Planeación del endurecimiento de la seguridad para entornos de extranet (Windows SharePoint Services)

Artículo
05/17/2012

En este artículo:

Topología de red
Relaciones de confianza del dominio
Comunicación con funciones de granja de servidores
Comunicación con funciones de servidor de infraestructura
Comunicación de Active Directory entre dominios de red

En este artículo, se detallan los requisitos de endurecimiento para un entorno de extranet en el que una granja de servidores de Windows SharePoint Services 3.0 se coloca dentro una red perimetral y se puede tener acceso a sitios desde Internet o desde la red corporativa.

Topología de red

Las directrices de endurecimiento de este artículo se pueden aplicar a muchas configuraciones de extranet diferentes. La siguiente ilustración muestra una implementación de ejemplo de una topología de red perimetral opuesta que ilustra las funciones de servidor y cliente en un entorno de extranet.

Ejemplo del sistema de protección de la seguridad de un entorno de extranet

El propósito de la ilustración es el de articular cada una de las posibles funciones y su relación con el entorno global. El sitio de Administración central puede instalarse en un servidor web o en un servidor de búsqueda (véase la imagen). Los enrutadores que se muestran pueden intercambiarse para los firewalls.

Relaciones de confianza del dominio

El requisito de una relación de confianza en el dominio depende de la configuración de la granja de servidores. Esta sección considera dos configuraciones posibles.

La granja de servidores reside en la red perimetral

La red perimetral requiere su propia infraestructura de servicio de directorios Active Directory y su propio dominio. Por lo general, los dominios perimetral y corporativo no se configuran para confiar el uno en el otro. Sin embargo, para autenticar usuarios de la intranet y empleados remotos que usan sus credenciales de dominio (autenticación de Windows), debe configurar una relación de confianza unidireccional en la que el dominio perimetral confíe en el dominio corporativo. La autenticación de formularios y SSO web no requieren una relación de confianza en el dominio.

La granja de servidores se divide entre la red perimetral y la red corporativa

Si la granja de servidores se divide entre la red perimetral y la red corporativa y los servidores de base de datos residen dentro de la red corporativa, es necesaria una relación de confianza en el dominio si se usan cuentas de Windows. En este escenario, la red perimetral debe confiar en la red corporativa. Si se usa la autenticación de SQL, no se requiere una relación de confianza en el dominio. En la siguiente tabla se resumen las diferencias entre estas dos opciones.

	Autenticación de Windows	Autenticación de SQL
Descripción	Las cuentas del dominio corporativo se usan para todas las cuentas de servicio y administración de Windows SharePoint Services 3.0, incluidas las cuentas de grupos de aplicaciones. Se requiere una relación de confianza unidireccional, en la que la red perimetral confía en la red corporativa.	Las cuentas de Windows SharePoint Services 3.0 se configuran de las siguientes formas: La autenticación de SQL se usa en todas las bases de datos que se creen. Todas las demás cuentas de servicios y administración se crean como cuentas del dominio en la red perimetral. Los servidores web y los servidores de búsqueda se unen a la red perimetral. No se requiere una relación de confianza, pero se puede configurar una para admitir la autenticación de clientes frente a un controlador de dominio interno. Nota Si los servidores de búsqueda residen en el dominio corporativo, es necesaria una relación de confianza unidireccional, en la que la red perimetral confía en la red corporativa.
Configurar	La configuración incluye lo siguiente: Las cuentas de servicio y administración de Windows SharePoint Services 3.0 se crean en el dominio corporativo. Los servidores web y de aplicaciones se unen a la red perimetral. Se establece una relación de confianza en la que el dominio perimetral confían en el dominio corporativo.	La configuración incluye lo siguiente: Todas las cuentas de base de datos deben crearse como cuentas de inicio de sesión de SQL en el Administrador corporativo de SQL Server 2000 o SQL Server 2005 Management Studio. Estas cuentas se deben crear antes de la creación de cualquier base de datos Windows SharePoint Services 3.0, incluidas la base de datos de configuración y la base de datos SharePoint_AdminContent. Debe usar la herramienta de línea de comandos Psconfig para crear la base de datos de configuración y la base de datos AdminContent. No puede usar el Asistente para configuración de Productos y Tecnologías de SharePoint para crear estas bases de datos. Además de usar los parámetros -user y -Password para especificar la cuenta de la granja de servidores, debe usar los parámetros -dbuser y -dbpassword para especificar las cuentas de autenticación de SQL. Puede crear bases de datos de contenido adicionales en la Administración central si selecciona la opción Autenticación de SQL. Sin embargo, primero debe crear las cuentas de inicio de sesión SQL en el Administrador corporativo de SQL Server 2000 o en SQL Server 2005 Management Studio. Proteja todas las comunicaciones con los servidores de base de datos mediante SSL. Asegúrese de que los puertos usados para comunicarse con SQL Server permanezcan abiertos entre la red perimetral y la red corporativa.
Información adicional	La relación de confianza unidireccional permite que los servidores web y los servidores de aplicaciones unidos al dominio de la extranet resuelvan las cuentas que se encuentran en el dominio corporativo.	Las cuentas de inicio de sesión SQL se cifran en el registro de los servidores web y los servidores de aplicaciones. La cuenta de la granja de servidores no se usa para tener acceso a la base de datos de configuración y a la base de datos SharePoint_AdminContent. En su lugar, se usan las cuentas de inicio de sesión SQL correspondientes.

Descripción

Las cuentas del dominio corporativo se usan para todas las cuentas de servicio y administración de Windows SharePoint Services 3.0, incluidas las cuentas de grupos de aplicaciones.

Se requiere una relación de confianza unidireccional, en la que la red perimetral confía en la red corporativa.

Las cuentas de Windows SharePoint Services 3.0 se configuran de las siguientes formas:

La autenticación de SQL se usa en todas las bases de datos que se creen.
Todas las demás cuentas de servicios y administración se crean como cuentas del dominio en la red perimetral.
Los servidores web y los servidores de búsqueda se unen a la red perimetral.

No se requiere una relación de confianza, pero se puede configurar una para admitir la autenticación de clientes frente a un controlador de dominio interno.

Nota

Si los servidores de búsqueda residen en el dominio corporativo, es necesaria una relación de confianza unidireccional, en la que la red perimetral confía en la red corporativa.

Configurar

La configuración incluye lo siguiente:

Las cuentas de servicio y administración de Windows SharePoint Services 3.0 se crean en el dominio corporativo.
Los servidores web y de aplicaciones se unen a la red perimetral.
Se establece una relación de confianza en la que el dominio perimetral confían en el dominio corporativo.

La configuración incluye lo siguiente:

Todas las cuentas de base de datos deben crearse como cuentas de inicio de sesión de SQL en el Administrador corporativo de SQL Server 2000 o SQL Server 2005 Management Studio. Estas cuentas se deben crear *antes* de la creación de cualquier base de datos Windows SharePoint Services 3.0, incluidas la base de datos de configuración y la base de datos SharePoint_AdminContent.
Debe usar la herramienta de línea de comandos Psconfig para crear la base de datos de configuración y la base de datos AdminContent. No puede usar el Asistente para configuración de Productos y Tecnologías de SharePoint para crear estas bases de datos. Además de usar los parámetros -user y -Password para especificar la cuenta de la granja de servidores, debe usar los parámetros -dbuser y -dbpassword para especificar las cuentas de autenticación de SQL.
Puede crear bases de datos de contenido adicionales en la Administración central si selecciona la opción Autenticación de SQL. Sin embargo, primero debe crear las cuentas de inicio de sesión SQL en el Administrador corporativo de SQL Server 2000 o en SQL Server 2005 Management Studio.
Proteja todas las comunicaciones con los servidores de base de datos mediante SSL.
Asegúrese de que los puertos usados para comunicarse con SQL Server permanezcan abiertos entre la red perimetral y la red corporativa.

Información adicional

La relación de confianza unidireccional permite que los servidores web y los servidores de aplicaciones unidos al dominio de la extranet resuelvan las cuentas que se encuentran en el dominio corporativo.

Las cuentas de inicio de sesión SQL se cifran en el registro de los servidores web y los servidores de aplicaciones.
La cuenta de la granja de servidores no se usa para tener acceso a la base de datos de configuración y a la base de datos SharePoint_AdminContent. En su lugar, se usan las cuentas de inicio de sesión SQL correspondientes.

La información de la tabla anterior supone lo siguiente:

Tanto los servidores web como los servidores de aplicaciones residen en la red perimetral.
Todas las cuentas se crean con los privilegios mínimos, e incluyen las siguientes recomendaciones:
- Se crean cuentas separadas para todas las cuentas de servicio y de administración.
- Ninguna cuenta pertenece al grupo Administradores en ningún equipo, incluido el equipo servidor donde reside SQL Server.

Para obtener más información sobre las cuentas de Windows SharePoint Services 3.0, vea Planeación de cuentas de servicio y administrativas (Windows SharePoint Services).

Para obtener más información sobre la creación de bases de datos mediante la herramienta de línea de comandos Psconfig, vea Referencia de línea de comandos del Asistente para configuración de Productos y Tecnologías de SharePoint (Windows SharePoint Services).

Comunicación con funciones de granja de servidores

Cuando se configura un entorno de la extranet, es importante comprender cómo las distintas funciones de servidor se comunican dentro de la granja de servidores.

Comunicación entre funciones de servidor

La siguiente ilustración muestra los canales de comunicación en una granja de servidores. La tabla que sigue a la ilustración describe los puertos y protocolos que están representados en la ilustración. Las flechas indican qué función de servidor inicia la comunicación. Por ejemplo, el servidor web inicia la comunicación con el servidor de base de datos. El servidor de base de datos no inicia la comunicación con el servidor web. Esto es importante para saber cuándo configurar la comunicación entrante y saliente en un enrutador o firewall.

Comunicación entre granjas de servidores de Windows SharePoint Services

Leyenda	Puertos y protocolos
1	Acceso de cliente (incluidos Information Rights Management [IRM] y consultas de búsqueda), uno o más de los siguientes: Puerto TCP 80 TCP/SSL puerto 443 Puertos personalizados
2	Servicio de uso compartido de archivos e impresora uno de los siguientes: Bloque de mensajes del servidor (SMB) hospedado directamente (TCP/UDP 445) — Recomendado NetBIOS sobre TCP/IP (Puertos 137, 138, 139 de TCP/UDP) — Inhabilitar si no se usa
3	Rastreo de búsqueda — En función del modo en que se haya configurado la autenticación, pueden ampliarse los sitios de SharePoint con una zona adicional o el sitio de Internet Information Services (IIS) para garantizar que el componente de índice puede tener acceso al contenido. Esta configuración puede dar como resultado puertos personalizados. Puerto TCP 80 Puerto TCP/Capa de sockets seguros (SSL) 443 Puertos personalizados
4	Comunicación con la base de datos: Puerto TCP/SSL 1433 (predeterminado) para instancia predeterminada (personalizable) Puerto TCP/SSL aleatorio para instancias con nombre (personalizable)

Comunicación entre estaciones de trabajo de administrador y Administración central

El sitio de administración central puede instalarse en cualquier servidor web o el servidor de búsqueda. Los cambios de configuración que se realizan a través del sitio de Administración central se comunican a la base de datos de configuración. Otras funciones de servidor de la granja aplican los cambios de configuración que están registrados en la base de datos de configuración durante sus ciclos de sondeo. Por consiguiente, el sitio de administración central no introducirá ningún requisito de comunicación nuevo en otras funciones de servidor en la granja de servidores. Sin embargo, en función del servidor en el que implemente el sitio de administración central, asegúrese de habilitar el acceso desde estaciones de trabajo de administrador.

En la siguiente ilustración se incluye la comunicación desde una estación de trabajo de administrador con el sitio de administración central y la base de datos de configuración.

Ejemplo de comunicación entre granjas de servidores de WSS

En la tabla siguiente, se describen los puertos y protocolos que son necesarios para la comunicación a y desde el sitio de administración central.

Leyenda	Puertos y protocolos
1	Sitio de Administración central — Uno o más de los elementos siguientes: Puerto TCP 80 TCP/SSL puerto 443 Puertos personalizados
4	Comunicación con la base de datos: Puerto TCP/SSL 1433 (predeterminado) para instancia predeterminada (personalizable) Puerto TCP/SSL aleatorio para instancias con nombre (personalizable)

Sitio de Administración central — Uno o más de los elementos siguientes:

Puerto TCP 80
TCP/SSL puerto 443
Puertos personalizados

Comunicación con la base de datos:

Puerto TCP/SSL 1433 (predeterminado) para instancia predeterminada (personalizable)
Puerto TCP/SSL aleatorio para instancias con nombre (personalizable)

Comunicación con funciones de servidor de infraestructura

Cuando se configura un entorno de la extranet, es importante comprender cómo las distintas funciones de servidor se comunican dentro de los equipos servidor de infraestructura.

Controlador de dominio Active Directory

En la siguiente tabla se muestran los requisitos de puertos para conexiones entrantes de cada función de servidor a un controlador de dominio Active Directory.

Elemento	Servidor web	BuscarServidor	Servidor de base de datos
TCP/UDP 445 (servicios de directorio)	X	X	X
TCP/UDP 88 (Autenticación de Kerberos)	X	X	X
Puertos LDAP (Protocolo ligero de acceso a directorios)/LDAPS 389/636 de forma predeterminada, personalizables	X

Los servidores web requieren el uso de puertos LDAP/LDAPS sólo si la autenticación LDAP está configurada.

Servidor DNS

En la siguiente tabla se muestran los requisitos de puertos para las conexiones entrantes de cada función de servidor a un servidor de DNS (Sistema de nombres de dominio). En muchos entornos de la extranet, un equipo servidor hospeda al controlador de dominio Active Directory y al servidor DNS.

Elemento	Servidor web	Servidor de búsqueda	Servidor de base de datos
DNS, TCP/UDP 53	X	X	X

Servicio SMTP

La integración de correo electrónico requiere el uso del servicio SMTP (Protocolo simple de transferencia de correo) con el puerto TCP 25 en al menos uno de los servidores cliente web de la granja de servidores. El servicio SMTP es necesario para el correo electrónico entrante (conexiones de entrada). Para el correo electrónico saliente, puede usar el servicio SMTP o enrutar el correo electrónico saliente a través de un servidor de correo electrónico dedicado en su organización, como un equipo que ejecute Microsoft Exchange Server.

Elemento	Servidor web	Servidor de búsqueda	Servidor de base de datos
Puerto TCP 25	X

Comunicación de Active Directory entre dominios de red

La comunicación Active Directory entre dominios para admitir la autenticación con un controlador de dominio dentro de la red corporativa requiere al menos una relación de confianza unidireccional en que la red perimetral confíe en la red corporativa.

En el ejemplo mostrado en la primera ilustración de este artículo, se requieren los siguientes puertos como conexiones de entrada al Servidor ISA B para admitir una relación de confianza unidireccional:

TCP/UDP 135 (RPC)
TCP/UDP 389 de forma predeterminada, personalizable (LDAP)
TCP 636 de forma predeterminada, personalizable (SSL LDAP)
TCP 3268 (GC LDAP)
TCP 3269 (SSL GC LDAP)
TCP/UDP 53 (DNS)
TCP/UDP 88 (Kerberos)
TCP/UDP 445 (Servicios de directorio)
TCP/UDP 749 (Kerberos-Adm)
Puerto TCP 750 (Kerberos-IV)

Cuando se configura el Servidor ISA B (o un dispositivo alternativo entre la red perimetral y la red corporativa), la relación de red debe definirse como enrutada. No defina la relación de red como NAT (Traducción de direcciones de red).

Para obtener más información sobre requisitos de endurecimiento de la seguridad relativos a las relaciones de confianza, vea los siguientes recursos:

Descarga de este libro

Este tema se incluye en el siguiente libro descargable para facilitar la lectura y la impresión:

Vea la lista completa de libros disponibles en la página de libros descargables para Windows SharePoint Services.

Compartir a través de