Servidor ISA

Mejorar la seguridad de la puerta de enlace de TS con ISA Server 2006

Dr. Thomas W. Shinder y Yuri Diogenes

 

De un vistazo:

  • Dos escenarios que usan la puerta de enlace de TS con el servidor ISA
  • Configuración de ISA Server 2006
  • Pruebas y supervisión

Contenido

Más allá del perímetro
El primer escenario
Configuración de ISA Server 2006
Pruebas y supervisión de acceso de clientes
Supervisión desde el servidor ISA
El segundo escenario
¿Qué ocurre con el cliente?
Conclusión

Tras el éxito de Outlook en cualquier lugar de Exchange Server 2007, Windows Server 2008 proporciona a su vez la capacidad de obtener acceso al escritorio desde cualquier lugar de una manera segura y controlada.

El nuevo servicio de puerta de enlace de Terminal Server (puerta de enlace de TS) de Windows Server® 2008 ofrece la flexibilidad de Servicios de Terminal Server de Windows® además de la capacidad de conectarse a Terminal Server desde cualquier lugar con una conexión HTTP. Este servicio usa el Protocolo de escritorio remoto (RDP) sobre HTTPS (SSL) para aumentar la seguridad y, al mismo tiempo, ofrece una única interfaz de cliente para obtener acceso a los recursos de Terminal Services.

Este nuevo servicio de puerta de enlace de TS ofrece ventajas significativas para los usuarios que necesiten tener acceso a sus equipos de forma remota:

  • No es necesario establecer una sesión de red privada virtual (VPN) antes de conectarse a los recursos internos mediante RDP.
  • Seguridad mejorada mediante protección de acceso a redes (NAP) y comprobaciones de mantenimiento de la seguridad de Windows para controlar las conexiones RDP.
  • No es necesario abrir el puerto entrante TCP 3389 para permitir una publicación de web más segura a través de firewalls.

Microsoft® Internet Security and Acceleration (ISA) Server 2006 se puede usar para mejorar la seguridad del servicio de puerta de enlace de TS y, al mismo tiempo, permitir el acceso externo a los recursos internos. Se puede establecer un escenario de protocolo de puente SSL a SSL en el que ISA Server 2006 reciba las solicitudes y las pase al servicio de puerta de enlace de TS interno, también por medio de HTTPS. Mientras actúa como un puente para la solicitud, el firewall de ISA descifra las comunicaciones SSL y realiza la inspección a nivel de aplicación.

Si la secuencia del protocolo HTTP aprueba la inspección, entonces la comunicación se vuelve a cifrar y se reenvía al proxy de Terminal Services. Si la secuencia del protocolo no aprueba la inspección, se anula la conexión.

Más allá del perímetro

Microsoft ha invertido bastantes esfuerzos en seguridad, y Windows Server 2008 es la versión más segura y estable de Windows que existe. Pero a la compañía también le preocupa el modo en que los usuarios implementan sus productos y que sigan las prácticas recomendadas para que sus entornos permanezcan protegidos. Las prácticas recomendadas requieren un enfoque de defensa exhaustiva que ofrezca protección en múltiples puntos de acceso o niveles. Los niveles relevantes en este artículo son las directivas, los procedimientos y el reconocimiento, el perímetro, la red interna y el host.

Cuando se permite que los usuarios externos tengan acceso a un recurso interno a través del servidor ISA, se deben comprender los límites de cada producto implicado. ISA Server 2006 y la puerta de enlace de TS ofrecerán la seguridad a nivel de perímetro, pero para los recursos internos se deberá contar con directivas adecuadas para permitir o denegar el acceso, según sea necesario. Esto se puede lograr con los servicios de acceso y las directivas de red (NPAS), que funcionan a nivel de directivas, procedimientos y reconocimiento. El acceso a los recursos internos (unidad de disco, portapapeles, impresoras, etc.) está definido por las Directivas de autorización de recursos de Terminal Service, orientadas al nivel de la red interna.

En este artículo examinaremos en primer lugar cómo publicar la puerta de enlace de Terminal Services a través de ISA Server 2006. Más adelante ampliaremos nuestro escenario de publicación de ISA Server 2006 para incluir el cumplimiento del mantenimiento de clientes mediante NAP. Por medio de NAP, podemos crear directivas de mantenimiento de cliente que ayudan a controlar el acceso a nivel de host.

El primer escenario

Nuestro objetivo es mostrar cómo publicar la puerta de enlace de TS a través de ISA Server 2006. La figura 1 resume los equipos y el flujo de datos durante la conexión. En este escenario implementamos la función del Servidor de directivas de redes (NPS) en la puerta de enlace de TS misma; sin embargo, en el segundo escenario vamos a hacer modificaciones para usar un servidor NPS central. Siga la secuencia que se muestra debajo para comprender cómo funcionan las comunicaciones entre los componentes de la solución de publicación de la puerta de enlace de TS:

fig01.gif

Figura 1 Publicación de la puerta de enlace de TS a través de ISA Server 2006 (haga clic en la imagen para ampliarla)

  1. El usuario RDP externo inicia la conexión. Lo primero que el cliente debe hacer es resolver el nombre externo de la puerta de enlace de TS (tsg.contoso.com, en este caso). El DNS externo resuelve este nombre, que señala a la dirección IP externa del servidor ISA.
  2. Se establece un túnel SSL entre el cliente RDP y la interfaz externa del servidor ISA. El servidor ISA tiene una regla de publicación de web en el puerto TCP 443 que usa un certificado emitido para tsg.contoso.com.
  3. Después de evaluar la regla y comprobar que el tráfico se permite, el servidor ISA enviará una consulta DNS al servidor DNS interno (situado en el controlador de dominio) para resolver el nombre del servidor especificado en la regla de publicación de web.
  4. A continuación, el servidor ISA abre un túnel SSL a la puerta de enlace de TS y le pasa la solicitud de autenticación.
  5. El servidor Puerta de enlace de TS valida las credenciales del usuario y comprueba si el usuario está autorizado para establecer la conexión.
  6. Después de determinar que el usuario está autorizado para establecer la conexión, el servicio de puerta de enlace de TS recibe las solicitudes en el puerto TCP 443 y reenvía los paquetes RDP a través del puerto TCP 3389 (de forma predeterminada) al Terminal Server interno en el que reside la aplicación (por ejemplo, una aplicación de CRM).

A partir de este momento, todos los paquetes que el cliente RDP envía al servicio de puerta de enlace de TS a través del servidor ISA se reenvían al Terminal Server interno y viceversa.

Es importante mencionar que el túnel RDP sobre HTTPS que actúa en segundo plano es simplemente RDP/RPC/HTTPS. El cliente RDP encapsula las comunicaciones de RDP en un encabezado RPC, que a su vez se encapsula con un encabezado HTTP que se protege con SSL (o con TLS, seguridad de nivel de transporte). Deben estar presentes todos los componentes necesarios para una solución RPC sobre HTTPS. Por eso, cuando se instala el servicio de la función de puerta de enlace de TS, automáticamente se instala RPC sobre el proxy HTTP. Para conocer el funcionamiento de este protocolo en mayor profundidad, recomendamos leer "Pruebas de RPC sobre HTTP a través de ISA Server 2006 parte 1: protocolos, autenticación y procesamiento", que se puede encontrar en el blog del equipo del servidor ISA (disponible en blogs.technet.com/isablog).

En esta implementación es necesario instalar Windows Server 2008 con la puerta de enlace de Terminal Services, y esta característica depende de RPC sobre el proxy HTTP. Para que RDP a través de la característica de RPC sobre el proxy HTTP funcione adecuadamente, es necesario instalar y ejecutar Internet Information Services (IIS) 7.0. También se necesitan los servicios de acceso y directivas de red, pero, si se prefiere, se puede configurar la puerta de enlace de TS para usar el servidor NPS, anteriormente denominado servicios de autenticación de Internet (IAS), para centralizar el almacenamiento, la administración y la validación de las directivas de autorización de conexiones a Terminal Services (CAP de TS). Por último, es necesario obtener un certificado SSL para el servidor Puerta de enlace de TS si todavía no se cuenta con uno. Es importante acentuar que ISA Server 2006 debe confiar en la entidad de certificación (CA) que emite el certificado. Por lo tanto, asegúrese de importar el certificado al almacén de entidades emisoras de certificados raíz de confianza.

Los servicios de dominio de Active Directory® sólo se necesitan si se configura una directiva de autorización de la puerta de enlace de TS que requiera que los usuarios sean miembros de un grupo de seguridad de Active Directory para conectarse al servidor Puerta de enlace de TS. Para esta configuración específica, usaremos Active Directory en un equipo que ejecuta Windows Server 2003 SP2.

Al finalizar la instalación del servicio de puerta de enlace de Terminal Services, aparece la pantalla de la figura 2, que muestra los componentes que han sido instalados. Para conectarse a la puerta de enlace de TS, los clientes deben ejecutar alguno de los sistemas operativos siguientes: Windows Vista®, Windows XP con SP2 y RDP 6.0 o posterior; Windows Server 2008; Windows Server 2003 con SP1 o posterior y RDP 6.0 o posterior. Para obtener más información sobre la configuración de la puerta de enlace de TS, consulte la guía paso a paso de instalación del servidor Puerta de enlace de TS de Windows Server 2008 disponible en go.microsoft.com/fwlink/?LinkId=122251. Ahora veamos cómo configurar ISA Server 2006.

fig02.gif

Figura 2 Resumen de instalación de la puerta de enlace de TS (haga clic en la imagen para ampliarla)

Configuración de ISA Server 2006

El primer paso es crear una escucha de web que controlará las solicitudes del cliente RDP externo. Nuestra escucha de web tiene los siguientes parámetros:

  • Autenticación: Básica
  • Validación de autenticaciones: Windows (Active Directory)
  • Conexiones: Habilitar conexiones SSL (HTTPS) en el puerto 443
  • Certificados: Certificado emitido para tsg.contoso.com
  • Redes: Externa

A continuación se debe crear la regla de publicación de web. Desde la perspectiva de ISA Server 2006, el cliente RDP usará el mismo protocolo que Outlook® en cualquier lugar, de modo que se puede elegir el asistente de Exchange Server 2007. Siga estos pasos:

  1. Haga clic con el botón secundario en Directiva de firewall, seleccione Nueva y, a continuación, haga clic en Regla de publicación de acceso de cliente web de Exchange.
  2. En la página de bienvenida del asistente para crear una nueva regla de publicación de web, escriba el nombre de la regla y haga clic en Siguiente.
  3. En la página Seleccionar acción de regla, seleccione la opción Permitir y haga clic en Siguiente.
  4. En la página de nueva regla de publicación de Exchange, seleccione la versión de Exchange, en nuestro caso Exchange Server 2007. Seleccione Outlook Anywhere (RPC/HTTP) y haga clic en Siguiente. (Nota: no seleccione Publicar carpetas adicionales en el servidor Exchange Server para clientes de Outlook 2007.)
  5. En la página de Tipo de publicación, seleccione la opción Publicar un único sitio web o un equilibrador de carga y haga clic en Siguiente.
  6. En la página Seguridad de conexión de servidor, seleccione Usar SSL para conectar al servidor web o conjunto de servidores publicado y haga clic en Siguiente.
  7. En la página Detalles internos de publicación, en el cuadro Nombre interno del sitio, escriba el nombre del servidor Puerta de enlace de TS. Seleccione la casilla Usar un nombre de equipo o dirección IP para conectar al servidor publicado y, a continuación, en el cuadro Dirección IP o nombre del equipo, escriba el nombre del servidor. Si no conoce el nombre del servidor Puerta de enlace de TS, haga clic en Examinar para ir hasta su ubicación. Tenga en cuenta que el nombre que usa en esta página debe coincidir con el nombre común o nombre del sujeto que aparece en el certificado de sitio web con enlace al sitio web de la puerta de enlace de TS.
  8. En la página Detalles de nombre público, en la lista desplegable Aceptar peticiones para, seleccione Este nombre de dominio (escriba a continuación) y, a continuación, en el cuadro Nombre público, escriba el nombre público que coincide con el nombre del certificado emitido para esta dirección URL. En nuestro caso, el nombre era tsg.contoso.com. A continuación, haga clic en Siguiente.
  9. En la página Seleccionar escucha de web, haga clic en la lista desplegable, seleccione la escucha de web creada anteriormente y, a continuación, haga clic en Siguiente.

En la página Delegación de la autenticación, seleccione la opción Sin delegación, pero el cliente se puede autenticar directamente y haga clic en Siguiente.

En la página Conjunto de usuarios, compruebe que esté seleccionada la opción predeterminada (Todos los usuarios), haga clic en Siguiente y, a continuación, haga clic en Finalizar y aplique la regla.

Si hace doble clic en la regla y va a la ficha Ruta de acceso, verá que la única ruta de acceso es /rpc/*. Esto se debe a que usamos el asistente para habilitar Outlook en cualquier lugar de Exchange Server 2007.

Pruebas y supervisión de acceso de clientes

Como se ha indicado anteriormente, se necesita un cliente RDP 6.0 o posterior para conectarse a la puerta de enlace de TS. Para configurar la aplicación cliente RDP, inicie la aplicación y en el campo Equipo escriba el nombre del Terminal Server al que se desea conectar. Haga clic en el botón Opciones, en la ficha Opciones avanzadas y, en Configuración, escriba el nombre externo del servidor Puerta de enlace de TS, como se muestra en la figura 3. En nuestro ejemplo, es el nombre que se encuentra en el certificado con enlace a la escucha de web usada por la regla de publicación de web para aceptar las solicitudes entrantes. Tenga en cuenta que en este ejemplo se usa la autenticación de Windows NT® LAN Manager. Cuando termine, haga clic en Aceptar y, a continuación, en Conectar. Recibirá un mensaje de autenticación. Escriba las credenciales de un usuario con acceso a Terminal Server y haga clic en Aceptar.

fig03.gif

Figura 3 Configuración del cliente RDP (haga clic en la imagen para ampliarla)

Tenga en cuenta que el cliente RDP 6.0 (para Windows XP y Windows Server 2003) mostrará la pantalla de la figura 3. La autenticación se solicitará dos veces: la primera autenticación pertenece al equipo de puerta de enlace de TS y la segunda al Terminal Server al que se desea tener acceso. Este punto es importante porque aunque quizás piense que se debe a la configuración del servidor ISA, de hecho el servidor ISA no controla en absoluto la autenticación, ya que la regla de publicación de web se aplica a "Todos los usuarios", lo cual permite las conexiones anónimas a través del firewall de ISA.

El cliente RDP provisto con Windows Server 2008 tiene una opción Usar mis credenciales de puerta de enlace de TS para el equipo remoto, tal como se muestra en la figura 4. Con esta opción seleccionada, no se necesita escribir dos veces las credenciales, lo que mejora la experiencia del usuario. Esta opción de inicio de sesión único también se encuentra disponible en Windows Vista después de aplicar SP1.

fig04.gif

Figura 4 El cliente RDP de Windows Server 2008 (haga clic en la imagen para ampliarla)

La conexión a través del Administrador de Puerta de enlace de TS se puede supervisar mediante la opción Supervisión. El servicio de puerta de enlace de TS también proporciona detalles cuando un usuario no autorizado intenta conectarse al servidor. En la figura 5, el Visor de eventos muestra un intento de conexión de un usuario que no tiene permiso para conectarse a través de la puerta de enlace de TS.

fig05.gif

Figura 5 Evento registrado en el servicio puerta de enlace de TS (haga clic en la imagen para ampliarla)

Para este evento, la dirección IP interna del servidor ISA Server 2006 se registra porque en la regla de publicación de web se habilita la opción Las peticiones parecen provenir del equipo servidor ISA. Si desea registrar la dirección IP del cliente original, necesitará cambiar la regla de publicación de web de ISA Server 2006 y en la ficha A, elegir la opción Las peticiones parecen provenir del cliente original.

Supervisión desde el servidor ISA

Con las nuevas características de ISA Server 2006 Supportability Pack, es posible observar detenidamente y entender cada conexión a la red interna. La figura 6 muestra una conexión resaltada y, en la línea de solicitud el verbo RPC_IN_DATA indica la dirección URL para RPC sobre el proxy HTTP.

fig06.gif

Figura 6 Registro de ISA Server 2006 con la actualización de compatibilidad (haga clic en la imagen para ampliarla)

Si continúa analizando el registro, debería ver RPC_OUT_DATA, el otro verbo de RPC sobre HTTP. Es importante ser consciente de qué métodos HTTP se usan, RPC_IN_DATA y RPC_OUT_DATA para RDP/HTTP, porque si el filtrado HTTP está configurado para bloquear estos métodos, el tráfico se bloqueará en el servidor ISA. Si desea bloquear el entorno, puede configurar la regla de publicación de web RDP/HTTP para permitir sólo estos dos métodos. Para obtener más información sobre los métodos HTTP que normalmente se usan para publicar, debería leer el artículo "Filtrado HTTP en ISA Server 2004" en technet.microsoft.com/library/cc302627.

El segundo escenario

Para este escenario, la puerta de enlace de TS usará una directiva NPS central situada en otro servidor. Aplicaremos una directiva de NAP para los clientes que se conectan de forma remota a través de la puerta de enlace de TS. Se volverán a usar los mismos componentes del escenario 1, sólo que se agregará el servidor NPS. Sin embargo, debido al cumplimiento NAP, se deben usar componentes adicionales en el cliente, como se muestra en la figura 7.

fig07.gif

Figura 7 Componentes principales de la topología del escenario 2 (haga clic en la imagen para ampliarla)

A continuación se ofrece una explicación de los componentes individuales. En el cliente Windows Vista, un agente de mantenimiento del sistema (SHA) incluye los componentes del cliente responsables de supervisar y notificar el estado de mantenimiento del cliente. Windows Vista incluye Windows SHA, pero hay otros proveedores que trabajan para crear sus propios SHA.

Cuando el cliente intenta obtener acceso a la red, el agente NAP del cliente es responsable de establecer las comunicaciones con el servidor de cumplimiento NAP. El agente NAP envía a ese servidor el informe de mantenimiento (SoH) del cliente.

En la puerta de enlace de TS, la directiva de autorización de recursos de TS (RAP de TS) es el componente que permite determinar qué equipos estarán disponibles para recibir las solicitudes RDP entrantes. La RAP de TS determina también qué usuarios pueden establecer conexiones RDP a servidores específicos.

El NPS central es responsable de controlar las condiciones, las restricciones y la configuración que regulan el acceso a los equipos internos. Los validadores de mantenimiento del sistema (SHV) en el NPS central son responsables de evaluar si el SoH enviado por el cliente cumple con la directiva que establece el administrador.

Ahora cambiaremos la puerta de enlace de TS para dirigirla a un servidor NPS central. Abra la consola del Administrador de puerta de enlace de TS, haga clic con el botón secundario en el nombre del servidor y elija la opción Propiedades. En la ventana de las propiedades del servidor, haga clic en la ficha Almacén de CAP de TS y seleccione Servidor NPS central. A continuación, escriba el nombre o la dirección IP del servidor NPS y haga clic en el botón Agregar. Verá que aparece la ventana Secreto compartido. Escriba el secreto, haga clic en Aceptar y haga clic una vez más en Aceptar para cerrar la ventana. Debe recordar este secreto porque se usará en el servidor NPS.

Si suponemos que NPS ya está instalado en otro servidor, estos son los pasos que deberá seguir:

  1. Abra la consola del servidor de directivas de redes y, en el panel izquierdo, haga clic en NPS (Local).
  2. En el panel derecho, haga clic en Configurar NAP. Aparece la página Seleccionar método de conexión de red para su uso con NAP.
  3. En Método de conexión de red, seleccione Puerta de enlace de Terminal Services (Puerta de enlace de TS) en el cuadro desplegable y haga clic en Siguiente.
  4. En la página Especificar Servidores de cumplimiento NAP que ejecuten Puerta de enlace de TS, haga clic en el botón Agregar.
  5. En la ventana Nuevo servidor Puerta de enlace de TS, escriba el nombre descriptivo y la dirección IP del servidor Puerta de enlace de TS. Y a continuación, en la parte inferior de la ventana, escriba el secreto compartido usando el mismo secreto que en la configuración del servidor Puerta de enlace de TS. A continuación, haga clic en Aceptar.
  6. En la página Configurar la redirección de dispositivos de cliente y los métodos de autenticación puede especificar qué dispositivos serán redireccionados y el método de autenticación permitido (contraseña o tarjeta inteligente). A efectos de este ejemplo, deje las opciones predeterminadas y haga clic en Siguiente.
  7. En la página Configurar grupos de usuarios y de equipos, agregue el grupo de usuarios al que se permite establecer la conexión. En este ejemplo, haga clic en el botón Agregar usuarios en Grupos de usuarios: (Requerido) y elija Adminis. del dominio. Haga clic en Aceptar y, a continuación, en Siguiente.
  8. En la página Definir directivas de mantenimiento de NAP, verá que ya está seleccionado el SHV predeterminado. Observe también que en la parte inferior de esta página se deniega el acceso a los equipos con incumplimiento. Deje los valores predeterminados seleccionados y haga clic en Siguiente.
  9. En la página Finalización de la configuración del cliente RADIUS y la directiva de aplicación NAP, revise las opciones previamente seleccionadas. También puede hacer clic en el hipervínculo Detalles de configuración y se abrirá una página HTML con un resumen de las selecciones. Cuando termine, haga clic en Finalizar.

Este asistente se encarga de establecer la configuración de varias directivas importantes (directivas de solicitud de conexión, directivas de red y directivas de mantenimiento) y reduce apreciablemente el trabajo necesario para configurar NAP en este escenario.

¿Qué ocurre con el cliente?

Ahora que el servidor está totalmente instalado y configurado, ¿qué se debe hacer en el cliente?

Para aprovechar la directiva de cumplimiento NAP, el cliente debe ser Windows Server 2008 o Windows Vista. En Windows XP deberá instalar SP3, que incluye el cliente NAP.

Además del requisito del sistema operativo, existen ciertas configuraciones y servicios relevantes que se deben habilitar en el cliente. Entre ellas se incluyen las siguientes:

  • Agregar el nombre de servidor Puerta de enlace de TS a la lista de servidores de confianza en el cliente.
  • Iniciar el servicio de agente NAP y establecer el tipo de inicio de servicio en Automático.
  • Habilitar el cliente de cumplimiento de cuarentena de puerta de enlace de TS.

Para simplificar la implementación de esta solución, Microsoft ha creado el comando de configuración del cliente NAP de Terminal Services (Tsgqecclientconfig.cmd), que se puede descargar de go.microsoft.com/fwlink/?LinkId=122267. Después de ejecutar el comando, el cliente estará configurado como un cliente de cumplimiento NAP para puerta de enlace de TS. Tenga en cuenta que el comando se debe ejecutar con privilegios elevados.

Nuestro objetivo principal en este artículo no sólo ha sido describir y explicar la nueva característica de la puerta de enlace de TS que se encuentra disponible en Windows Server 2008 y mostrar cómo publicarla de modo seguro a través de ISA Server 2006, sino ofrecer además una perspectiva general de las ventajas para la seguridad que la combinación de ambos productos puede proporcionar a su compañía.

En el mundo actual, estar conectado desde cualquier lugar es un requisito clave para casi cualquier negocio de éxito. Sin embargo, también es necesario incluir esta conectividad sin dejar de ofrecer una experiencia mejorada para el usuario. Y, lo que todavía es más importante, es obligatorio que todo se lleve a cabo de un modo que garantice la seguridad.

El Dr. Thomas W. Shinder es MCSE y MVP en ISA Server. Ha trabajado como instructor, escritor y consultor sobre tecnología desde el año 1996. El Dr. Shinder es autor de seis libros sobre el firewall ISA. También es un líder creador y autor principal de ISAserver.org, la comunidad más grande de administradores y partidarios del firewall ISA en Internet.

Yuri Diogenes, MCSE+S, MCTS, MCITP, Security+, Network+ y CCNP, es el ingeniero de soporte técnico de seguridad del equipo ISA Server/IAG de Microsoft. Yuri escribe artículos para la biblioteca TechNet Library de Microsoft y el blog del Equipo de ISA Server. Yuri ha trabajado con la tecnología de Microsoft desde el año 1993. Antes de unirse a Microsoft, trabajó como instructor de Microsoft, analista de soporte técnico y consultor.