Juan Garrido Juan Garrido Consultor Seguridad I64 Consultor Seguridad I64 .
-
Upload
ernesta-abila -
Category
Documents
-
view
13 -
download
4
Transcript of Juan Garrido Juan Garrido Consultor Seguridad I64 Consultor Seguridad I64 .
Publicación de
Aplicaciones
Juan Garrido Consultor Seguridad I64 http://windowstips.wordpress.com http://www.informatica64.com
HOL-WIN67
Microsoft Windows Server 2008 R2.Servicios de Escritorio Remoto
(Terminal Services)
Agenda
►Introducción►Aplicaciones Remotas►Acceso a aplicaciones
TS Web AccessRDPMSI
►TSGatewayProblemática de nuestros clientes y partnersRol GatewayAutenticaciónIntegración con TS Web Access
OficinaCasera
• Proporciona acceso corporativo a aplicaciones y datos vía una pagina Web segura.
• Mejora la productividad y flexibilidad del empleado
Oficinacorporativa
• Gestión de aplicaciones simplificada (actualizaciones solo en el servidor)
• Mas fácil de cumplir con las regulaciones de seguridad en datos (sin datos en local)
OficinaRemota
• Integración de las aplicaciones remotas en el escritorio local mejora la productividad
• Menos gestión de datos y aplicaciones en la oficina remota
Presentation Virtualization with Terminal
Services• Aeropuerto.– Acceso sencillo y seguro sin
problemas de VPN vía una Web Segura
En CualquierParte
Terminal Services en Windows Server 2008 R2Mejorar la seguridad y la agilidad
Servicios de Terminal en Windows Server 2008 R2El nuevo desarrollo de TS en W2k8R2 se ha focalizado en 2 áreas claves1. Mejorar la plataforma y permitir el valor añadido de los
partners2. Mejorar la experiencia a los escenarios menos complejos
• Re-factorización del núcleo
• Expansión de interfaces WMI
• Gestión mejorada• Framwork para la
redirección de dispositivos PnPPlataforma
• TS Remote App™• TS Gateway• TS Web Access• TS Easy Print• TS Session BrokerFuncionalidades
TS Server
TS Session Broker
TS License Server
TS Web Access
Load Balancer
TS Server
TS RemoteApps MMC
Publish fichero RDP al paquete MSI
Active Directory
.
Iniciar “RemoteApps “ desde el menu de inicio o el
escritorio
Iniciar “RemoteApps” desde una página Web Publicar fichero
RDP al Servidor TS
Obtener fichero RDP
TS Gateway
( RDP + SSL ) +( RPC + HTTPS ) ( 443)
RDP + SSL ( 3389)
Forzado de Políticas de Accesos Remoto
Resumen de Sub-Roles TS en Windows Server 2008 R2
MSI con fichero RDP empujado al escritorio
ActiveX
• La consola “RemoteApp” se usa para hacer que las aplicaciones estén disponibles
• También se usa para que las aplicaciones estén disponibles vía “TS Web Access” (Acceso Web”
Terminal Services RemoteApp™
Terminal Server
• Aplicaciones Remotas integradas en el equipo local
• Configuración centralizada del servidor de terminales desde la consola
• Parece que los programas se ejecutan en local
• Solo soportado con el Cliente Remoto V6
Requiere el cliente de
acceso remoto
Ventajas
►Despliegue de aplicaciones sencillo y rápido►Gestión Central de aplicaciones de Negocio.►Despliegue ligero de aplicaciones de trabajo intensivo con datos►Acceso desde cualquier parte a los programas►Planificación en etapas de la actualización de aplicaciones►Consolidación de aplicaciones►Se integra con los programas locales
Arrastrar y Soltar (Beta 3) Integración con al bandeja del Sistema Dispositivos Locales y Ficheros Disponibles
Instalación y configuración
►Instalar el Role con el Server Manager►Instalar las aplicaciones
Si la aplicación NO se instala con un paquete de instalación de Windows
1. change user /install 2. Instalar aplicación 3. change user /execute
►Realizar configuraciones globales del servidor►Añadir programas a la lista para publicarlos
DEMO►Instalar TS Remote Apps
►Remote Apps
TS Web Access
►Publicación o despliegue de aplicaciones a través de una pagina Web.
TS Web Access
►Requiere que IIS este instalado en el equipo►Solo es una página WEB, NO proporciona ningún tipo de canal
de comunicaciones como en el caso de TS Gateway►El cliente ha de ser Vista SP1 o W2K8►Finalmente desde la RC0:
Ya NO admite dos tipos de despliegueDespliegue SencilloDespliegue mediante Directorio Activo
No se puede personalizar en función del usuario.
Publicación de aplicaciones
►Puede ser mediante paquetes RDP o MSIRDP es simplemente un fichero con los parámetros de
conexiónMSI es un mínimo paquete de instalación del RDP
►Se pueden publicar simplemente compartiéndolos en un directorio o mediante el sistema de distribución de software que queramos
►El AD es muy útil para desplegar estas aplicaciones personalizando en función del usuario.
DEMO1. Publicación con TS Web Access2. Generación e instalación RDP3. Generación y publicación MSI4. Certificar RDP
►Acceso a las aplicaciones
TS Web Access vs TS Gateway
• TS Web Access proporcinal una interface web sencilla para lanzar aplicaciones
• TS Web Access NO proporciona el tunel de transporte RDP.
1
2
3
4
Mensajeria: Email y IM
Sitios Web Intranet/Aplicaciones
Aplicaciones de Servicios Web
Ficheros y Documentos
A
B
“Quiero proporcionar a mis empleados, socios de negocio, y clientes acceceso seguro…”
PC Gestionado
PC no Gestionado
…desde___________…a ___________
C Otro sistema Aplicaciones de negsocio
Cliente/Servidor
5
Acceso Offline
Mucho ancho de bandaX
Z
Poco ancho de bandaY
…Tipo de red___________
Enunciado del Problema
Solucionado con TS Gateway►Reduce el despliegue en cliente y los costos de gestión
►Proporciona acceso desde mas sitios►Mayor control y seguridad a los administradores
Dispositivos Gestionados Dispositivos No Gestionados
Tipo de Dispositivo de Acceso
Nivel de Accesode Red
Ilimitado. Acceso total a
la Red
PPTP o L2TP/IPSec
IP sobre SSL
PC Corporativo PC Casero PC Partner Kiosk
Outlook - RPC/HTTPS
Solo para NavegadoresHTTP-Proxy
No-Client-StateClient State
Acceso limitado con
control granular
TS+TS Gateway
Comparativa de Soluciones
Mejoras frente a soluciones VPN
►Los usuarios pueden acceder a las aplicaciones corporativas y los equipos corporativos desde el navegador de Internet
►Amistoso con equipos de Casa ►Cruza firewalls y NATs (w/ HTTPS:443)►Control de acceso granular en el perímetro►Políticas de Autorización de Conexión►Políticas de Autorización a Recursos (RAP)
TS Gateway Remote AccessDMZInternet Red
InternaTerminal
Server
Hotel F
irew
all E
xter
no
Fire
wal
l Int
erno
Casa
Business Partner/Client Site
Other RDPHosts
TerminalServer
Internet
Terminal Services
Gateway Server Network Policy Server
Active Directory DC
Tunel RDP sobre
RPC/HTTPS
Pasa tráfico RDP/SSL al
TS
Deshace el RPC/HTTPS
TS Gateway Con TS Web Access►El host RDP se puede situar tras un Firewall►HTTP/S se usa para atravesar el Firewall►Se chequean AD / ISA / NAP antes de permitir la
conexión►El escritorio y las aplicaciones no se ejecutan
dentro de IE
AD / IAS / NAP
El Usuario navega a TS Web Access
El usuario inicia la conexión HTTPS al TS Gateway
Terminal Servers o XP /
Vista
TS Gateway
TS Web
AccessIntern
etDMZ Red Interna
Network
RDP Sobre HTTP/S se establece a TSG RDP 3389 a host
Chequeo AD / IAS / NAP
Cliente (TS) Vista
RDC
Seguridad Fuerte
►Autenticación mediante contraseña o smartcards►Usa cifrado estándar de la industria (SSL, HTTPS)►El tráfico RDP sigue cifrado de extremo a extremo desde el
cliente al servidor►La salud del equipo cliente se puede chequear mediante NAP►Se puede terminar el trafico SSL en dispositivos intermedios para
detectar intrusiones o filtrar en la DMZ
DespliegueInstalación1. Instalar el Role TS Gateway2. Obtener un Certificado para el Servidor TS Gateway3. Configurar el Certificado en IIS4. Crear una política de acceso de clientes (CAP)5. Crear una política de acceso a equipos (RAP)6. Limitar el numero de conexiones por el TS Gateway
(Opcional)7. Monitorizar las conexiones por el TS Gateway
DEMO►Instalación y configuración
►TS Gateway
Planificación para Despliegue
► Se debe desplegar un servidor de licencias de TS 2008 TS solo funcionara durante 180 días sin no se activa el SL El SL 2008 puede usarse con servidores de terminal 2003 y sus claves Hay que instalar las licencias antes de 90 días en cualquier SL Claves de Prueba se pueden conseguir para B3 en
http://licensecode.one.microsoft.com ► Las licencias de los dispositivos son tracedas y obligadas
Actualizar el SL y el TS antes de los 180 días / 90 días en que expira. Las conexiones fallarán si se usan licencias de dispositivos
► Las licencias de los usuarios son traceadas Se permitirán las conexiones aun después de los 180 / 90 días Un informe indicara que se esta fuera de plazo
Licenciamiento
Actualizar y obtener claves RTM cuando este disponible
Planificación para Despliegue
•Facil de configurar
•Requiere que se instale el certificado en el cliente
Auto Firmado
•Se debe de comprar
•Los certificados “Comodín” se pueden usar para todos los roles de TS
•No hay que instalarlo en el cliente
De un Tercero (ejem. Verisign)
•Complejo de configurar ( A no ser que ya se tenga un “Certificate Server)
•La instalación en cliente se puede automatizar en los clientes gestionados
Certificate Server
Recuerda que el nombre del certificado ha de coincidir con el servidor:
• El certificado del Gateway ha de coincidir con el nombre externo de la máquina
• Los certificados de acceso Web tienen que coincidir con el nombre externo del sitio cuando se usa HTTPS – considerar el uso de HTTP internamente
• Un certificado SSL puedes ser usado para firmar RDP (No se necesita otro certificado)
• Los certificados comodín pueden usarse para simplificar , pero ojo con los riesgos.
Planificación para el despliegueClientes►El cliente viene de serie en Windows Vista►Necesaria la actualización del cliente XP
http://www.microsoft.com/downloads/details.aspx?FamilyID=26f11f0c-0d18-4306-abcf-d4f18c8f5df9&DisplayLang=en
►Para Machttp://www.microsoft.com/mac/downloads.aspx?pid=downlo
ad&location=/mac/download/MISC/RDC2.0_Public_Beta_download.xml
►En todos los casos es necesario que el cliente confíe en el certificado del TS Gateway, cualquiera que sea este
Recursos►Guía paso a paso TS Remote App
http://www.microsoft.com/downloads/details.aspx?familyid=518D870C-FA3E-4F6A-97F5-ACAF31DE6DCE&displaylang=en
►Technical Libraryhttp://technet2.microsoft.com/windowsserver2008/en/library/6
1d24255-dad1-4fd2-b4a3-a91a22973def1033.mspx?mfr=true
►Terminal Server Bloghttp://blogs.msdn.com/ts/default.aspx
►Forohttp://forums.microsoft.com/TechNet/ShowForum.aspx?ForumI
D=580&SiteID=17
Recursos
►Guía paso a paso TS Gatewayhttp://www.microsoft.com/downloads/details.aspx?familyid=51
8D870C-FA3E-4F6A-97F5-ACAF31DE6DCE&displaylang=en
►Technical Libraryhttp://technet2.microsoft.com/windowsserver2008/en/library/4
7a23a74-e13c-46de-8d30-ad0afb1eaffc1033.mspx?mfr=true
►Terminal Server Bloghttp://blogs.msdn.com/ts/default.aspx
►Forohttp://forums.microsoft.com/TechNet/ShowForum.aspx?ForumI
D=580&SiteID=17
http://Windowstips.wordpress.com
TechNews de Informática 64
►Suscripción gratuita en [email protected]
Contactos
►Informática 64http://[email protected]+34 91 146 20 00
►Profesor Juan Garrido [email protected] http://windowstips.wordpress.com