Jorge Garca Delgado

Microsoft Forefront Threat Management Gateway (TMG):

Es un completo gateway de seguridad web desarrollado por Microsoft que ayuda a proteger a las empresas de las
amenazas que existen actualmente en internet. Simple manejo e interfaz con la que se puede habilitar una
seguridad perimetral perfecta a prueba de ataques gracias al firewall integrado, VPN, prevencin de accesos no
autorizados, antivirus y anti-spam.
Microsoft Forefront TMG estar tambin integrado en la nueva suite completa de Forefront conocida con el
nombre en clave de Microsoft Forefront STIRLING.
Caractersticas:
-

Proteccin ante mltiples de ataques gracias a tener integrado un anti-malware y antivirus, protecciones
contra ataques de nivel de red y nivel de aplicacin y firewall multicapa.

Altamente seguro gracias a la proteccin contra ataques de usuarios web, un sistema altamente fiable y
seguro para la publicacin por parte de usuarios remotos y un sistema avanzado para VPN.

Gestin simplificada gracias a wizards que le ayudarn a configurarlo, un servicio centralizado y un

sistema de envo de e-mails integrado.

Inspeccin HTTPS. Inspecciones paquetes cifrados con SSL para descubrir malware, limitar el acceso a
ciertas webs a sus empleados e incluso pudiendo creando exclusiones a webs sensibles, como las
bancarias, evitando la inspeccin por parte de Forefront TMG.

Entre otras novedades ISP redundancy, sistema de inspeccin de red, 64 bit, gestin centralizada de
versiones Standard y Enterprise

Microsoft Proxy Server

Microsoft Proxy Server es un firewall, servidor de cach de contenidos y proveedor de seguridad. Mediante l,
podemos conectar toda una red a Internet.
Hace la funcin de firewall, o cortafuegos, ya que con dos tarjetas de red podemos aislar nuestra red de intrusos
del mundo exterior, mantiene en memoria o cach las pginas Web visitadas por nuestros clientes, permitiendo
as el acceso ms rpido a las mismas y nos provee de seguridad al poderle implementar filtros de seguridad tanto
de entrada como de salida.
Microsoft Proxy Server 2.0 se compone de tres servicios:
1. WEB PROXY: Soporta HTTP, FTP, Gopher para redes TCP/IP
2. WINSOCK PROXY: Soporta aplicaciones cliente ( Telnet, RealAudio) sobre TCP/IP e IPX/SPX para redes
sin TCP/IP.
3. SOCKS PROXY: Mecanismo de seguridad y conexin cliente-servidor que utiliza la tecnologa Socks 4.3,
soportando aplicaciones cliente y redireccionamiento para clientes no Windows. NO soporta UDP. NO
autentifica clientes. NO soporta IPX/SPX.
Mejoras de seguridad:
1. Punto nico de contacto LAN- Internet con dos tarjetas de red.
2. La nica IP visible es la del proxy
3. Filtra paquetes IP por puerto, tipo y URL, ya que los puertos se abren solo el tiempo imprescindible de
paso de informacin.

Jorge Garca Delgado

Instalacin y Configuracin de Microsoft Forefront Threat Management Gateway (TMG):

La instalacin puede realizarse de modo interactivo o desatendida. Si desea realizarla de manera desatendida,
verifique este sitio web.
1. Al iniciar la instalacin, el asistente nos guiar paso a paso:

Jorge Garca Delgado

2. En la prxima ventana, nos aparecer tres opciones, en las cuales solo podemos escoger una de ellas.

3. La primera opcin indica que instalaremos la consola y los servicios del TMG, en pocas palabra, la solucin
completa. La opcin siguiente es solo para aquellos que deseen tener la consola del TMG y administrarlo
remotamente y por ltimo es para opciones de matriz, es decir Forefront TMG encadenados como lo
hacamos en el ISA Server 2000 y versiones posteriores.(La ltima opcin solo aparece en los instaladores
que cumplan con la versin Forefront TMG Enterprise).Luego el asistente indica que comenzar a instalar
los roles del S.O si no fueron previamente instalado.
4. Una vez finalizada la preparacin, comienza la instalacin y deber aparecer en pantalla la siguiente
ventana:

En cada uno de los tems, dependiendo del equipamiento definido, determinar los tiempos de
instalacin aproximados.

Jorge Garca Delgado

FASE (1)
1. Nuevamente se abre una ventana en donde el asistente nos guiar como una clsica instalacin de
productos Microsoft.

Jorge Garca Delgado

Jorge Garca Delgado

2. Una vez que hemos indicado la ruta de instalacin del software, en la prxima ventana nos preguntar
cual es la red que deseamos proteger, para ello debemos seleccionar la placa de la red LAN.

3. Seleccionando el botn "AGREGAR", luego "AGREGAR ADAPTADOR" y por ltimo seleccionamos la placa
de la red LAN. Es recomendado identificar las placas antes de comenzar la instalacin, para ello en la
configuracin de red del equipo, renombre las placas una vez identificadas.

Jorge Garca Delgado

4. Seleccionada la placa de la red LAN, al presionar el botn de SIGUIENTE configurar las directivas para
que pueda administrar remotamente el equipo.

5. Antes de comenzar, el asistente mostrar en la ventana una alerta por deteccin de servicios, ya que
requiere para algunos de ellos para proceder la instalacin. Luego el instalador realizar la instalacin del
Forefront TMG 2010.

Este paso, observar que van cambiando las leyendas, ya que necesita instalar los repositorios,
configuracin, registro de filtros y otros elementos requeridos.

Jorge Garca Delgado

FASE (2)
6. Se debi cerrar la ventana y cambi el estado de la ventana inicial, posicionndose en el segundo tem.
Aqu no debe abrirse nuevas ventanas, ya que todo el proceso es por "background".

Si chequea el Task Manager o analiza los procesos del servidor, observar que hay un proceso
denominado "Setup100.exe", que llevar a cabo la instalacin del SQL 2008 requerido por el TMG 2010,
por lo cual se observa un leve consumo de procesador y memoria en ciertos momentos. Esto es normal y
no debe interrumpir la implementacin. Casi al finalizar se procede la instalacin del Report Service.

FASE (3)
1. Una vez finalizado, el instalador procede a subir los servicios requeridos. Y finaliza el asistente...

2. Al entrar a la consola aparece una ventana con tres tems que es requerido completar:

Jorge Garca Delgado

ITEM 1 : Topologa del TMG

1. Aqu debemos definir la topologa del TMG, indicando a su vez, cual es la RED LAN y el asistente
seleccionar automticamente la que se define como WAN o Internet si la topologa seleccionada incluye
la misma.

Jorge Garca Delgado

Jorge Garca Delgado

ITEM 2: Identificacin en la red

1. Aqu se puede modificar la identificacin del equipo en la red y como es el sufijo en el DNS para que
pueda ser ubicado por el resto de los equipos en la red.

ITEM 3: Actualizacin y servicios adicionales

1. En este ltimo paso, podr seleccionar si desea actualizar el mismo mediante Windows Update y que
servicios agregar a la funcionalidad del TMG 2010. Para activar estas funciones es requerido una licencia
adicional, si no la posee, puede optar por dejar la de Evaluacin, en donde se le indica la fecha de
vencimiento del perodo de prueba.

Jorge Garca Delgado

2. Luego aparecer la de suscripcin al NIST

3. Como todo producto de seguridad, requiere de actualizacin, por lo cual podremos configurar el perodo
de chequeo y actualizacin:

Jorge Garca Delgado

4. Si todo el proceso ha sido exitoso, debemos observar la pantalla de los pasos como la que figura a
continuacin:

5. Bien, ahora solo resta configurar la plataforma para las necesidades de su infraestructura. Debe aparecer
un asistente permitindole definir la configuracin, si lo cancela, podr luego definirlas paulatinamente.

Jorge Garca Delgado

Recomendaciones
1) Verifique su infraestructura antes de realizar el deploy del Forefront TMG 2010, asegurndose de cumplir con
las expectativas del negocio.
2) Ejecute el Capacity Planning Tool.
3) Antes de instalar identifique las placas de red.
4) Instale el S.O en una particin y luego el Forefront TMG 2010 y sus adicionales en otra particin con espacio.
5) Configure adecuadamente el cach.
6) Realice backups a medida que realiza la configuracin.
7) Si instala antivirus de otros proveedores, verifique que el archivo de cach y las bases de datos estn excluidas,
para que no impacte en la rendimiento del servicios