Seguridad reforzada para entornos en la extranet
En este artículo:
Herramienta para planear el refuerzo de la seguridad en la extranet
Topología de red
Relaciones de confianza en el dominio
Comunicación con funciones de granja de servidores
Comunicación con funciones de servidor de infraestructura
Requisitos para admitir conversiones de documentos
Comunicación entre dominios de red
Conexiones con servidores externos
En este artículo se detallan los requisitos para reforzar la seguridad en un entorno de extranet en el que hay una granja de servidores de Microsoft Office SharePoint Server 2007 dentro de una red perimetral y el contenido está disponible desde Internet o desde la red corporativa.
Para obtener más información sobre las topologías de extranet admitidas, vea Diseño de la topología de la granja de servidores de extranet (Office SharePoint Server).
Herramienta para planear el refuerzo de la seguridad en la extranet
La siguiente herramienta de planeación está disponible para su uso con el artículo sobre la herramienta para planear el refuerzo de la seguridad en la extranet cuando se trata de una extranet perimetral opuesta (en inglés) (https://go.microsoft.com/fwlink/?linkid=85533&clcid=0xC0A) (en inglés). Basándose en la topología de red perimetral opuesta, esta herramienta plantea los requisitos de puerto de cada equipo en el que se ejecuta Microsoft Internet Security and Acceleration (ISA) Server y cada enrutador o firewall. Esta herramienta es un archivo editable de Microsoft Office Visio que se puede adaptar a cada entorno. Por ejemplo, puede:
Agregar números de puerto personalizados, según corresponda.
Indicar los puertos que se usarán si se proporciona la opción de elegir protocolos o puertos.
Indicar los puertos específicos que se usan para la comunicación de base de datos del entorno.
Agregar o quitar requisitos para los puertos en función de:
Si se va a configurar la integración con el correo electrónico.
La capa en que se implemente la función de consulta.
Si se va a configurar una relación de confianza de dominio entre el dominio perimetral y el dominio corporativo.
Si desea disponer de herramientas de planeación para otras topologías de extranet admitidas, háganoslo saber enviando un comentario sobre este artículo.
Topología de red
Las instrucciones para reforzar la seguridad que se incluyen en este artículo se pueden aplicar a muchas configuraciones de extranet diferentes. El siguiente diagrama de topología de red perimetral opuesta muestra un ejemplo de implementación e ilustra las funciones de servidor y cliente en un entorno de extranet. La finalidad del diagrama es plantear todas las funciones posibles y sus relaciones con el entorno global. Es por esto que la función de consulta aparece dos veces. En una implementación real, la función de consulta se implementa en los servidores web o como servidor de aplicaciones, pero no ambas cosas. Asimismo, si la función de consulta se implementa en los servidores web, se implementa en todos los servidores web de una granja de servidores. El diagrama incluye todas las opciones con el fin de mostrar los requisitos de refuerzo de la seguridad. Los enrutadores de la ilustración se pueden sustituir por firewalls.
.gif "Diagrama del sistema de protección de la seguridad de la extranet")
Relaciones de confianza del dominio
El requisito de una relación de confianza en el dominio depende de la configuración de la granja de servidores. En esta sección se consideran dos configuraciones posibles.
La granja de servidores reside en la red perimetral
La red perimetral requiere su propia infraestructura de servicio de directorio de Active Directory y su propio dominio. Por lo general, los dominios perimetral y corporativo no se configuran para confiar el uno en el otro. Sin embargo, para autenticar usuarios de la intranet y empleados remotos que usan sus credenciales de dominio (autenticación de Windows), debe configurar una relación de confianza unidireccional en la que el dominio perimetral confíe en el dominio corporativo. La autenticación de formularios y SSO web no requieren una relación de confianza en el dominio.
La granja de servidores se divide entre la red perimetral y la red corporativa
Si la granja de servidores se divide entre la red perimetral y la red corporativa y los servidores de base de datos residen dentro de la red corporativa, es necesaria una relación de confianza en el dominio si se usan cuentas de Windows. En este escenario, la red perimetral debe confiar en la red corporativa. Si se usa la autenticación SQL, no se requiere una relación de confianza en el dominio. En la siguiente tabla se resumen las diferencias entre estas dos opciones.
| Autenticación de Windows | Autenticación de SQL | |
|---|---|---|
Descripción |
Las cuentas del dominio corporativo se usan para todas las cuentas de servicio y administración de Office SharePoint Server 2007, incluidas las cuentas de grupos de aplicaciones. Se requiere una relación de confianza unidireccional, en la que la red perimetral confía en la red corporativa. |
Las cuentas de Office SharePoint Server 2007 se configuran de las siguientes formas:
No se requiere una relación de confianza, pero se puede configurar una para admitir la autenticación de clientes para un controlador de dominio interno. Nota Si los servidores de aplicaciones residen en el dominio corporativo, se requiere una relación de confianza unidireccional, en la que la red perimetral confía en la red corporativa. |
Configuración |
La configuración incluye lo siguiente:
|
La configuración incluye lo siguiente:
|
Información adicional |
La relación de confianza unidireccional permite que los servidores web y los servidores de aplicaciones unidos al dominio de la extranet resuelvan las cuentas que se encuentran en el dominio corporativo. |
|
La información de la tabla anterior supone lo siguiente:
Tanto los servidores web como los servidores de aplicaciones residen en la red perimetral.
Todas las cuentas se crean con los privilegios mínimos e incluyen las siguientes recomendaciones:
Se crean cuentas separadas para todas las cuentas de servicio y de administración.
Ninguna cuenta es miembro del grupo Administradores en ningún equipo, incluido el equipo servidor donde reside SQL Server.
Si va a usar la autenticación de SQL, deben crearse los siguientes inicios de sesión de SQL con estos permisos:
Inicio de sesión de SQL para la cuenta que se usa para ejecutar la herramienta de línea de comandos Psconfig La cuenta debe ser miembro de las funciones de SQL dbcreator y securityadmin. Asimismo, debe ser miembro del grupo Administradores en cada servidor donde se ejecute el programa de instalación (no el servidor de base de datos).
Inicio de sesión de SQL para la cuenta de la granja de servidores Este inicio de sesión se usa para crear la base de datos de configuración y la base de datos SharePoint_AdminContent. El inicio de sesión debe incluir la función dbcreator. No es necesario que el inicio de sesión sea miembro de la función securityadmin. El inicio de sesión debe crearse con la autenticación de SQL. Configure la cuenta de la granja de servidores de forma que use la autenticación de SQL con la contraseña que se especifique al crear el inicio de sesión de SQL.
Inicio de sesión de SQL para las demás bases de datos El inicio de sesión debe crearse con la autenticación de SQL y debe ser miembro de las funciones de SQL dbcreator y securityadmin.
Para obtener más información acerca de las cuentas de Office SharePoint Server 2007, vea Planeación de cuentas administrativas y de servicio (Office SharePoint Server).
Para obtener más información acerca de la creación de bases de datos mediante la herramienta de línea de comandos Psconfig, vea Referencia de línea de comandos para el Asistente para configuración de Productos y Tecnologías de SharePoint (Office SharePoint Server).
Comunicación con funciones de granja de servidores
Cuando se configura un entorno de la extranet, es importante comprender cómo las distintas funciones de servidor se comunican dentro de la granja de servidores.
Comunicación entre funciones de servidor
En la ilustración siguiente se muestran los canales de comunicación de una granja de servidores. En la tabla que se encuentra justo después de la ilustración se indican los puertos y protocolos representados en la misma. Las flechas de línea continua de color negro indican qué función de servidor inicia la comunicación. Por ejemplo, la función Excel Calculation Services inicia la comunicación con el servidor de base de datos. El servidor de base de datos no inicia la comunicación con la función Excel Calculation Services. La flecha de línea discontinua de color rojo indica que cualquier servidor inicia la comunicación. Es un dato que se debe conocer al configurar la comunicación de entrada y salida en un firewall.
.gif "Comunicación entre granjas de servidores")
| Llamada | Puertos y protocolos |
|---|---|
1 |
Acceso de cliente (incluidos Information Rights Management [IRM] y consultas de búsqueda), uno o más de los siguientes:
|
2 |
Servicio Compartir archivos e impresoras. *Una* de las dos opciones siguientes:
|
3 |
Servicios web de Office Server. *Ambos*:
|
4 |
Comunicación con la base de datos:
|
5 |
Rastreo de búsqueda. En función de cómo se configure la autenticación, los sitios de SharePoint podrían ampliarse con una zona o sitio de Internet Information Services (IIS) adicional para garantizar que el componente de índice pueda tener acceso al contenido. Esta configuración puede tener como resultado puertos personalizados.
|
6 |
Servicio de inicio de sesión único. Cualquier función de servidor que tenga el servicio SSO en ejecución debe poder comunicarse con el servidor de clave de cifrado mediante una llamada a procedimiento remoto (RPC). Se incluyen todos los servidores web, la función Excel Calculation Services y la función Índice. Además, si se instala un optimizador de seguridad personalizado en el servidor de consultas y dicho optimizador de seguridad requiere el acceso a los datos de SSO, el servicio SSO se ejecuta en esta función de servidor también. La RPC requiere el puerto TCP 135 y *una* de estas dos opciones:
Para obtener más información acerca del servidor de clave de cifrado y qué funciones de servidor requieren el servicio SSO, vea Planeación del inicio de sesión único (SSO). |
Los servidores web equilibran automáticamente la carga de las solicitudes de consulta entre los servidores de consultas disponibles. En consecuencia, si la función de consulta se implementa en los servidores web, estos servidores se comunican entre sí mediante el servicio Compartir archivos e impresoras y los servicios web de Office Server. En la ilustración siguiente se pueden observar los canales de comunicación entre estos servidores.
.gif "Servidor web a servidor de consultas")
Comunicación entre sitios administrativos y funciones de servidor
Los sitios administrativos son:
Sitio de Administración central: este sitio se puede instalar en un servidor de aplicaciones o en un servidor web.
Sitios de administración de servicios compartidos: estos sitios se reflejan entre los servidores web.
En esta sección se detallan los requisitos de puertos y protocolos para la comunicación entre la estación de trabajo de un administrador y las funciones de servidor de la granja de servidores. El sitio de Administración central se puede instalar en cualquier servidor web o servidor de aplicaciones. Los cambios de configuración que se realicen a través del sitio de Administración central se comunican a la base de datos de configuración. Las demás funciones de servidor de la granja de servidores adoptan los cambios de configuración que están registrados en la base de datos de configuración durante sus ciclos de sondeo. En consecuencia, el sitio de Administración central no agrega nuevos requisitos de comunicación a las demás funciones de servidor de la granja de servidores.
En la ilustración siguiente se muestran los canales de comunicación desde una estación de trabajo de administrador hasta los sitios administrativos y la base de datos de configuración.
.gif "Topología de administración del sitio del administrador")
En la tabla siguiente se describen los puertos y protocolos que se incluían en la ilustración anterior.
| Llamada | Puertos y protocolos |
|---|---|
A |
Sitio de administración de servicios compartidos. Uno o más de los siguientes:
|
B |
Sitio de Administración central. Uno o más de los siguientes:
|
C |
Comunicación con la base de datos:
|
Comunicación con funciones de servidor de infraestructura
Cuando se configura un entorno de la extranet, es importante comprender cómo las distintas funciones de servidor se comunican dentro de los equipos servidor de infraestructura.
Controlador de dominio de Active Directory
En la siguiente tabla se muestran los requisitos de puertos para conexiones entrantes de cada función de servidor a un controlador de dominio de Active Directory.
| Elemento | Servidor web | Servidor deconsultas | Servidor deíndices | Excel Calculation Services | Servidor de base de datos |
|---|---|---|---|---|---|
TCP/UDP 445 (Servicios de directorio) |
X |
X |
X |
X |
X |
TCP/UDP 88 (Autenticación de Kerberos) |
X |
X |
X |
X |
X |
Puertos LDAP (Protocolo ligero de acceso a directorios)/LDAPS 389/636 de forma predeterminada, personalizables |
X |
X |
X |
Las funciones de servidor requieren puertos LDAP/LDAPS en los casos siguientes:
Servidores web. Usan puertos LDAP/LDAPS si se ha configurado la autenticación LDAP.
Servidor de índices. La función requiere puertos LDAP/LDAPS para importar perfiles desde los controladores de dominio configurados como orígenes de importación de perfiles, con independencia de dónde se encuentren.
Excel Calculation Services. Usa puertos LDAP/LDAPS sólo si las conexiones de origen de datos se han configurado para autenticarse mediante LDAP.
Servidor DNS
En la siguiente tabla se muestran los requisitos de puertos para las conexiones entrantes de cada función de servidor a un servidor de DNS (Sistema de nombres de dominio). En muchos entornos de la extranet, un equipo servidor hospeda el controlador de dominio de Active Directory y el servidor DNS.
| Elemento | Servidor web | Servidor de consultas | Servidor de índices | Excel Calculation Services | Servidor de base de datos |
|---|---|---|---|---|---|
DNS, TCP/UDP 53 |
X |
X |
X |
X |
X |
Servicio SMTP
La integración de correo electrónico requiere el uso del servicio SMTP (Protocolo simple de transferencia de correo) con el puerto TCP 25 en al menos uno de los servidores cliente web de la granja de servidores. El servicio SMTP es necesario para el correo electrónico entrante (conexiones de entrada). Para el correo electrónico saliente, puede usar el servicio SMTP o enrutar el correo electrónico saliente a través de un servidor de correo electrónico dedicado de su organización, como un equipo que ejecute Microsoft Exchange Server.
| Elemento | Servidor web | Servidor de consultas | Servidor de índices | Excel Calculation Services | Servidor de base de datos |
|---|---|---|---|---|---|
Puerto TCP 25 |
X |
Requisitos para admitir conversiones de documentos
Si se van a usar convertidores de documentos en el servidor, los siguientes servicios deben instalarse e iniciarse en un servidor de aplicaciones:
Servicio del iniciador de conversiones de documentos
Servicio del equilibrador de carga de conversiones de documentos
Normalmente, estos servicios se instalan en el mismo servidor de aplicaciones o en servidores de aplicaciones independientes, en función de la topología que más se ajuste a cada necesidad. También se pueden instalar en uno o varios servidores web si es necesario. Si se instalan en servidores independientes, debe permitirse su comunicación mutua.
En la tabla siguiente se enumeran los requisitos de puertos y protocolos de estos servicios. Estos requisitos no se aplican a las funciones de servidor de la granja de servidores que no los tengan instalados.
| Servicio | Requisito |
|---|---|
Servicio del iniciador de conversiones de documentos |
Puerto TCP 8082, personalizable para TCP o SSL |
Servicio del equilibrador de carga de conversiones de documentos |
Puerto TCP 8093, personalizable para TCP o SSL |
Para obtener información acerca de cómo se configuran estos servicios en una granja de servidores, vea Diseño de la topología de conversiones de documentos.
Comunicación entre dominios de red
Comunicación de Active Directory
La comunicación Active Directory entre dominios para admitir la autenticación con un controlador de dominio dentro de la red corporativa requiere al menos una relación de confianza unidireccional en que la red perimetral confíe en la red corporativa.
En el ejemplo mostrado en la primera ilustración de este artículo, se requieren los siguientes puertos como conexiones de entrada al Servidor ISA B para admitir una relación de confianza unidireccional:
TCP/UDP 135 (RPC)
TCP/UDP 389 de forma predeterminada, personalizable (LDAP)
TCP 636 de forma predeterminada, personalizable (SSL LDAP)
TCP 3268 (GC LDAP)
TCP 3269 (SSL GC LDAP)
TCP/UDP 53 (DNS)
TCP/UDP 88 (Kerberos)
TCP/UDP 445 (Servicios de directorio)
TCP/UDP 749 (Kerberos-Adm)
Puerto TCP 750 (Kerberos-IV)
Cuando se configura el Servidor ISA B (o un dispositivo alternativo entre la red perimetral y la red corporativa), la relación de red debe definirse como enrutada. No defina la relación de red como NAT (traducción de direcciones de red).
Para obtener más información acerca de los requisitos de seguridad reforzada relativos a las relaciones de confianza, vea los siguientes recursos:
Cómo configurar un firewall para dominios y relaciones de confianza (https://go.microsoft.com/fwlink/?linkid=83470&clcid=0xC0A)
Active Directory en redes segmentadas por firewalls (en inglés) (https://go.microsoft.com/fwlink/?linkid=76147&clcid=0xC0A) (en inglés)
Refuerzo de la seguridad para la publicación de contenido
La publicación de contenido requiere la comunicación unidireccional entre el sitio de Administración central de la granja de servidores de origen y el sitio de Administración central de la granja de servidores de destino. Los requisitos para reforzar la seguridad son:
El número de puerto que se usa para el sitio de Administración central en la granja de servidores de destino.
TCP 80 o 443 de salida de la granja de servidores de origen (para el Protocolo simple de acceso a objetos (SOAP) y HTTP Post).
Cuando se configura la implementación de contenido en la granja de servidores de origen, se especifica la cuenta que se usará para la autenticación con la granja de servidores de destino. No se requiere una relación de confianza entre dominios para publicar contenido de un dominio en otro. Sin embargo, existen las dos opciones de cuenta siguientes para implementar contenido, una de las cuales requiere una relación de confianza de dominio:
Si la cuenta del grupo de aplicaciones de la granja de servidores de origen tiene permisos para la Administración central de la granja de servidores de destino, seleccione la opción Usar la cuenta del grupo de aplicaciones. Esta opción requiere una relación de confianza unidireccional en la que el dominio de la granja de servidores de destino confía en el dominio de la granja de servidores de origen.
Puede especificar una cuenta manualmente en lugar de usar la cuenta del grupo de aplicaciones de origen. En este caso, no es necesario que la cuenta exista en el dominio de red de la granja de servidores de origen. Normalmente, la cuenta es única para la granja de servidores de destino. La cuenta se puede autenticar mediante la autenticación integrada de Windows o la autenticación básica.
Conexiones a servidores externos
Se pueden configurar varias características de Office SharePoint Server 2007 para tener acceso a datos que residen en equipos servidor fuera de la granja de servidores. Si configura el acceso a datos en equipos servidor externos, asegúrese de habilitar la comunicación entre los equipos adecuados. En la mayoría de los casos, los puertos, protocolos y servicios que se usan dependen del recurso externo. Por ejemplo:
Las conexiones a recursos compartidos de archivos usan el servicio Compartir archivos e impresoras.
Las conexiones a bases de datos de SQL Server externas usan los puertos predeterminados o personalizados para la comunicación con SQL Server.
Las conexiones a Oracle suelen usar bases de datos OLE.
Las conexiones a servicios web usan tanto HTTP como HTTPS.
En la siguiente tabla se muestran las características que se pueden configurar para tener acceso a datos que residen en equipos servidor fuera de la granja de servidores.
| Característica | Descripción |
|---|---|
Rastreo de contenido |
Se pueden configurar reglas de rastreo para rastrear datos que residan en recursos externos, incluidos sitios web, recursos compartidos de archivos, carpetas públicas de Exchange y aplicaciones de datos profesionales. Cuando rastrea fuentes de datos externas, la función de índice se comunica directamente con dichos recursos externos. Para obtener más información, vea Planeación del rastreo de contenido (Office SharePoint Server). |
Conexiones al Catálogo de datos profesionales |
Los servidores web y los servidores de aplicaciones se comunican directamente con los equipos que están configurados para conexiones con el Catálogo de datos profesionales. Para obtener más información, vea Planeación de conexiones de datos profesionales con el Catálogo de datos profesionales. |
Recepción de libros de Microsoft Office Excel |
Si los libros abiertos en Excel Services se conectan a algún origen de datos externos (por ejemplo, Analysis Services y SQL Server), los puertos TCP/IP adecuados deben estar abiertos para conectarse a dichos orígenes. Para obtener más información, vea Planeación de conexiones de datos externos para Excel Services. Si las rutas UNC (convención de nomenclatura universal) están configuradas como ubicaciones de confianza en Excel Services, la función de aplicación Excel Calculation Services emplea los protocolos y los puertos usados por el servicio Compartir archivos e impresoras para recibir libros de Office Excel a través de una ruta UNC. Esta comunicación no afecta a los libros almacenados en bases de datos de contenido o que los usuarios cargan o descargan de sitios. |
Descarga de este libro
En este tema se incluye el siguiente libro descargable para facilitar la lectura y la impresión:
Planeación y arquitectura para Office SharePoint Server 2007 (segunda parte)
Planeación de un entorno de extranet para Office SharePoint Server (en inglés)
Vea la lista completa de libros disponibles en la sección de libros descargables para Office SharePoint Server 2007.