en función de:

    • Si se va a configurar la integración con el correo electrónico.

    • La capa en que se implemente la función de consulta.

    • Si se va a configurar una relación de confianza de dominio entre el dominio perimetral y el dominio corporativo.

Si desea disponer de herramientas de planeación para otras topologías de extranet admitidas, háganoslo saber enviando un comentario sobre este artículo.

Topología de red

Las instrucciones para reforzar la seguridad que se incluyen en este artículo se pueden aplicar a muchas configuraciones de extranet diferentes. El siguiente diagrama de topología de red perimetral opuesta muestra un ejemplo de implementación e ilustra las funciones de servidor y cliente en un entorno de extranet. La finalidad del diagrama es plantear todas las funciones posibles y sus relaciones con el entorno global. Es por esto que la función de consulta aparece dos veces. En una implementación real, la función de consulta se implementa en los servidores web o como servidor de aplicaciones, pero no ambas cosas. Asimismo, si la función de consulta se implementa en los servidores web, se implementa en todos los servidores web de una granja de servidores. El diagrama incluye todas las opciones con el fin de mostrar los requisitos de refuerzo de la seguridad. Los enrutadores de la ilustración se pueden sustituir por firewalls.

Diagrama del sistema de protección de la seguridad de la extranet

Relaciones de confianza del dominio

El requisito de una relación de confianza en el dominio depende de la configuración de la granja de servidores. En esta sección se consideran dos configuraciones posibles.

La granja de servidores reside en la red perimetral

La red perimetral requiere su propia infraestructura de servicio de directorio de Active Directory y su propio dominio. Por lo general, los dominios perimetral y corporativo no se configuran para confiar el uno en el otro. Sin embargo, para autenticar usuarios de la intranet y empleados remotos que usan sus credenciales de dominio (autenticación de Windows), debe configurar una relación de confianza unidireccional en la que el dominio perimetral confíe en el dominio corporativo. La autenticación de formularios y SSO web no requieren una relación de confianza en el dominio.

La granja de servidores se divide entre la red perimetral y la red corporativa

Si la granja de servidores se divide entre la red perimetral y la red corporativa y los servidores de base de datos residen dentro de la red corporativa, es necesaria una relación de confianza en el dominio si se usan cuentas de Windows. En este escenario, la red perimetral debe confiar en la red corporativa. Si se usa la autenticación SQL, no se requiere una relación de confianza en el dominio. En la siguiente tabla se resumen las diferencias entre estas dos opciones.

Autenticación de Windows Autenticación de SQL

Descripción

Las cuentas del dominio corporativo se usan para todas las cuentas de servicio y administración de Office SharePoint Server 2007, incluidas las cuentas de grupos de aplicaciones.

Se requiere una relación de confianza unidireccional, en la que la red perimetral confía en la red corporativa.

Las cuentas de Office SharePoint Server 2007 se configuran de las siguientes formas:

  • La autenticación de SQL se usa en todas las bases de datos que se creen.

  • Todas las demás cuentas de servicios y administración se crean como cuentas del dominio en la red perimetral.

  • Los servidores web y de aplicaciones se unen a la red perimetral.

No se requiere una relación de confianza, pero se puede configurar una para admitir la autenticación de clientes para un controlador de dominio interno.

Nota

Si los servidores de aplicaciones residen en el dominio corporativo, se requiere una relación de confianza unidireccional, en la que la red perimetral confía en la red corporativa.

Configuración

La configuración incluye lo siguiente:

  • Las cuentas de servicio y administración de Office SharePoint Server 2007 se crean en el dominio corporativo.

  • Los servidores web y de aplicaciones se unen a la red perimetral.

  • Se establece una relación de confianza en la que el dominio perimetral confía en el dominio corporativo.

La configuración incluye lo siguiente:

  • Todas las cuentas de base de datos deben crearse como cuentas de inicio de sesión de SQL en SQL Server 2000 Enterprise Manager o SQL Server 2005 Management Studio. Estas cuentas deben crearse *antes* de crear cualquier base de datos de Office SharePoint Server 2007, incluida la base de datos de configuración y la base de datos AdminContent.

  • Debe usar la herramienta de línea de comandos Psconfig para crear la base de datos de configuración y la base de datos SharePoint_AdminContent. No puede usar el Asistente para configuración de Productos y Tecnologías de SharePoint para crear estas bases de datos. Además de usar los parámetros -user y -password para especificar la cuenta de la granja de servidores, debe usar los parámetros -dbuser y -dbpassword para especificar las cuentas de autenticación de SQL.

  • Puede crear bases de datos de contenido adicionales en la Administración central si selecciona la opción Autenticación de SQL. Sin embargo, primero debe crear las cuentas de inicio de sesión SQL en el Administrador corporativo de SQL Server 2000 o en SQL Server 2005 Management Studio.

  • Proteja todas las comunicaciones con los servidores de base de datos mediante SSL.

  • Asegúrese de que los puertos usados para comunicarse con SQL Server permanezcan abiertos entre la red perimetral y la red corporativa.

Información adicional

La relación de confianza unidireccional permite que los servidores web y los servidores de aplicaciones unidos al dominio de la extranet resuelvan las cuentas que se encuentran en el dominio corporativo.

  • Las cuentas de inicio de sesión SQL se cifran en el Registro de los servidores web y los servidores de aplicaciones.

  • La cuenta de la granja de servidores no se usa para tener acceso a la base de datos de configuración y a la base de datos SharePoint_AdminContent. En su lugar, se usan las cuentas de inicio de sesión SQL correspondientes.

La información de la tabla anterior supone lo siguiente:

  • Tanto los servidores web como los servidores de aplicaciones residen en la red perimetral.

  • Todas las cuentas se crean con los privilegios mínimos e incluyen las siguientes recomendaciones:

    • Se crean cuentas separadas para todas las cuentas de servicio y de administración.

    • Ninguna cuenta es miembro del grupo Administradores en ningún equipo, incluido el equipo servidor donde reside SQL Server.

Si va a usar la autenticación de SQL, deben crearse los siguientes inicios de sesión de SQL con estos permisos:

  • Inicio de sesión de SQL para la cuenta que se usa para ejecutar la herramienta de línea de comandos Psconfig La cuenta debe ser miembro de las funciones de SQL dbcreator y securityadmin. Asimismo, debe ser miembro del grupo Administradores en cada servidor donde se ejecute el programa de instalación (no el servidor de base de datos).

  • Inicio de sesión de SQL para la cuenta de la granja de servidores Este inicio de sesión se usa para crear la base de datos de configuración y la base de datos SharePoint_AdminContent. El inicio de sesión debe incluir la función dbcreator. No es necesario que el inicio de sesión sea miembro de la función securityadmin. El inicio de sesión debe crearse con la autenticación de SQL. Configure la cuenta de la granja de servidores de forma que use la autenticación de SQL con la contraseña que se especifique al crear el inicio de sesión de SQL.

  • Inicio de sesión de SQL para las demás bases de datos El inicio de sesión debe crearse con la autenticación de SQL y debe ser miembro de las funciones de SQL dbcreator y securityadmin.

Para obtener más información acerca de las cuentas de Office SharePoint Server 2007, vea Planeación de cuentas administrativas y de servicio (Office SharePoint Server).

Para obtener más información acerca de la creación de bases de datos mediante la herramienta de línea de comandos Psconfig, vea Referencia de línea de comandos para el Asistente para configuración de Productos y Tecnologías de SharePoint (Office SharePoint Server).

Comunicación con funciones de granja de servidores

Cuando se configura un entorno de la extranet, es importante comprender cómo las distintas funciones de servidor se comunican dentro de la granja de servidores.

Comunicación entre funciones de servidor

En la ilustración siguiente se muestran los canales de comunicación de una granja de servidores. En la tabla que se encuentra justo después de la ilustración se indican los puertos y protocolos representados en la misma. Las flechas de línea continua de color negro indican qué función de servidor inicia la comunicación. Por ejemplo, la función Excel Calculation Services inicia la comunicación con el servidor de base de datos. El servidor de base de datos no inicia la comunicación con la función Excel Calculation Services. La flecha de línea discontinua de color rojo indica que cualquier servidor inicia la comunicación. Es un dato que se debe conocer al configurar la comunicación de entrada y salida en un firewall.

Comunicación entre granjas de servidores

Llamada Puertos y protocolos

1

Acceso de cliente (incluidos Information Rights Management [IRM] y consultas de búsqueda), uno o más de los siguientes:

  • Puerto TCP 80

  • Puerto TCP 443 (SSL)

  • Puertos personalizados

2

Servicio Compartir archivos e impresoras. *Una* de las dos opciones siguientes:

  • Bloque de mensajes del servidor hospedado directamente (SMB) (TCP/UDP 445) (recomendado)

  • NetBIOS sobre TCP/IP (puertos TCP/UDP 137, 138, 139) (deshabilitar si no se usa)

3

Servicios web de Office Server. *Ambos*:

  • Puerto TCP 56737

  • TCP 56738 (SSL)

4

Comunicación con la base de datos:

  • Puerto TCP/SSL 1433 (predeterminado) para instancia predeterminada (personalizable)

  • Puerto TCP/SSL aleatorio para instancias con nombre (personalizable)

5

Rastreo de búsqueda. En función de cómo se configure la autenticación, los sitios de SharePoint podrían ampliarse con una zona o sitio de Internet Information Services (IIS) adicional para garantizar que el componente de índice pueda tener acceso al contenido. Esta configuración puede tener como resultado puertos personalizados.

  • TCP 80

  • TCP 443 (SSL)

  • Puertos personalizados

6

Servicio de inicio de sesión único. Cualquier función de servidor que tenga el servicio SSO en ejecución debe poder comunicarse con el servidor de clave de cifrado mediante una llamada a procedimiento remoto (RPC). Se incluyen todos los servidores web, la función Excel Calculation Services y la función Índice. Además, si se instala un optimizador de seguridad personalizado en el servidor de consultas y dicho optimizador de seguridad requiere el acceso a los datos de SSO, el servicio SSO se ejecuta en esta función de servidor también.

La RPC requiere el puerto TCP 135 y *una* de estas dos opciones:

  • RPC estática: puertos altos restringidos (recomendado)

  • RPC dinámica: puertos altos aleatorios en el intervalo 1024–65535/TCP

Para obtener más información acerca del servidor de clave de cifrado y qué funciones de servidor requieren el servicio SSO, vea Planeación del inicio de sesión único (SSO).

Los servidores web equilibran automáticamente la carga de las solicitudes de consulta entre los servidores de consultas disponibles. En consecuencia, si la función de consulta se implementa en los servidores web, estos servidores se comunican entre sí mediante el servicio Compartir archivos e impresoras y los servicios web de Office Server. En la ilustración siguiente se pueden observar los canales de comunicación entre estos servidores.

Servidor web a servidor de consultas

Comunicación entre sitios administrativos y funciones de servidor

Los sitios administrativos son:

  • Sitio de Administración central: este sitio se puede instalar en un servidor de aplicaciones o en un servidor web.

  • Sitios de administración de servicios compartidos: estos sitios se reflejan entre los servidores web.

En esta sección se detallan los requisitos de puertos y protocolos para la comunicación entre la estación de trabajo de un administrador y las funciones de servidor de la granja de servidores. El sitio de Administración central se puede instalar en cualquier servidor web o servidor de aplicaciones. Los cambios de configuración que se realicen a través del sitio de Administración central se comunican a la base de datos de configuración. Las demás funciones de servidor de la granja de servidores adoptan los cambios de configuración que están registrados en la base de datos de configuración durante sus ciclos de sondeo. En consecuencia, el sitio de Administración central no agrega nuevos requisitos de comunicación a las demás funciones de servidor de la granja de servidores.

En la ilustración siguiente se muestran los canales de comunicación desde una estación de trabajo de administrador hasta los sitios administrativos y la base de datos de configuración.

Topología de administración del sitio del administrador

En la tabla siguiente se describen los puertos y protocolos que se incluían en la ilustración anterior.

Llamada Puertos y protocolos

A

Sitio de administración de servicios compartidos. Uno o más de los siguientes:

  • TCP 80

  • TCP 443 (SSL)

  • Puertos personalizados

B

Sitio de Administración central. Uno o más de los siguientes:

  • TCP 80

  • TCP 443 (SSL)

  • Puertos personalizados

C

Comunicación con la base de datos:

  • Puerto TCP/SSL 1433 (predeterminado) para instancia predeterminada (personalizable)

  • Puerto TCP/SSL aleatorio para instancias con nombre (personalizable)

Comunicación con funciones de servidor de infraestructura

Cuando se configura un entorno de la extranet, es importante comprender cómo las distintas funciones de servidor se comunican dentro de los equipos servidor de infraestructura.

Controlador de dominio de Active Directory

En la siguiente tabla se muestran los requisitos de puertos para conexiones entrantes de cada función de servidor a un controlador de dominio de Active Directory.

Elemento Servidor web Servidor deconsultas Servidor deíndices Excel Calculation Services Servidor de base de datos

TCP/UDP 445 (Servicios de directorio)

X

X

X

X

X

TCP/UDP 88 (Autenticación de Kerberos)

X

X

X

X

X

Puertos LDAP (Protocolo ligero de acceso a directorios)/LDAPS 389/636 de forma predeterminada, personalizables

X

X

X

Las funciones de servidor requieren puertos LDAP/LDAPS en los casos siguientes:

  • Servidores web. Usan puertos LDAP/LDAPS si se ha configurado la autenticación LDAP.

  • Servidor de índices. La función requiere puertos LDAP/LDAPS para importar perfiles desde los controladores de dominio configurados como orígenes de importación de perfiles, con independencia de dónde se encuentren.

  • Excel Calculation Services. Usa puertos LDAP/LDAPS sólo si las conexiones de origen de datos se han configurado para autenticarse mediante LDAP.

Servidor DNS

En la siguiente tabla se muestran los requisitos de puertos para las conexiones entrantes de cada función de servidor a un servidor de DNS (Sistema de nombres de dominio). En muchos entornos de la extranet, un equipo servidor hospeda el controlador de dominio de Active Directory y el servidor DNS.

Elemento Servidor web Servidor de consultas Servidor de índices Excel Calculation Services Servidor de base de datos

DNS, TCP/UDP 53

X

X

X

X

X

Servicio SMTP

La integración de correo electrónico requiere el uso del servicio SMTP (Protocolo simple de transferencia de correo) con el puerto TCP 25 en al menos uno de los servidores cliente web de la granja de servidores. El servicio SMTP es necesario para el correo electrónico entrante (conexiones de entrada). Para el correo electrónico saliente, puede usar el servicio SMTP o enrutar el correo electrónico saliente a través de un servidor de correo electrónico dedicado de su organización, como un equipo que ejecute Microsoft Exchange Server.

Elemento Servidor web Servidor de consultas Servidor de índices Excel Calculation Services Servidor de base de datos

Puerto TCP 25

X

Requisitos para admitir conversiones de documentos

Si se van a usar convertidores de documentos en el servidor, los siguientes servicios deben instalarse e iniciarse en un servidor de aplicaciones:

  • Servicio del iniciador de conversiones de documentos

  • Servicio del equilibrador de carga de conversiones de documentos

Normalmente, estos servicios se instalan en el mismo servidor de aplicaciones o en servidores de aplicaciones independientes, en función de la topología que más se ajuste a cada necesidad. También se pueden instalar en uno o varios servidores web si es necesario. Si se instalan en servidores independientes, debe permitirse su comunicación mutua.

En la tabla siguiente se enumeran los requisitos de puertos y protocolos de estos servicios. Estos requisitos no se aplican a las funciones de servidor de la granja de servidores que no los tengan instalados.

Servicio Requisito

Servicio del iniciador de conversiones de documentos

Puerto TCP 8082, personalizable para TCP o SSL

Servicio del equilibrador de carga de conversiones de documentos

Puerto TCP 8093, personalizable para TCP o SSL

Para obtener información acerca de cómo se configuran estos servicios en una granja de servidores, vea Diseño de la topología de conversiones de documentos.

Comunicación entre dominios de red

Comunicación de Active Directory

La comunicación Active Directory entre dominios para admitir la autenticación con un controlador de dominio dentro de la red corporativa requiere al menos una relación de confianza unidireccional en que la red perimetral confíe en la red corporativa.

En el ejemplo mostrado en la primera ilustración de este artículo, se requieren los siguientes puertos como conexiones de entrada al Servidor ISA B para admitir una relación de confianza unidireccional:

  • TCP/UDP 135 (RPC)

  • TCP/UDP 389 de forma predeterminada, personalizable (LDAP)

  • TCP 636 de forma predeterminada, personalizable (SSL LDAP)

  • TCP 3268 (GC LDAP)

  • TCP 3269 (SSL GC LDAP)

  • TCP/UDP 53 (DNS)

  • TCP/UDP 88 (Kerberos)

  • TCP/UDP 445 (Servicios de directorio)

  • TCP/UDP 749 (Kerberos-Adm)

  • Puerto TCP 750 (Kerberos-IV)

Cuando se configura el Servidor ISA B (o un dispositivo alternativo entre la red perimetral y la red corporativa), la relación de red debe definirse como enrutada. No defina la relación de red como NAT (traducción de direcciones de red).

Para obtener más información acerca de los requisitos de seguridad reforzada relativos a las relaciones de confianza, vea los siguientes recursos:

Refuerzo de la seguridad para la publicación de contenido

La publicación de contenido requiere la comunicación unidireccional entre el sitio de Administración central de la granja de servidores de origen y el sitio de Administración central de la granja de servidores de destino. Los requisitos para reforzar la seguridad son:

  • El número de puerto que se usa para el sitio de Administración central en la granja de servidores de destino.

  • TCP 80 o 443 de salida de la granja de servidores de origen (para el Protocolo simple de acceso a objetos (SOAP) y HTTP Post).

Cuando se configura la implementación de contenido en la granja de servidores de origen, se especifica la cuenta que se usará para la autenticación con la granja de servidores de destino. No se requiere una relación de confianza entre dominios para publicar contenido de un dominio en otro. Sin embargo, existen las dos opciones de cuenta siguientes para implementar contenido, una de las cuales requiere una relación de confianza de dominio:

  • Si la cuenta del grupo de aplicaciones de la granja de servidores de origen tiene permisos para la Administración central de la granja de servidores de destino, seleccione la opción Usar la cuenta del grupo de aplicaciones. Esta opción requiere una relación de confianza unidireccional en la que el dominio de la granja de servidores de destino confía en el dominio de la granja de servidores de origen.

  • Puede especificar una cuenta manualmente en lugar de usar la cuenta del grupo de aplicaciones de origen. En este caso, no es necesario que la cuenta exista en el dominio de red de la granja de servidores de origen. Normalmente, la cuenta es única para la granja de servidores de destino. La cuenta se puede autenticar mediante la autenticación integrada de Windows o la autenticación básica.

Conexiones a servidores externos

Se pueden configurar varias características de Office SharePoint Server 2007 para tener acceso a datos que residen en equipos servidor fuera de la granja de servidores. Si configura el acceso a datos en equipos servidor externos, asegúrese de habilitar la comunicación entre los equipos adecuados. En la mayoría de los casos, los puertos, protocolos y servicios que se usan dependen del recurso externo. Por ejemplo:

  • Las conexiones a recursos compartidos de archivos usan el servicio Compartir archivos e impresoras.

  • Las conexiones a bases de datos de SQL Server externas usan los puertos predeterminados o personalizados para la comunicación con SQL Server.

  • Las conexiones a Oracle suelen usar bases de datos OLE.

  • Las conexiones a servicios web usan tanto HTTP como HTTPS.

En la siguiente tabla se muestran las características que se pueden configurar para tener acceso a datos que residen en equipos servidor fuera de la granja de servidores.

Característica Descripción

Rastreo de contenido

Se pueden configurar reglas de rastreo para rastrear datos que residan en recursos externos, incluidos sitios web, recursos compartidos de archivos, carpetas públicas de Exchange y aplicaciones de datos profesionales. Cuando rastrea fuentes de datos externas, la función de índice se comunica directamente con dichos recursos externos.

Para obtener más información, vea Planeación del rastreo de contenido (Office SharePoint Server).

Conexiones al Catálogo de datos profesionales

Los servidores web y los servidores de aplicaciones se comunican directamente con los equipos que están configurados para conexiones con el Catálogo de datos profesionales.

Para obtener más información, vea Planeación de conexiones de datos profesionales con el Catálogo de datos profesionales.

Recepción de libros de Microsoft Office Excel

Si los libros abiertos en Excel Services se conectan a algún origen de datos externos (por ejemplo, Analysis Services y SQL Server), los puertos TCP/IP adecuados deben estar abiertos para conectarse a dichos orígenes. Para obtener más información, vea Planeación de conexiones de datos externos para Excel Services.

Si las rutas UNC (convención de nomenclatura universal) están configuradas como ubicaciones de confianza en Excel Services, la función de aplicación Excel Calculation Services emplea los protocolos y los puertos usados por el servicio Compartir archivos e impresoras para recibir libros de Office Excel a través de una ruta UNC.

Esta comunicación no afecta a los libros almacenados en bases de datos de contenido o que los usuarios cargan o descargan de sitios.

Descarga de este libro

En este tema se incluye el siguiente libro descargable para facilitar la lectura y la impresión:

Vea la lista completa de libros disponibles en la sección de libros descargables para Office SharePoint Server 2007.