Publicación de aplicaciones & TSGateway Juan Garrido Consultor Seguridad y Sistemas .
-
Upload
alisa-bahena -
Category
Documents
-
view
5 -
download
2
Transcript of Publicación de aplicaciones & TSGateway Juan Garrido Consultor Seguridad y Sistemas .
Publicación de aplicaciones &
TSGateway
Juan GarridoConsultor Seguridad y Sistemashttp://windowstips.wordpress.com http://www.informatica64.com
Agenda Introducción Aplicaciones Remotas Acceso a aplicaciones
TS Web Access RDP MSI
TSGateway Problemática de nuestros clientes y partners Rol Gateway Autenticación Integración con TS Web Access
OficinaCasera
• Proporciona acceso corporativo a aplicaciones y datos vía una pagina
Web segura.• Mejora la productividad y
flexibilidad del empleado
Oficinacorporativa
• Gestión de aplicaciones simplificada (actualizaciones solo en el servidor)
• Mas fácil de cumplir con las regulaciones de seguridad en datos
(sin datos en local)
OficinaRemota
• Integración de las aplicaciones remotas en el escritorio local mejora la
productividad• Menos gestión de datos y aplicaciones
en la oficina remota
Presentation
Virtualization with
Terminal Services
• Aeropuerto.– Acceso sencillo y seguro sin problemas de VPN vía una Web
Segura
En Cualquier
Parte
Terminal Services en Windows Server 2008
Mejorar la seguridad y la agilidad
Servicios de Terminal en W2K8El nuevo desarrollo de TS en W2k8 se ha focalizado en 2 áreas claves1. Mejorar la plataforma y permitir el valor añadido
de los partners2. Mejorar la experiencia a los escenarios menos
complejos• Re-factorización del núcleo
• Expansión de interfaces WMI• Gestión mejorada
• Framwork para la redirección de dispositivos PnPPlataforma • TS Remote App™
• TS Gateway• TS Web Access• TS Easy Print• TS Session BrokerFuncionalidades
TS Server
TS Session Broker
TS License Server
TS Web Access
Load Balancer
TS Server
TS RemoteApps MMC
Publish fichero RDP al paquete
MSI
Active Directory
.
Iniciar “RemoteApps “ desde el menu de
inicio o el escritorio
Iniciar “RemoteApps”
desde una página Web
Publicar fichero RDP al Servidor TS
Obtener fichero RDP
TS Gateway
(RDP+SSL) +(RPC+HTTPS) (443)
RDP+SSL (3389)
Forzado de Políticas de
Accesos Remoto
Resumen de Sub-Roles TS en Windows Server 2008
MSI con fichero RDP empujado al escritorio
ActiveX
• La consola “RemoteApp” se usa para hacer que las aplicaciones estén disponibles
• También se usa para que las aplicaciones estén disponibles vía “TS Web Access” (Acceso Web”
Terminal Services RemoteApp™
Terminal Server
• Aplicaciones Remotas integradas en el equipo local
• Configuración centralizada del servidor de terminales desde la consola
• Parece que los programas se ejecutan en local
• Solo soportado con el Cliente Remoto V6
Requiere el cliente de
acceso remoto
Ventajas
Despliegue de aplicaciones sencillo y rápido Gestión Central de aplicaciones de Negocio. Despliegue ligero de aplicaciones de trabajo
intensivo con datos Acceso desde cualquier parte a los programas Planificación en etapas de la actualización de
aplicaciones Consolidación de aplicaciones Se integra con los programas locales
Arrastrar y Soltar (Beta 3) Integración con al bandeja del Sistema Dispositivos Locales y Ficheros Disponibles
Instalación y configuración Instalar el Role con el Server
Manager Instalar las aplicaciones
Si la aplicación NO se instala con un paquete de instalación de Windows1. change user /install 2. Instalar aplicación 3. change user /execute
Realizar configuraciones globales del servidor
Añadir programas a la lista para publicarlos
DEMO
Instalar TS Remote Apps
Remote Apps
TS Web Access Publicación o despliegue de aplicaciones
a través de una pagina Web.
TS Web Access Requiere que IIS este instalado en el
equipo Solo es una página WEB, NO
proporciona ningún tipo de canal de comunicaciones como en el caso de TS Gateway
El cliente ha de ser Vista SP1 o W2K8 Finalmente desde la RC0:
Ya NO admite dos tipos de despliegue Despliegue Sencillo Despliegue mediante Directorio Activo
No se puede personalizar en función del usuario.
Publicación de aplicaciones Puede ser mediante paquetes RDP o
MSI RDP es simplemente un fichero con los
parámetros de conexión MSI es un mínimo paquete de
instalación del RDP Se pueden publicar simplemente
compartiéndolos en un directorio o mediante el sistema de distribución de software que queramos
El AD es muy útil para desplegar estas aplicaciones personalizando en función del usuario.
DEMO
1. Publicación con TS Web Access2. Generación e instalación RDP3. Generación y publicación MSI4. Certificar RDP
Acceso a las aplicaciones
TS Web Access vs TS Gateway• TS Web Access proporcinal una interface web
sencilla para lanzar aplicaciones• TS Web Access NO proporciona el tunel de
transporte RDP.
1
2
3
4
Mensajeria: Email y IM
Sitios Web Intranet/Aplicaciones
Aplicaciones de Servicios Web
Ficheros y Documentos
A
B
“Quiero proporcionar a mis empleados, socios de negocio, y clientes acceceso seguro…”
PC Gestionado
PC no Gestionado
…desde___________…a ___________
C Otro sistema Aplicaciones de negsocio
Cliente/Servidor
5
Acceso Offline
Mucho ancho de bandaX
Z
Poco ancho de bandaY
…Tipo de red___________
Enunciado del Problema
Solucionado con TS Gateway Reduce el despliegue en cliente y los costos
de gestión Proporciona acceso desde mas sitios Mayor control y seguridad a los
administradores
Dispositivos Gestionados Dispositivos No Gestionados
Tipo de Dispositivo de Acceso
Nivel de Accesode Red
Ilimitado. Acceso total a
la Red
PPTP o L2TP/IPSec
IP sobre SSL
PC Corporativo PC Casero PC Partner Kiosk
Outlook - RPC/HTTPS
Solo para NavegadoresHTTP-Proxy
No-Client-State
Client State
Acceso limitado con
control granular
TS+TS Gateway
Comparativa de Soluciones
Mejoras frente a soluciones VPN
Los usuarios pueden acceder a las aplicaciones corporativas y los equipos corporativos desde el navegador de Internet
Amistoso con equipos de Casa Cruza firewalls y NATs (w/ HTTPS:443) Control de acceso granular en el perímetro Políticas de Autorización de Conexión Políticas de Autorización a Recursos (RAP)
TS Gateway Remote AccessDMZInternet Red
InternaTerminal
Server
Hotel F
irew
all E
xter
no
Fire
wal
l Int
erno
Casa
Business Partner/Client Site
Other RDPHosts
TerminalServer
Internet
Terminal Services
Gateway Server Network Policy Server
Active Directory DC
Tunel RDP sobre
RPC/HTTPS
Pasa tráfico RDP/SSL al
TS
Deshace el RPC/HTTPS
TS Gateway Con TS Web Access El host RDP se puede situar tras un
Firewall HTTP/S se usa para atravesar el
Firewall Se chequean AD / ISA / NAP antes de
permitir la conexión El escritorio y las aplicaciones no se
ejecutan dentro de IE
AD / IAS / NAP
El Usuario navega a TS Web Access
El usuario inicia la conexión HTTPS al TS Gateway
Terminal Servers o XP /
Vista
TS Gateway
TS Web
AccessIntern
etDMZ Red Interna
Network
RDP Sobre HTTP/S se establece a TSG RDP 3389 a host
Chequeo AD / IAS / NAP
Cliente (TS) Vista
RDC
Seguridad Fuerte Autenticación mediante contraseña o
smartcards Usa cifrado estándar de la industria
(SSL, HTTPS) El tráfico RDP sigue cifrado de
extremo a extremo desde el cliente al servidor
La salud del equipo cliente se puede chequear mediante NAP
Se puede terminar el trafico SSL en dispositivos intermedios para detectar intrusiones o filtrar en la DMZ
DespliegueInstalación
1. Instalar el Role TS Gateway2. Obtener un Certificado para el Servidor
TS Gateway3. Configurar el Certificado en IIS4. Crear una política de acceso de clientes
(CAP)5. Crear una política de acceso a equipos
(RAP)6. Limitar el numero de conexiones por el TS
Gateway (Opcional)7. Monitorizar las conexiones por el TS
Gateway
DEMO
Instalación y configuración
TS Gateway
Planificación para Despliegue
Se debe desplegar un servidor de licencias de TS 2008 TS solo funcionara durante 180 días sin no se activa el SL El SL 2008 puede usarse con servidores de terminal 2003 y sus
claves Hay que instalar las licencias antes de 90 días en cualquier SL Claves de Prueba se pueden conseguir para B3 en
http://licensecode.one.microsoft.com Las licencias de los dispositivos son tracedas y obligadas
Actualizar el SL y el TS antes de los 180 días / 90 días en que expira.
Las conexiones fallarán si se usan licencias de dispositivos
Las licencias de los usuarios son traceadas Se permitirán las conexiones aun después de los 180 /
90 días Un informe indicara que se esta fuera de plazo
Licenciamiento
Actualizar y obtener claves RTM cuando este disponible
Planificación para Despliegue
• Facil de configurar• Requiere que se instale el certificado en el clienteAuto Firmado
• Se debe de comprar• Los certificados “Comodín” se pueden usar para
todos los roles de TS• No hay que instalarlo en el cliente
De un Tercero (ejem. Verisign)
• Complejo de configurar ( A no ser que ya se tenga un “Certificate Server)
• La instalación en cliente se puede automatizar en los clientes gestionados
Certificate Server
Elegir los certificados
Recuerda que el nombre del certificado ha de coincidir con el servidor:
• El certificado del Gateway ha de coincidir con el nombre externo de la máquina
• Los certificados de acceso Web tienen que coincidir con el nombre externo del sitio cuando se usa HTTPS – considerar el uso de HTTP internamente
• Un certificado SSL puedes ser usado para firmar RDP (No se necesita otro certificado)
• Los certificados comodín pueden usarse para simplificar , pero ojo con los riesgos.
Planificación para el despliegue
Clientes El cliente viene de serie en Windows Vista
Necesaria la actualización del cliente XP http://www.microsoft.com/downloads/details.as
px?FamilyID=26f11f0c-0d18-4306-abcf-d4f18c8f5df9&DisplayLang=en
Para Mac http://www.microsoft.com/mac/downloads.aspx?
pid=download&location=/mac/download/MISC/RDC2.0_Public_Beta_download.xml
En todos los casos es necesario que el cliente confíe en el certificado del TS Gateway, cualquiera que sea este
Recursos Guía paso a paso TS Remote App http://www.microsoft.com/downloads/details.aspx
?familyid=518D870C-FA3E-4F6A-97F5-ACAF31DE6DCE&displaylang=en
Technical Library http://technet2.microsoft.com/windowsserver200
8/en/library/61d24255-dad1-4fd2-b4a3-a91a22973def1033.mspx?mfr=true
Terminal Server Blog http://blogs.msdn.com/ts/default.aspx
Foro http://forums.microsoft.com/TechNet/ShowForum.
aspx?ForumID=580&SiteID=17
Recursos Guía paso a paso TS Gateway
http://www.microsoft.com/downloads/details.aspx?familyid=518D870C-FA3E-4F6A-97F5-ACAF31DE6DCE&displaylang=en
Technical Library http://technet2.microsoft.com/windowsserver200
8/en/library/47a23a74-e13c-46de-8d30-ad0afb1eaffc1033.mspx?mfr=true
Terminal Server Blog http://blogs.msdn.com/ts/default.aspx
Foro http://forums.microsoft.com/TechNet/ShowForum.
aspx?ForumID=580&SiteID=17
http://Windowstips.wordpress.com
TechNews de Informática 64
Suscripción gratuita en [email protected]
Más acciones desde TechNet
Para ver los webcast grabados sobre éste tema y otros temas, diríjase a:
http://www.microsoft.es/technet/jornadas/webcasts/webcasts_ant.asp
Para información y registro de Futuros Webcast de éste y otros temas diríjase a:
http://www.microsoft.es/technet/jornadas/webcasts/default.asp
Para mantenerse informado sobre todos los Eventos, Seminarios y webcast
suscríbase a nuestro boletín TechNet Flash en ésta dirección:
http://www.microsoft.es/technet/boletines/default.mspx
Descubra los mejores vídeos para TI gratis y a un solo clic:
http://www.microsoft.es/technet/itsshowtime/default.aspx
Para acceder a toda la información, betas, actualizaciones, recursos, puede
suscribirse a Nuestra Suscripción TechNet en:
http://www.microsoft.es/technet/recursos/cd/default.mspx