Forefront TMG 2010: Extensión de rango de puertos SSL válidos

by Admin 30. septiembre 2010 07:30
Un problema bastante habitual al que se han enfrentado los administradores de MS ISA Server es la de permitir el paso de tráfico de tipo SSL a través de puertos no estándar. Todo el mundo está acostumbrado a asumir la conexión HTTPS a través del puerto 443, sin embargo esto no es así es todas las circunstancias. Muy a menudo, inclusive en las conexiones con los servicios web de la Administración Pública, estas se dan sobre puertos tipo 8443 o 444 por poner algún ejemplo.

Cuando esto sucede se produce un fallo de conexión. Esto es debido a un problema de envío del cliente firewall y Secure Nat al módulo de Web Proxy. Este de forma predeterminada solo envía las conexiones SSL para tráfico HTTP al puerto TCP 443. Si un cliente intenta una conexión HTTPS sobre otro puerto el intento de conexión fallará, aunque se haya creado la correctamente la regla de acceso correspondiente.

Esta circunstancia también ocurre con la versión más reciente del producto: MS Forefront Threat Management Gateway 2010. Para evitarlo puede realizarse la extensión de rangos de puertos válidos para conexiones SSL. Informática64 desarrolló una aplicación denominada Lissa 2004 que permitía de forma gráfica y cómoda realizar esta extensión de puertos SSL para MS ISA Server. Lissa 2004 es válida también para ser utilizada en MS Forefront TMG 2010.

De forma predeterminada los únicos puertos habilitados para la conexión SSL son:

- 443 para HTTPS. - 563 para NNTP.

La siguiente imagen muestra este hecho:


Figura 1: Listado de puertos SSL habilitados de forma predeterminada

Podrá agregarse un nuevo puerto o conjunto de puertos a través de la función de agregar un nuevo rango. En el ejemplo se va a añadir el puerto 444 para la conexión con la Administración.


Figura 2: Agregando el puerto 444

Para que los cambios sean efectivos deberán guardarse los cambios y reiniciar los servicios de firewall del servidor.


Figura 3: Guardar cambios reiniciando servicios

A partir de este momento las reglas de acceso que permitan tráfico a través del puerto 444 serán efectivas para tráfico de tipo SSL. En el caso de que ya no sea necesaria dicha comunicación, podrán eliminarse los puertos para túnel SSL a través de la misma aplicación. Simplemente deberá marcarse en la columna Del aquellos puertos que desean eliminarse, guardando y reiniciando nuevamente los cambios.
 
Category: Forefront TMG
Tags: , , , ,
Comentarios (0)
E-mail Permalink Post RSS

Un Blog de:

Paperblog

Libros de Forefront TMG 2010
& SharePoint 2010: Seguridad
¡Ya disponibles a la venta!

 
250 páginas. 20 €. En Español

Compra tu Libro de Seguridad

 
250 páginas. 20 y 12 €. En Español

Próximos Eventos Seguridad & Forefront

Compra tus libros de:
Análisis Forense & LOPD

GFI Web Monitor

MetaShield Protector

Calendario de Artículos


Mostrar calendario en la página principal

Últimos Comentarios

Comment RSS