Este documento describe la instalación y configuración de Microsoft Forefront Threat Management Gateway (TMG). TMG es un firewall y gateway de seguridad que ayuda a proteger las empresas de amenazas en Internet. El documento detalla los pasos para instalar TMG en una máquina virtual con tres tarjetas de red correspondientes a las redes LAN, DMZ y WAN. Luego explica cómo crear reglas de firewall para permitir el tráfico entre las diferentes redes según los requisitos.
"El presente documento tiene por objetivo ayudar a entender el calculo de subredes aplicadas a ejercicios practicos. Este documento presenta dos formas de realizar VLSM a partir de requerimientos dados, los cuales nos permiten entender como se realiza el calculo a nivel de bits, para luego entrenarnos para realizarlos de forma mental cada uno de los requerimientos.
"El presente documento tiene por objetivo ayudar a entender el calculo de subredes aplicadas a ejercicios practicos. Este documento presenta dos formas de realizar VLSM a partir de requerimientos dados, los cuales nos permiten entender como se realiza el calculo a nivel de bits, para luego entrenarnos para realizarlos de forma mental cada uno de los requerimientos.
Cisco CCNA Training/Exam Tips that are helpful for your Certification Exam!
To be Cisco Certified please Check out:
http://asmed.com/information-technology-it/
ICMP es un protocolo de la capa de Internet del modelo TCP/IP, el cual es muy indispensable para el funcionamiento de esta capa. En esta diapositiva se resume los varios tipos de mensajes ICMP que existe, por ejemplo cuando se hace un ping se esta mandando un tipo de mensaje ICMP (request).
Para mejor comprensión primero se examina los mensajes que hacen referencia a mensajes de error, luego a los mensajes de control, estos que son tan comunes, pero ocurren en el proceso de comunicación de la información.
Adjunto proyecto realizado del CFGS ASIR, para que quién necesite consultar algo lo tenga, al igual que yo he consultado las publicaiones de otras personas. Saludos.
Aula 6 - Redes de Computadores A - Endereçamento IPFilipo Mór
Aula 6 - Redes de Computadores A - Endereçamento IP
Bacharelado em Sistemas de Informação.
Faculdade Dom Bosco de Porto Alegre.
Prof. Filipo Mór
www.filipomor.com
Concepts de base - Unité de mesures – Terminologie - Convention
Différents types de média : Cuivre - Fibre Optique – Hertzien
Equipements des différentes couches : répéteur, hub (concentrateur), commutateur, routeur, passerelle d’application
Topologies – Classification des réseaux selon leur topologie
Curso de introducción a la VoIP y Asterisk de Irontec.com
En esta segunda parte estudiaremos los conceptos básicos de SIP y cómo realizar llamadas con Asterisk utilizando SIP
¿Deseas formación en Voz IP y Asterisk?
http://www.irontec.com/cursos/curso-asterisk-avanzado
Resto del curso:
Parte 1: http://bit.ly/curso-voip-1
Parte 3: http://bit.ly/curso-voip-3
Parte 4: http://bit.ly/curso-voip-4
Cisco CCNA Training/Exam Tips that are helpful for your Certification Exam!
To be Cisco Certified please Check out:
http://asmed.com/information-technology-it/
ICMP es un protocolo de la capa de Internet del modelo TCP/IP, el cual es muy indispensable para el funcionamiento de esta capa. En esta diapositiva se resume los varios tipos de mensajes ICMP que existe, por ejemplo cuando se hace un ping se esta mandando un tipo de mensaje ICMP (request).
Para mejor comprensión primero se examina los mensajes que hacen referencia a mensajes de error, luego a los mensajes de control, estos que son tan comunes, pero ocurren en el proceso de comunicación de la información.
Adjunto proyecto realizado del CFGS ASIR, para que quién necesite consultar algo lo tenga, al igual que yo he consultado las publicaiones de otras personas. Saludos.
Aula 6 - Redes de Computadores A - Endereçamento IPFilipo Mór
Aula 6 - Redes de Computadores A - Endereçamento IP
Bacharelado em Sistemas de Informação.
Faculdade Dom Bosco de Porto Alegre.
Prof. Filipo Mór
www.filipomor.com
Concepts de base - Unité de mesures – Terminologie - Convention
Différents types de média : Cuivre - Fibre Optique – Hertzien
Equipements des différentes couches : répéteur, hub (concentrateur), commutateur, routeur, passerelle d’application
Topologies – Classification des réseaux selon leur topologie
Curso de introducción a la VoIP y Asterisk de Irontec.com
En esta segunda parte estudiaremos los conceptos básicos de SIP y cómo realizar llamadas con Asterisk utilizando SIP
¿Deseas formación en Voz IP y Asterisk?
http://www.irontec.com/cursos/curso-asterisk-avanzado
Resto del curso:
Parte 1: http://bit.ly/curso-voip-1
Parte 3: http://bit.ly/curso-voip-3
Parte 4: http://bit.ly/curso-voip-4
Instalación Firewall CHECKPOINT R70
A continuación se muestra el proceso de la instalación del firewall CHECKPOINT R70 y su configuración básica, Para poder instalarlo, se debe de tener el liveCD de CHECKPOINT incrustarlo en el CD-ROM y hacer que la computadora arranque desde el servidor.
Este software se instala de manera fácil como cualquier software el cual instala 4 aplicaciones , donde SmartDashBoard es la consola para la configuracion de politicas sobre el firewall.
Así tenemos configurado nuestro checkpoint, listo para instalarle politicas.
Listo para configurar las políticas de FirewallGRUPO #1REDES 2 – USAC – 2011PRIMER SEMESTRE"ESTO A SIDO LA INSTALACIÓN Y CONFIGURACIÓN DEL CHECKPOINT...”
Catalogo General Electrodomesticos Teka Distribuidor Oficial Amado Salvador V...AMADO SALVADOR
El catálogo general de electrodomésticos Teka presenta una amplia gama de productos de alta calidad y diseño innovador. Como distribuidor oficial Teka, Amado Salvador ofrece soluciones en electrodomésticos Teka que destacan por su tecnología avanzada y durabilidad. Este catálogo incluye una selección exhaustiva de productos Teka que cumplen con los más altos estándares del mercado, consolidando a Amado Salvador como el distribuidor oficial Teka.
Explora las diversas categorías de electrodomésticos Teka en este catálogo, cada una diseñada para satisfacer las necesidades de cualquier hogar. Amado Salvador, como distribuidor oficial Teka, garantiza que cada producto de Teka se distingue por su excelente calidad y diseño moderno.
Amado Salvador, distribuidor oficial Teka en Valencia. La calidad y el diseño de los electrodomésticos Teka se reflejan en cada página del catálogo, ofreciendo opciones que van desde hornos, placas de cocina, campanas extractoras hasta frigoríficos y lavavajillas. Este catálogo es una herramienta esencial para inspirarse y encontrar electrodomésticos de alta calidad que se adaptan a cualquier proyecto de diseño.
En Amado Salvador somos distribuidor oficial Teka en Valencia y ponemos atu disposición acceso directo a los mejores productos de Teka. Explora este catálogo y encuentra la inspiración y los electrodomésticos necesarios para equipar tu hogar con la garantía y calidad que solo un distribuidor oficial Teka puede ofrecer.
Catalogo general Ariston Amado Salvador distribuidor oficial ValenciaAMADO SALVADOR
Distribuidor Oficial Ariston en Valencia: Amado Salvador distribuidor autorizado de Ariston, una marca líder en soluciones de calefacción y agua caliente sanitaria. Amado Salvador pone a tu disposición el catálogo completo de Ariston, encontrarás una amplia gama de productos diseñados para satisfacer las necesidades de hogares y empresas.
Calderas de condensación: Ofrecemos calderas de alta eficiencia energética que aprovechan al máximo el calor residual. Estas calderas Ariston son ideales para reducir el consumo de gas y minimizar las emisiones de CO2.
Bombas de calor: Las bombas de calor Ariston son una opción sostenible para la producción de agua caliente. Utilizan energía renovable del aire o el suelo para calentar el agua, lo que las convierte en una alternativa ecológica.
Termos eléctricos: Los termos eléctricos, como el modelo VELIS TECH DRY (sustito de los modelos Duo de Fleck), ofrecen diseño moderno y conectividad WIFI. Son ideales para hogares donde se necesita agua caliente de forma rápida y eficiente.
Aerotermia: Si buscas una solución aún más sostenible, considera la aerotermia. Esta tecnología extrae energía del aire exterior para calentar tu hogar y agua. Además, puede ser elegible para subvenciones locales.
Amado Salvador es el distribuidor oficial de Ariston en Valencia. Explora el catálogo y descubre cómo mejorar la comodidad y la eficiencia en tu hogar o negocio.
HPE presenta una competició destinada a estudiants, que busca fomentar habilitats tecnològiques i promoure la innovació en un entorn STEAM (Ciència, Tecnologia, Enginyeria, Arts i Matemàtiques). A través de diverses fases, els equips han de resoldre reptes mensuals basats en àrees com algorísmica, desenvolupament de programari, infraestructures tecnològiques, intel·ligència artificial i altres tecnologies. Els millors equips tenen l'oportunitat de desenvolupar un projecte més gran en una fase presencial final, on han de crear una solució concreta per a un conflicte real relacionat amb la sostenibilitat. Aquesta competició promou la inclusió, la sostenibilitat i l'accessibilitat tecnològica, alineant-se amb els Objectius de Desenvolupament Sostenible de l'ONU.
1. Instalación y Configuración Microsoft Forefront TMG
GESTIÓN DE REDES DE DATOS
SERVICIO NACIONAL DE APRENDIZAJE
DIEGO LEON GIL BARRIENTOS
Ficha: 464327
2. 1
Microsoft Forefront Threat Management Gateway (TMG) es un completo gateway de seguridad web desarrollado por Microsoft que ayuda a proteger a las empresas de las amenazas que existen actualmente en internet. Simple manejo e interfaz con la que se puede habilitar una seguridad perimetral perfecta a prueba de ataques gracias al firewall integrado, VPN, prevención de accesos no autorizados, antivirus y anti-spam. Microsoft Forefront TMG estará también integrado en la nueva suite completa de Forefront conocida con el nombre en clave de Microsoft Forefront STIRLING. Características Protección ante múltiples de ataques gracias a tener integrado un anti-malware y antivirus, protecciones contra ataques de nivel de red y nivel de aplicación y firewall multicapa. Altamente seguro gracias a la protección contra ataques de usuarios web, un sistema altamente fiable y seguro para la publicación por parte de usuarios remotos y un sistema avanzado para VPN. Gestión simplificada gracias a wizards que le ayudarán a configurarlo, un servicio centralizado y un sistema de envío de e-mails integrado. Inspección HTTPS. Inspecciones paquetes cifrados con SSL para descubrir malware, limitar el acceso a ciertas webs a sus empleados e incluso pudiendo creando exclusiones a webs sensibles, como las bancarias, evitando la inspección por parte de Forefront TMG.
3. 2 Topología planteada Según la topología planteada contamos con una red LAN, DMZ Y WAN; todas centralizadas por un Firewall en software en Microsoft Forefront TMG, el cual se ejecutará en Windows server 2008 R2. LAN Red: 172.16.10.0 Mascara: 255.255.0.0 Gateway: 172.16.10.1 S.O de prueba: Windows XP DMZ IP del servidor: 192.168.10.2 /24 Servicios: FTP, WEB Gateway: 192.168.10.1 S.O: Windows Server 2008 R2
4. 3
WAN
IP del servidor: 40.0.0.2 /8
Servicios: FTP, WEB
Gateway: 40.0.0.1
S.O: Windows Server 2008 R2
TMG
3 tarjetas de Red:
Tarjeta de Red LAN: 172.16.10.1 /16
Tarjeta de Red DMZ: 192.168.10.1 /24
Tarjeta de Red WAN: 40.0.0.1 /8
S.O: Windows Server 2008 R2
INSTALACION DE MICROSFOT FOREFRONT TMG
Debemos tener una maquina Windows Server 2008 R2 previamente instalada, con unos días de licencia de prueba o con su debida activación para poder trabajar sin problemas el firewall en Windows.
Usaremos el TMG 2010.
NOTA: Lo podemos descargar del siguiente enlace:
http://www.microsoft.com/en-us/download/details.aspx?id=14238
Comenzaremos con lo más básico del Windows Server 2008 R2 que prestará los servicios de firewall, recordemos no tiene ningún servicio, solo prestará servicio de Firewall.
Comenzaremos a configurar tarjetas de red, según la topología nuestro servidor TMG tiene 3 tarjetas, procedemos entonces a configurarlas en nuestro VirtualBox.
5. 4
Procedemos entonces a configurar nuestras tarjetas de red, de nuestro servidor TMG.
Nota: Recordemos que son 3 tarjetas de red, y las direcciones IP que tendrán son los gateways de las redes LAN, DMZ Y WAN.
El adaptador 2 será la WAN, lo ponemos en Adaptador puente.
6. 5
Luego de habilitadas las 3 tarjetas de red, procedemos a iniciar nuestra maquina virtual con el Windows Server 2008 R2, para comenzar nuestra instalación del TMG.
NOTA: Atención con el nombre del equipo del servidor TMG y sus días de activación de licencia, ya que pueden afectar el funcionamiento.
7. 6
También debemos configurar una carpeta compartida, para transferir el archivo .exe desde nuestra maquina anfitriona a nuestro servidor TMG virtual.
En la imagen anterior muestro la ubicación del archivo ejecutable que contiene el Microsoft Forefront TMG.
Iniciamos nuestro servidor y procedemos a ver las tarjetas de red que posee, debemos comenzar a configurarlas.
NOTA: Recomendado para evitar confusiones, asignarles nombre distintivos para cada segmento de la topología.
Consejo identificamos fácilmente la que se encuentra en adaptador puente, porque inmediatamente identifica una red (internet de nuestra maquina anfitriona).
De resto las que se encuentran en red interna se diferencian por el nombre externo del VirtualBox en cada tarjeta de red.
8. 7
Empezamos entonces a asignar direcciones IP a las 3 tarjetas de red de nuestro servidor TMG, empezamos con la LAN…
Podemos observar que esta tarjeta de red (LAN) posee el Gateway de la red 172.16.10.0/16.
9. 8
Continuamos, configurando la tarjeta de red de la DMZ.
Esta tarjeta de red, podemos observar que tiene el Gateway de la red 192.168.10.0/24.
10. 9
Por ultimo configuramos la tarjeta de red de “internet” con el Gateway de la red simulada WAN.
Tenemos en esta última tarjeta de red, el Gateway de la red 40.0.0.0/8.
11. 10
Configuradas entonces nuestras 3 tarjetas de red con sus respectivas direcciones, procedemos entonces a copiar desde nuestra carpeta compartida el ejecutable del TMG para tenerlo en nuestro servidor.
En mi caso lo copié en el escritorio, y procedemos entonces a ejecutarlo.
15. 14
Seleccionamos los servicios y consola de administración de TMG…
Esperamos que analice los pore-requisitos de nuestro servidor…
16. 15
Una vez terminada la herramienta de preparación, le damos finalizar…
NOTA: Importante seleccionar la casilla para lanzar el proceso de instalación del TMG como tal.
Se abrirá esta pestaña debemos esperar a que se abra una ventana en la parte inferior…
18. 17
Dejamos esto por defecto, y le damos Next…
Podemos escoger donde queremos que sea instalado el TMG, lo dejé por defecto…Next…
19. 18
En esta parte vamos a seleccionar nuestra tarjeta de red INTERNA (LAN), según nuestra topología es la que posee la dirección IP 172.16.10.1/16.
Añadir adaptador…
22. 21
Esperamos que termine de instalar…
Continua en la parte superior el cuadro mostrado anteriormente, debemos esperar que los componentes adicionales sean instalados y confirados, este proceso es un poco demorado…
23. 22
Una vez terminado el proceso de los componentes adicionales, esperamos el nuevo Wizard…
Verificamos la casilla seleccionada y damos finalizar…
24. 23
Comenzamos entonces a configurar nuestras tarjetas de red, según nuestra topología son 3 LAN, DMZ Y WAN…
Next…
25. 24
Seleccionamos una red con 3 piernas: LAN, DMZ E INTERNET…
Seleccionamos la tarjeta de red de la LAN…
26. 25
En esta parte seleccionamos el adaptador conectado a la WAN…
38. 37
Se nos abrirá la consola de administración de Microsoft Forefront TMG, lo primero que debemos hacer es aplicar los cambios…
Cuando le demos aplicar los cambios, nos abre la ventana mostrada anteriormente, le decimos guardar los cambios y reiniciar los servicios…
39. 38
Aplicar…
Ahora que está correctamente instalado el TMG, debemos comenzar a configurar los parámetros que nos exige nuestra instructora…
Los 2 primero parámetros están cumplidos ya con la topología planteada inicialmente, y con el direccionamiento que tuvimos…
En la imagen anterior muestro que tengo 4 máquinas virtuales, correspondientes a la topología, el TMG está instalado y listo para ser configurado…
40. 39
La máquina virtual de la DMZ, es un Windows Server 2008 R2 igualmente que el TMG, cuenta con servicio FTP Y WEB; podemos ver externamente en el VirtualBox que posee una tarjeta de red, en red interna llamada DMZ.
Nuestra máquina virtual de internet, es un Windows Server 2008 R2 con servicios FTP YWEB, la tarjeta de red, está configurada en adaptador puente como en el TMG.
41. 40
La máquina virtual correspondiente a la LAN es un cliente con un Windows XP sencillo, la tarjeta de red es en red interna y según el nombre de las tarjetas de red de nuestro TMG, se llama “LAN”.
En la imagen mostrada anteriormente, demuestro que el servidor de la DMZ con la dirección IP 192.168.10.2/24 posee los servicios DNS (local) y el Web server que incluye servicio WEB Y FTP.
42. 41
Al encender la máquina virtual de la DMZ, y asignarle la dirección IP 192.168.10.2 y encontrarse igualmente encendido nuestro servidor TMG que posee la puerta de enlace 192.168.10.1 en la red interna llamada “DMZ”, inmediatamente identifica la red.
En la imagen anterior muestro efectivamente el direccionamiento de la DMZ, con su respectiva puerta de enlace.
43. 42
Igualmente mi servidor que simula INTERNET, que posee la dirección IP 40.0.0.2/8 es un Windows Server 2008 R2, que posee servicio DNS (local) y tiene instalado el Web Server que incluye servicio WEB Y FTP.
También podemos ver que al asignarle el direccionamiento correcto y estando encendida la máquina virtual de nuestro servidor TMG, vemos que identifica la red.
NOTA: Recordemos que la tarjeta de red de nuestro servidor TMG de la WAN y la tarjeta de red de esta máquina que simula internet deben estar ambas en adaptador puente.
44. 43
Por ultimo nuestra máquina virtual que va ser un cliente de Windows XP, perteneciente a la red interna llamada “LAN” debe tener una dirección IP en la red 172.16.10.0/16.
45. 44
Ahora procedemos a configurar las reglas de acceso y diversas configuraciones necesarias en nuestro servidor TMG para cumplir los requisitos del instructor.
Buscamos en nuestro servidor TMG, la consola de administración de Microsoft Forefront TMG…
Por gusto personal y pruebas anticipadas, me gusta establecer un PING desde la LAN, DMZ Y WAN al servidor TMG, para identificar que si hay funcionalidad de nuestro servidor y están bien configuradas las tarjetas de red.
Procedemos entonces en el menú de “Firewall Policy” a crear una nueva regla de acceso…
46. 45
Colocamos el nombre a la regla de acceso como deseemos…
Le decimos que vamos a permitir tráfico…
47. 46
Vamos a especificar que protocolos vamos a permitir, para ello le damos “ADD…”
Debemos buscar el protocolo ICMP, pero Windows Server nos lo facilita llamándolo “ping”…
48. 47
Ya seleccionado el protocolo, damos clic en Next…
Ahora debemos especificar desde que origen viene el tráfico, vamos a especificarle que el origen son nuestras redes LAN, DMZ Y WAN.
49. 48
En este caso lo especificaré solo con la DMZ, para hacer una prueba sencilla…
Una vez seleccionadas nuestras redes de origen, damos clic en Next para especificar quien será nuestro destino.
Recordemos la sintaxis del Wizard: Estamos permitiendo trafico PING desde la zona perimetral hacia…
50. 49
Ahora debemos escoger nuestra red destino…
En este caso es el local host, la configuración de dicha regla de acceso la estamos haciendo desde nuestro servidor TMG, por lo tanto el local host es el Servidor TMG.
51. 50
Seleccionamos todos los usuarios…Next…
Finalizamos la creación de la regla de acceso…
52. 51
Solo nos resta aplicar los cambios, para comenzar a hacer pruebas de nuestra regla creada y aplicada.
La regla está creada y la sintaxis es la siguiente…
Estamos permitiendo de la regla de acceso llamada “PING1”, estamos permitiendo el tráfico “PING” desde la zona perimetral (DMZ) al local host que es nuestro servidor TMG.
53. 52
Procedemos entonces a hacer pruebas, desde nuestra DMZ vamos a hacerle ping a nuestra puerta de enlace 192.168.10.1 que es la dirección IP configurada en el servidor TMG.
NOTA: Recordemos que el TMG implícitamente está negando todo tráfico.
Vemos que el PING es exitoso.
54. 53 Permitir el acceso a los servicios de la DMZ desde la LAN sin hacer NAT.
Empezamos mirando que reglas trae nuestro servidor TMG implícitamente de NAT.
Podemos observar que trae 2 reglas implícitas de NAT; básicamente desde la red interna y de la DMZ hacia internet se genera un NAT por defecto, pero para la regla que estamos configurando que es de la LAN a la DMZ no haya un NAT, no tenemos problema alguno.
Procedemos entonces a crear una nueva regla de acceso, para permitir el tráfico.
55. 54
Por orden y facilitar posteriormente la administración de nuestro servidor TMG, nombramos las reglas con distintivos de origen y destino.
Vamos a permitir el tráfico…
56. 55
Vamos a especificar qué tipo de tráfico vamos a permitir, en nuestra DMZ tenemos servicios de FTP Y WEB, por lo tanto habilitamos los protocolos mostrados anteriormente.
57. 56
Especificamos que nuestra red origen es nuestra red LAN, en contexto del TMG es la red INTERNAL…
La red destino es la DMZ, en contexto del TMG es “Perimeter”…
59. 58
Como vemos la regla fue creada, no nos olvidemos de aplicar los cambios…
Procedemos a hacer pruebas entonces desde nuestra LAN a los servicios FTP Y WEB de nuestra DMZ…
60. 59
Como en nuestro servidor de la DMZ, poseemos servicio FTP, por requisito de nuestra instructora nos pide que accedamos también a nuestro servidor FTP de forma ACTIVA, por lo tanto debemos hacer lo siguiente en el TMG…
En System > FTP Access Filer, damos clic derecho > propiedades…
Seleccionamos permitir acceso a FTP activo…
61. 60
También debemos hacer una última modificación a la regla que creamos anteriormente permitiendo el tráfico desde la LAN a la DMZ…
Damos clic derecho y seleccionamos “Configure FTP”…
Le quitamos la selección a la casilla que dice solo lectura…
62. 61
Hacemos pruebas accediendo a nuestro servidor de forma ACTIVA…
Sabemos que está funcionando bien, cuando logramos listar el contenido el FTP.
Ahora vamos probar desde nuestra DMZ que no se esté realizando una traducción de direcciones NAT…
Abrimos el analizador de tráfico Wireshark en el servidor de la DMZ…
63. 62
Podemos ver que aparece muy clara la dirección origen de nuestro cliente de Windows XP perteneciente a la red LAN.
Permitir el acceso a los servicios de internet desde LAN haciendo NAT
Empezamos mirando que reglas de NAT tenemos implícitamente en nuestro servidor TMG, podemos ver que ya hay una por defecto desde la red INTERNAL (LAN) hacia la red EXTERNAL (WAN) con la IP por defecto que sería 40.0.0.1.
64. 63
Ya que tenemos claro que se está ejecutando un NAT, procedemos entonces a habilitar el acceso a los servicios de internet desde nuestra red LAN.
65. 64
Vamos a permitir el tráfico…
Nuestro servidor de internet con dirección IP 40.0.0.2 posee los servicios FTP y WEB, por lo tanto seleccionamos dichos protocolos…
67. 66
La red destino es la EXTERNAL (WAN)…
Todos los usuarios, Next…
68. 67
Finalizamos…
Se creará entonces la nueva regla de acceso, solos nos falta aplicar los cambios y proceder a hacer pruebas a los servicios de internet desde la LAN.
El acceso a la página WEB es exitoso…
69. 68
Igualmente al FTP de forma pasiva…
Vamos a habilitar el FTP activo, damos clic derecho a la regla de la LAN a INTERNET, y le damos “Configure FTP”…
70. 69
Aplicamos los cambios, y procedemos entonces a hacer pruebas desde el cliente LAN al servidor FTP activo de internet…
71. 70
Mostramos de nuevo la regla de NAT…
Vamos a nuestro servidor que es INTERNET, y ejecutamos el analizador de trafico Wireshark para demostrar que la red origen está siendo nateada…
72. 71
Desde la LAN probamos accediendo al FTP de forma pasiva de internet.
NOTA: Recordemos que nuestro cliente LAN posee la dirección 172.16.10.2.
Podemos ver que la dirección origen es 40.0.0.1 y es la interfaz del TMG según la regla por donde sale el tráfico hacia internet.
73. 72 Hacer PAT a los servicios de la DMZ para que sean vistos desde internet usando dirección pública fija
Vamos entonces a proceder a publicar nuestro servidor que se encuentra en la DMZ con la dirección IP 192.168.10.2 y la idea es que sea visto desde internet (40.0.0.2) con una dirección IP en el mismo segmento, como la única IP disponible según la topología sería la 40.0.0.1.
Empezaremos publicando el servidor WEB de la DMZ…
80. 79
Finalizamos el asistente de creación del objeto de escucha web…
Podemos observar que asigna la configuración del web-listener creado anteriormente.
82. 81
Finalizamos la configuración de la publicación del servidor web…
Aplicamos los cambios…
83. 82
Vamos a hacer una configuración adicional respecto a la autenticación, para evitar un problema del TMG…
Vamos a propiedades de la regla creada anteriormente donde publicamos el servidor web de la DMZ…
Vamos al listener, y le damos a propiedades, para especificar algo en la autenticación….
84. 83
En autenticación, anteriormente especificamos que sin autenticación; pero debemos hacer una configuración avanzada…
85. 84
Aplicamos los cambios y guardamos…
Procedemos a hacer pruebas desde la máquina virtual que simula internet, accediendo al servidor web publicado de la DMZ, que debe tener una dirección IP pública (40.0.0.1).
Vemos que fue exitoso el acceso desde “internet” al servidor web publicado en la DMZ…
Ahora procedemos a publicar nuestro otro servicio (FTP), lo hacemos de la siguiente forma…
89. 88
Probamos acceso al servidor FTP activo publicado…
Vemos que es exitoso.
90. 89
Permitir NAT desde la DMZ para salir a los servicios de internet.
Procedemos a mirar las configuraciones de NAT por defecto de nuestro servidor TMG…
Podemos ver que hay un NAT por defecto desde la zona perimetral (DMZ) hacia internet (WAN), por lo tanto no tenemos que crearlo.
Según las versiones del TMG trae esta regla de NAT implícita, si no la tenemos la creamos…
La regla de NAT la trae implícita pero debemos crear regla de acceso desde la DMZ hacia internet…
93. 92
La red origen es Internet, porque vamos a permitir acceso a ellos…
Red de destino colocamos nuestra DMZ, que es la que nos falta que tenga conectividad…
95. 94
Aplicamos los cambios y procedemos a hacer pruebas, desde la DMZ a internet y debe estar haciendo una traducción de direcciones NAT.
96. 95
Podemos ver que la dirección IP origen, analizando el trafico entrante a internet es la dirección IP 40.0.0.1, por lo tanto si se está ejecutando un NAT desde la DMZ hacia internet.