juan garrido juan garrido consultor seguridad i64 consultor seguridad i64

30
Publicaci ón de Aplicacio nes Juan Garrido Consultor Seguridad I64 http://windowstips.wordpress.com http://www.informatica64.com HOL-WIN67 Microsoft Windows Server 2008 R2. Servicios de Escritorio Remoto (Terminal Services)

Upload: ernesta-abila

Post on 15-Jan-2015

13 views

Category:

Documents


4 download

TRANSCRIPT

Page 1: Juan Garrido Juan Garrido Consultor Seguridad I64 Consultor Seguridad I64

Publicación de

Aplicaciones

Juan Garrido Consultor Seguridad I64 http://windowstips.wordpress.com http://www.informatica64.com

HOL-WIN67

Microsoft Windows Server 2008 R2.Servicios de Escritorio Remoto

(Terminal Services)

Page 2: Juan Garrido Juan Garrido Consultor Seguridad I64 Consultor Seguridad I64

Agenda

►Introducción►Aplicaciones Remotas►Acceso a aplicaciones

TS Web AccessRDPMSI

►TSGatewayProblemática de nuestros clientes y partnersRol GatewayAutenticaciónIntegración con TS Web Access

Page 3: Juan Garrido Juan Garrido Consultor Seguridad I64 Consultor Seguridad I64

OficinaCasera

• Proporciona acceso corporativo a aplicaciones y datos vía una pagina Web segura.

• Mejora la productividad y flexibilidad del empleado

Oficinacorporativa

• Gestión de aplicaciones simplificada (actualizaciones solo en el servidor)

• Mas fácil de cumplir con las regulaciones de seguridad en datos (sin datos en local)

OficinaRemota

• Integración de las aplicaciones remotas en el escritorio local mejora la productividad

• Menos gestión de datos y aplicaciones en la oficina remota

Presentation Virtualization with Terminal

Services• Aeropuerto.– Acceso sencillo y seguro sin

problemas de VPN vía una Web Segura

En CualquierParte

Terminal Services en Windows Server 2008 R2Mejorar la seguridad y la agilidad

Page 4: Juan Garrido Juan Garrido Consultor Seguridad I64 Consultor Seguridad I64

Servicios de Terminal en Windows Server 2008 R2El nuevo desarrollo de TS en W2k8R2 se ha focalizado en 2 áreas claves1. Mejorar la plataforma y permitir el valor añadido de los

partners2. Mejorar la experiencia a los escenarios menos complejos

• Re-factorización del núcleo

• Expansión de interfaces WMI

• Gestión mejorada• Framwork para la

redirección de dispositivos PnPPlataforma

• TS Remote App™• TS Gateway• TS Web Access• TS Easy Print• TS Session BrokerFuncionalidades

Page 5: Juan Garrido Juan Garrido Consultor Seguridad I64 Consultor Seguridad I64

TS Server

TS Session Broker

TS License Server

TS Web Access

Load Balancer

TS Server

TS RemoteApps MMC

Publish fichero RDP al paquete MSI

Active Directory

.

Iniciar “RemoteApps “ desde el menu de inicio o el

escritorio

Iniciar “RemoteApps” desde una página Web Publicar fichero

RDP al Servidor TS

Obtener fichero RDP

TS Gateway

( RDP + SSL ) +( RPC + HTTPS ) ( 443)

RDP + SSL ( 3389)

Forzado de Políticas de Accesos Remoto

Resumen de Sub-Roles TS en Windows Server 2008 R2

MSI con fichero RDP empujado al escritorio

ActiveX

Page 6: Juan Garrido Juan Garrido Consultor Seguridad I64 Consultor Seguridad I64

• La consola “RemoteApp” se usa para hacer que las aplicaciones estén disponibles

• También se usa para que las aplicaciones estén disponibles vía “TS Web Access” (Acceso Web”

Terminal Services RemoteApp™

Terminal Server

• Aplicaciones Remotas integradas en el equipo local

• Configuración centralizada del servidor de terminales desde la consola

• Parece que los programas se ejecutan en local

• Solo soportado con el Cliente Remoto V6

Requiere el cliente de

acceso remoto

Page 7: Juan Garrido Juan Garrido Consultor Seguridad I64 Consultor Seguridad I64

Ventajas

►Despliegue de aplicaciones sencillo y rápido►Gestión Central de aplicaciones de Negocio.►Despliegue ligero de aplicaciones de trabajo intensivo con datos►Acceso desde cualquier parte a los programas►Planificación en etapas de la actualización de aplicaciones►Consolidación de aplicaciones►Se integra con los programas locales

Arrastrar y Soltar (Beta 3) Integración con al bandeja del Sistema Dispositivos Locales y Ficheros Disponibles

Page 8: Juan Garrido Juan Garrido Consultor Seguridad I64 Consultor Seguridad I64

Instalación y configuración

►Instalar el Role con el Server Manager►Instalar las aplicaciones

Si la aplicación NO se instala con un paquete de instalación de Windows

1. change user /install 2. Instalar aplicación 3. change user /execute

►Realizar configuraciones globales del servidor►Añadir programas a la lista para publicarlos

Page 9: Juan Garrido Juan Garrido Consultor Seguridad I64 Consultor Seguridad I64

DEMO►Instalar TS Remote Apps

►Remote Apps

Page 10: Juan Garrido Juan Garrido Consultor Seguridad I64 Consultor Seguridad I64

TS Web Access

►Publicación o despliegue de aplicaciones a través de una pagina Web.

Page 11: Juan Garrido Juan Garrido Consultor Seguridad I64 Consultor Seguridad I64

TS Web Access

►Requiere que IIS este instalado en el equipo►Solo es una página WEB, NO proporciona ningún tipo de canal

de comunicaciones como en el caso de TS Gateway►El cliente ha de ser Vista SP1 o W2K8►Finalmente desde la RC0:

Ya NO admite dos tipos de despliegueDespliegue SencilloDespliegue mediante Directorio Activo

No se puede personalizar en función del usuario.

Page 12: Juan Garrido Juan Garrido Consultor Seguridad I64 Consultor Seguridad I64

Publicación de aplicaciones

►Puede ser mediante paquetes RDP o MSIRDP es simplemente un fichero con los parámetros de

conexiónMSI es un mínimo paquete de instalación del RDP

►Se pueden publicar simplemente compartiéndolos en un directorio o mediante el sistema de distribución de software que queramos

►El AD es muy útil para desplegar estas aplicaciones personalizando en función del usuario.

Page 13: Juan Garrido Juan Garrido Consultor Seguridad I64 Consultor Seguridad I64

DEMO1. Publicación con TS Web Access2. Generación e instalación RDP3. Generación y publicación MSI4. Certificar RDP

►Acceso a las aplicaciones

Page 14: Juan Garrido Juan Garrido Consultor Seguridad I64 Consultor Seguridad I64

TS Web Access vs TS Gateway

• TS Web Access proporcinal una interface web sencilla para lanzar aplicaciones

• TS Web Access NO proporciona el tunel de transporte RDP.

Page 15: Juan Garrido Juan Garrido Consultor Seguridad I64 Consultor Seguridad I64

1

2

3

4

Mensajeria: Email y IM

Sitios Web Intranet/Aplicaciones

Aplicaciones de Servicios Web

Ficheros y Documentos

A

B

“Quiero proporcionar a mis empleados, socios de negocio, y clientes acceceso seguro…”

PC Gestionado

PC no Gestionado

…desde___________…a ___________

C Otro sistema Aplicaciones de negsocio

Cliente/Servidor

5

Acceso Offline

Mucho ancho de bandaX

Z

Poco ancho de bandaY

…Tipo de red___________

Enunciado del Problema

Solucionado con TS Gateway►Reduce el despliegue en cliente y los costos de gestión

►Proporciona acceso desde mas sitios►Mayor control y seguridad a los administradores

Page 16: Juan Garrido Juan Garrido Consultor Seguridad I64 Consultor Seguridad I64

Dispositivos Gestionados Dispositivos No Gestionados

Tipo de Dispositivo de Acceso

Nivel de Accesode Red

Ilimitado. Acceso total a

la Red

PPTP o L2TP/IPSec

IP sobre SSL

PC Corporativo PC Casero PC Partner Kiosk

Outlook - RPC/HTTPS

Solo para NavegadoresHTTP-Proxy

No-Client-StateClient State

Acceso limitado con

control granular

TS+TS Gateway

Comparativa de Soluciones

Page 17: Juan Garrido Juan Garrido Consultor Seguridad I64 Consultor Seguridad I64

Mejoras frente a soluciones VPN

►Los usuarios pueden acceder a las aplicaciones corporativas y los equipos corporativos desde el navegador de Internet

►Amistoso con equipos de Casa ►Cruza firewalls y NATs (w/ HTTPS:443)►Control de acceso granular en el perímetro►Políticas de Autorización de Conexión►Políticas de Autorización a Recursos (RAP)

Page 18: Juan Garrido Juan Garrido Consultor Seguridad I64 Consultor Seguridad I64

TS Gateway Remote AccessDMZInternet Red

InternaTerminal

Server

Hotel F

irew

all E

xter

no

Fire

wal

l Int

erno

Casa

Business Partner/Client Site

Other RDPHosts

TerminalServer

Internet

Terminal Services

Gateway Server Network Policy Server

Active Directory DC

Tunel RDP sobre

RPC/HTTPS

Pasa tráfico RDP/SSL al

TS

Deshace el RPC/HTTPS

Page 19: Juan Garrido Juan Garrido Consultor Seguridad I64 Consultor Seguridad I64

TS Gateway Con TS Web Access►El host RDP se puede situar tras un Firewall►HTTP/S se usa para atravesar el Firewall►Se chequean AD / ISA / NAP antes de permitir la

conexión►El escritorio y las aplicaciones no se ejecutan

dentro de IE

AD / IAS / NAP

El Usuario navega a TS Web Access

El usuario inicia la conexión HTTPS al TS Gateway

Terminal Servers o XP /

Vista

TS Gateway

TS Web

AccessIntern

etDMZ Red Interna

Network

RDP Sobre HTTP/S se establece a TSG RDP 3389 a host

Chequeo AD / IAS / NAP

Cliente (TS) Vista

RDC

Page 20: Juan Garrido Juan Garrido Consultor Seguridad I64 Consultor Seguridad I64

Seguridad Fuerte

►Autenticación mediante contraseña o smartcards►Usa cifrado estándar de la industria (SSL, HTTPS)►El tráfico RDP sigue cifrado de extremo a extremo desde el

cliente al servidor►La salud del equipo cliente se puede chequear mediante NAP►Se puede terminar el trafico SSL en dispositivos intermedios para

detectar intrusiones o filtrar en la DMZ

Page 21: Juan Garrido Juan Garrido Consultor Seguridad I64 Consultor Seguridad I64

DespliegueInstalación1. Instalar el Role TS Gateway2. Obtener un Certificado para el Servidor TS Gateway3. Configurar el Certificado en IIS4. Crear una política de acceso de clientes (CAP)5. Crear una política de acceso a equipos (RAP)6. Limitar el numero de conexiones por el TS Gateway

(Opcional)7. Monitorizar las conexiones por el TS Gateway

Page 22: Juan Garrido Juan Garrido Consultor Seguridad I64 Consultor Seguridad I64

DEMO►Instalación y configuración

►TS Gateway

Page 23: Juan Garrido Juan Garrido Consultor Seguridad I64 Consultor Seguridad I64

Planificación para Despliegue

► Se debe desplegar un servidor de licencias de TS 2008 TS solo funcionara durante 180 días sin no se activa el SL El SL 2008 puede usarse con servidores de terminal 2003 y sus claves Hay que instalar las licencias antes de 90 días en cualquier SL Claves de Prueba se pueden conseguir para B3 en

http://licensecode.one.microsoft.com ► Las licencias de los dispositivos son tracedas y obligadas

Actualizar el SL y el TS antes de los 180 días / 90 días en que expira. Las conexiones fallarán si se usan licencias de dispositivos

► Las licencias de los usuarios son traceadas Se permitirán las conexiones aun después de los 180 / 90 días Un informe indicara que se esta fuera de plazo

Licenciamiento

Actualizar y obtener claves RTM cuando este disponible

Page 24: Juan Garrido Juan Garrido Consultor Seguridad I64 Consultor Seguridad I64

Planificación para Despliegue

•Facil de configurar

•Requiere que se instale el certificado en el cliente

Auto Firmado

•Se debe de comprar

•Los certificados “Comodín” se pueden usar para todos los roles de TS

•No hay que instalarlo en el cliente

De un Tercero (ejem. Verisign)

•Complejo de configurar ( A no ser que ya se tenga un “Certificate Server)

•La instalación en cliente se puede automatizar en los clientes gestionados

Certificate Server

Recuerda que el nombre del certificado ha de coincidir con el servidor:

• El certificado del Gateway ha de coincidir con el nombre externo de la máquina

• Los certificados de acceso Web tienen que coincidir con el nombre externo del sitio cuando se usa HTTPS – considerar el uso de HTTP internamente

• Un certificado SSL puedes ser usado para firmar RDP (No se necesita otro certificado)

• Los certificados comodín pueden usarse para simplificar , pero ojo con los riesgos.

Page 25: Juan Garrido Juan Garrido Consultor Seguridad I64 Consultor Seguridad I64

Planificación para el despliegueClientes►El cliente viene de serie en Windows Vista►Necesaria la actualización del cliente XP

http://www.microsoft.com/downloads/details.aspx?FamilyID=26f11f0c-0d18-4306-abcf-d4f18c8f5df9&DisplayLang=en

►Para Machttp://www.microsoft.com/mac/downloads.aspx?pid=downlo

ad&location=/mac/download/MISC/RDC2.0_Public_Beta_download.xml

►En todos los casos es necesario que el cliente confíe en el certificado del TS Gateway, cualquiera que sea este

Page 26: Juan Garrido Juan Garrido Consultor Seguridad I64 Consultor Seguridad I64

Recursos►Guía paso a paso TS Remote App

http://www.microsoft.com/downloads/details.aspx?familyid=518D870C-FA3E-4F6A-97F5-ACAF31DE6DCE&displaylang=en

►Technical Libraryhttp://technet2.microsoft.com/windowsserver2008/en/library/6

1d24255-dad1-4fd2-b4a3-a91a22973def1033.mspx?mfr=true

►Terminal Server Bloghttp://blogs.msdn.com/ts/default.aspx

►Forohttp://forums.microsoft.com/TechNet/ShowForum.aspx?ForumI

D=580&SiteID=17

Page 27: Juan Garrido Juan Garrido Consultor Seguridad I64 Consultor Seguridad I64

Recursos

►Guía paso a paso TS Gatewayhttp://www.microsoft.com/downloads/details.aspx?familyid=51

8D870C-FA3E-4F6A-97F5-ACAF31DE6DCE&displaylang=en

►Technical Libraryhttp://technet2.microsoft.com/windowsserver2008/en/library/4

7a23a74-e13c-46de-8d30-ad0afb1eaffc1033.mspx?mfr=true

►Terminal Server Bloghttp://blogs.msdn.com/ts/default.aspx

►Forohttp://forums.microsoft.com/TechNet/ShowForum.aspx?ForumI

D=580&SiteID=17

Page 28: Juan Garrido Juan Garrido Consultor Seguridad I64 Consultor Seguridad I64

http://Windowstips.wordpress.com

Page 29: Juan Garrido Juan Garrido Consultor Seguridad I64 Consultor Seguridad I64

TechNews de Informática 64

►Suscripción gratuita en [email protected]

Page 30: Juan Garrido Juan Garrido Consultor Seguridad I64 Consultor Seguridad I64

Contactos

►Informática 64http://[email protected]+34 91 146 20 00

►Profesor Juan Garrido [email protected] http://windowstips.wordpress.com