Los servicios de Terminal Services en Windows 2008 traen una nueva función llamada “Puerta de enlace de TS” que nos sirve para conectarnos desde el exterior de la organización a equipos que usan Terminal Server en la red de área local. Para poder usar esta função, tenemos que instalarla en un servidor de la red, nos da igual si tiene instalado o no los servicios de Terminal Server. En el router/firewall redirigiremos el puerto 443tcp hacía este servidor y este a su vez ya nos redirigirá a los servidores de Terminal Server de forma segura por el 3389tcp, além disso podemos aplicar certas directivas para garantir um pouco más la conexión.

Este sería un esquema de una red de servidores Terminal Server, para que se puedan conectar desde el exterior (Internet) a los servidores de Terminal Services, deberemos instalar TS Gateway o Puerta de Enlace en uno de ellos, y redirigir el tráfico HTTPS a él, y ya él se encargará de llevarnos al servidor que hayamos pedido a la hora de conectarnos, ya que el servidor de Puerta de Enlace utiliza RDP sobre HTTPS. Para este documento el servidor de puerta de enlace será w2k803 y el servidor de Terminal Services será w2k802.

Para agregar está função, debemos ir a la consola de administración del servidor y agregar la siguiente función: “Puerta de enlace de TS”,

Al marcar este componente, se nos instalarán los requisitos que tenga, por supuesto se tienen que instalar, Clique em “Adicionar funcionalidades necessárias”,

Podemos instalar um certificado já para que a ligação RDP seja cifrada com a camada SSL e seja mais segura, se já tivermos um certificado podemos aproveitá-lo e instalá-lo agora, caso contrário, depois, assinalando a terceira opção. “Seguinte”, a instalação de um certificado será obrigatória posteriormente.

Podemos criar agora algumas políticas de autorização para a ligação usando TS Gateway/TS porta de rede, mas faremos isso depois a partir da consola. “Seguinte”,

Confirmamos o que vamos instalar e clicamos em “Instalar”,

… Esperamos enquanto ele é instalado…

OKEY, instalação concluída com sucesso, Clique em “Fechar”,

Para abrir a consola de administração, Nós vamos “Princípio” > “Programas” > “Ferramentas administrativas” > “Serviços de terminal” > “Administrador de porta de TS”.

Se for a primeira vez que a abrimos, veremos que está totalmente sem configurar, mostrará diferentes alertas. Ahora vamos a ir configurando las propiedades del servidor de puerta de enlace, para ello sobre el servidor con botón derecho vamos a “Propriedades”. Y repasamos las pestañas para configurarlo según nos interese.

No “Geral” podemos habilitar un número máximo de conexiones simultáneas o directamente deshabilitar las conexiones a través de este servidor.

No “Certificado SSL” es donde instalaremos un certificado SSL, podremos crearnos uno desde aquí o si nos lo instalamos desde Panel de control podríamos elegirlo aquí. En este caso nos basta con crearnos un certificado para asegurar la conexión, para ello pulsaremos en “Crear certificado…”,

Para cima, debemos indicar el nombre completo de este servidor, abajo donde guardaremos una copiar del certificado que posteriormente se instalarán los usuarios. “Aceitar”,

Okey, “Aceitar”,

Ahora vemos que la pantalla ha cambiado indicandonos que tenemos un certificado correctamente instalado, pero este certificado al ser de una entidad emisora de certificados de no confianza (pq nos lo hemos generado nosotros, no una entidad emisora de certificados, una CA – Autoridade Certificadora). Clique em “Examinar” para guardar una copia del certificado en un directorio donde luego los usuarios se lo puedan instalar.

Seleccionamos el certificado y pulsamos en “Ver certificado…”,

No “Detalhes” pulsamoa abajo en el botón “Copiar en archivo…”,

Nos saldrá el asistente para la exportación de certificados, vale, lo continuamos, “Seguinte”,

Assinalar “Não exportar a chave privada” e “Seguinte”,

“DER binario codificado X.509 (.CER) & “Seguinte”,

Seleccionamos el path donde lo guardaremos y el nombre. “Seguinte”,

“Fim” para que nos copie el certificado a esta carpeta.

Okey, “Aceitar”, esto luego lo seguiremos cuando querramos ver cómo se conecta un usuario.

Nos comenta de donde usar las directivas de autorización de conexiones de Terminal Services (las CAP_TS) si de un servidor NPS ( Servidor de Política de Rede) local o uno central que será el servidor de dichas directivas. NPS es el componente que substituye a IAS de Microsoft Windows 2003. Si sólo tendremos un servidor de Puerta de Enlace de Terminal Services lo normal será marcar local, si no uno central para no tener que duplicar las directivas en ambos servidores.

No “Granja de servidores” nos encontramos los servidores que harán balanceo para permitir el acceso de las conexiones del exterior, aquí si tenemos más de un servidor de PE es donde deberemos agregarlos para que se balanceen las conexiones, indicamos el nombre del servidor y pulsamos en “Adicionar”, abaixo nos mostará el listado de los servidores pertenecientes a dicha granja y su estado.

No “Auditoria” podremos auditar todos los eventos que nos interessam para verificar la seguridad de nuestros sistemas, desde ver quem se conecta, quien se intenta conectar, errores de autorización, acceso a recursos…

No “Protocolo de puente SSL” es para assegurar la conexión si temos um ISA Server dentro de la red o um dispositivo para estabelecer uma conexão segura SSL entre este e el servidor de Puerta de Enlace. Tenemos más info para ISA AQUI (en la parte final del documento).

Ahora lo que tenemos que hacer es crear dos directivas, una primera llamada CAP (Connection Authorization Policies), permite especificar grupos de usuarios y/o equipos, que podem aceder a um servidor TS Puerta de Enlace. Para crear una directiva de este tipo en la consola de “Administrador de Puerta de Enlace” envelope “Políticas” con botón derecho en “Directivas de autorización de conexiones” > “Crear nueva directiva” > “Personalizado”.

No “Geral” le indicamos un nombre de directiva, por exemplo TS_CAP y la habilitamos.

No “Requerimentos” será onde digamos que método de autenticación se usará para conectarse, si con “Senha” ou “Tarjeta inteligente”. E depois temos que selecionar obrigatoriamente um grupo de utilizadores para indicar quem tem acesso a conectarse, yo tengo un grupo en el Directorio Activo llamado “Usuarios de TS” donde meto a los usuarios que quiero que se conecten, aqui lo agrego para indicar esto. Además si queremos para mayor seguridad, podemos criar um grupo no Directorio Activo y meter equipos en él para permitir sólo estás conexiones desde ciertos equipos.

Y en la pestaña “Redirección de dispositivos” tenemos que dispositivos queremos que les redirectione la conexión RDP de Terminal, podemos habilitar todos los dispositivos, deshabilitarlos o personalizarlo.

Ahora lo que tenemos que hacer es crear otra directiva, esta segunda llamada RAP (Resource Authorization Policies), permite especificar los recursos de la red interna que los usuarios remotos podrán acceder a través de un servidor TS Puerta de Enlace. Al crear una directiva de tipo RAP, adicionalmente pueden crearse grupos de equipos y asociarlos con la directiva RAP. Os utilizadores remotos terão acesso apenas se cumprirem pelo menos uma das condições especificadas no TS CAP e uma no TS RAP. Para crear una directiva de este tipo en la consola de “Administrador de Puerta de Enlace” envelope “Políticas” con botón derecho en “Diretivas de autorização de recursos” > “Crear nueva directiva” > “Personalizado”.

No “Geral” le indicamos un nombre de directiva, por exemplo TS_RAP e nós ativamos.

O separador “Grupos de utilizadores”, é igual à diretiva CAP, aqui indicamos grupos de utilizadores para permitir-lhes a conectividade usando o TS Gateway. Quem tem acesso a conectar-se, yo tengo un grupo en el Directorio Activo llamado “Usuarios de TS” donde meto a los usuarios que quiero que se conecten.

No “Grupo de computadores” adicionamos se nos interessa algum grupo no Directório Ativo para dar acesso a determinados computadores através do TS Gateway.

E no “Portos permitidos” veremos a que porto se ligarão os clientes de Ambiente de Trabalho Remoto aos servidores de Terminal Server, podemos permitir apenas ligações ao 3389, a qualquer porto ou personalizá-lo.

Aquí ya estaría finalizada la configuración de un servidor de Puerta de Enlace de Terminal Services, ahora lo que vamos a ver es cómo se debe conectar un usuario que esté en internet a un servidor de Terminal Server que esté dentro de la red a través del servidor PE.

Lo primero de todo es que cómo en el servidor de Puerta de Enlace hemos generado un certificado no valido, no con una Entidad Emisora de Certificados válida como: VeriSign, RapidSSL,CAcert, Comodo, Thawte… Pues en el PC cliente hay que instalar el certificado de arriba para indicar que confiamos en la Entidad Emisora de este certificado. Para fazer isso,, antes hemos guardado el certificado en un directorio llamado COMPARTIDA en el servidor Puerta de Enlace, suponiendo que está compartida y los usuarios pueden acceder a ela, sobre el certificado generado anteriormente, con botón derecho en el certificado “Instalar certificado”,

Nos saldrá un asistente de importación de certificados “Seguinte”,

Debemos marcar el check de “Colocar todos los certificados en el siguiente almacén” y en el botón “Examinar” Selecione “Entidades emisoras raíz de confianza”, “Seguinte”,

“Fim” para importar el certificado correctamente,

Confirmamos, “Sim”,

Aceitar,

Outra vez, en el PC cliente con el certificado ya instalado, abrimos el cliente de “Conexión a Escritorio Remoto” (“Princípio” > “Executar” > mstsc). Por supuesto que tiene que ser la versión 6 do cliente, caso contrário, nos lo tenemos que descargar de la web de Microsoft (http://support.microsoft.com/default.aspx/kb/925876). Nos vamos a la pestaña de “Opciones avanzadas” y pulsamos sobre o botão de “Configuração”. En la nueva ventana que se abre tenemos que marcar “Usar esta configuração de servidor de Puerta de enlace de TS” e em “Nome do servidor” indicamos qual é o servidor do Gateway da organização”.

Aceitamos as configurações e indicamos a qual servidor nos vamos conectar, será solicitada a autenticação antes de chegar à janela de Terminal Services por segurança, já que tenho o NLA ativado (Autenticação ao Nível de Rede), um novo tipo de autenticação, que autentica o utilizador, o computador cliente e as credenciais do servidor entre si. Isto significa que a autenticação agora é realizada antes de a sessão de Terminal Services ser iniciada e apresentada ao utilizador a janela de início de sessão. Com clientes anteriores de Ligação ao Ambiente de Trabalho Remoto 6.0, as sessões de TS eram iniciadas assim que o utilizador clicava “Ligar”, e isto cria uma janela de oportunidade para que utilizadores maliciosos realizassem ataques de Negação de Serviço (Dois) e roubassem credenciais através de um ataque man-in-the-middle (MITM).

Bem, vemos que já estaria ligado aos Serviços de Terminal, agora, para verificar se o estou a fazer através da Porta de Entrada, vamos à consola.

Abrimos o “Administrador de porta de TS” e em “Supervisão” veremos quem está ligado e vemos que está ligado ao servidor chamado w2k802.bujarra.com através do servidor de porta de entrada chamado w2k803.bujarra.com. A partir daqui, além disso, poderemos encerrar a sessão do utilizador “Interromper esta ligação” ou desligá-lo “Desligar este utilizador”.

www.bujarra.com – Héctor Herrero – Nh*****@*****ra.com – v 1.0