Tras el paso de la Gira Up To Secure 2010 por las primeras séis ciudades, gracias al bien hacer de la empresa de eventos encargada de gestionar toda la gira, Eventos Creativos, ya disponemos de los resultados con los que los asistentes a los eventos han valorado la sesión dedicada a MS Forefront Client Security.

Es un placer ver como la sesión está teniendo tan buena acogida entre el publico que asiste, lo que se debe, en parte a las bondades del producto, en parte a la construcción que los ponentes han realizado de la misma. Hay que recordar que en Pamplona se ecargó Iñigo de Ega Informática, mientras que en Barcelona, A Coruña y Andorra fue Chema Alonso, en Sevilla Juan Garrido y en Madrid Juan Luís G. Rambla, todos de Informática 64.

La siguiente tabla recoge las valoraciones de la sesión en cada una de las ciudades y la media con la que ha sido valorada sobre un valor máximo de 10. Como se puede apreciar, la media es de 8,23, mientras que los valores rondan entre el 7,43 y el 8,97. Es decir, en todas las ciudades se ha valorado como una charla Notable.


Gráfico de valoraciones por ciudades y valor medio

La Gira Up To Secure va a sufrir un pequeño parón, pero podrás disfrutrar de estas charlas en los siguientes cursos, eventos y conferencias:

- Madrid: del 8 al 12 de Febrero en los Hands On Lab de Forefront
- Barcelona: 23 de Febrero en el Technet Security Day
- Zaragoza: 24 de Febrero en la Gira Up To Secure 2010
- Madrid: 25 de Febrero en el Technet Security Day
- Valencia: 2 de Marzo en la Gira Up to Secure 2010
- Murcia: 3 de Marzo en la Gira Up to Secure 2010
- Tenerife: 16 de Marzo en la Gira Up to Secure 2010
- Barcelona: del 19 al 23 de Abril en los Hands On Lab de Forefront
 

============================================================================
- MS Forefront Client Security Best Practices Analyzer (I de IV)
- MS Forefront Client Security Best Practices Analyzer (II de IV)
- MS Forefront Client Security Best Practices Analyzer (III de IV)
- MS Forefront Client Security Best Practices Analyzer (IV de IV)
============================================================================

Las herramientas etiquetadas bajo la familia de "Best Practices Analyzer" están diseñadas por los equipos encargados de los diferentes productos de Microsoft para analizar que una implantación ha sido realiza siguiente las recomendaciones para el mejor funcionamiento de la solución. A veces el no cumplir los requisitos de las buenas prácticas es una necesidad de la compañía por un condicionante de la implantación a la hora de interoperar con otras soluciones, pero en muchas ocasiones suele ser simplemente un descuido o desconocimiento por parte de las personas encargadas de la instalación. Estas herramientas ayudan a detectar esas situaciones.

Comprobaciones de buenas prácticas

El equipo de producto de MS Forefront Client Security liberó MS Forefront Best Practices Analyzer, un asistente que comprueba los siguientes aspectos de una determinada instalación:

- Topología de implantación: El asistente evaluará si se ha optado por una de las topologías recomendadas para le correcto funcionamiento de MS Forefront Client Security. Estas topologías pueden ir de 1 a 6 servidores con repartición de roles. La herramienta comprueba cual es esa distribución y si es la correcta.

- Cuenta DAS para MOM: Se comprueba si la cuenta utiliza para el servidor de recolección de eventos tiene los permisos de adminsitrador local necesarios en el servidor de recolección.

- Autentenciación mútua entre MOM y agentes: Para el correcto funcionamiento debe estar activada la autenticación mútua entre el servidor MOM y los agentes. Se comprueba la clave de registro: HKLM\Software\Mission Critical Software\OnePoint\Configurations\\Operations\Consolidator\AuthenticatedCommunicationsOnly donde Group Name es el nombre que se le dio al grupo MOM durante la instalación.

- Análisis de SQL Server: El asistente comprobará la versión del motor y el dimensionamiento de las bases de datos utilizadas.

- Cuenta en el servidor de informes: La última comprobación irá dedicada a verificar si los permisos de la cuenta utilizada en SQL Server para generar y acceder a los informes tiene los permisos adecuados.

- Configuración de WSUS: Desde la versión 1.0.17 en adelante, MS Forefront Client Security Best Practices Analyzer añade comprobaciones en el servicio WSUS. Estas comprobaciones son sobre la versión de WSUS (1, 2 o 3), el estado de sincronización, la configuración de la aprobación de las actualizaciones, el último estado de actualización, el número de equipos reportando, etc... Es decir, si la configuración de WSUS es la correcta para el buen funcionamiento de la solución.

Descarga e Instalación de MS Forefront Client Security Best Practices Analyzer

La descarga del producto es muy ligera, a penas ocupa 512 Kas, y se puede realizar desde la siguiente URL: Download MS Forferont Client Security Best Practices Analyzer.

Una vez descargado se ejecuta en los servidores de los roles de MS Forefront Client Security para analyzar la arquitectura. El Asistente de instalación no tiene ningún paso especial, más que comprobar que va a ser ejecutado en un servidor de MS Forefront Client Security.


Figura 1: Asistente de instalaciónd e MS Forefront Client Security Best Practices Analyzer

Una vez instalado hay que ir a la ruta de instlación a ejecutarlo. El programa no genera ningún grupo de programas en el menú de inicio ni ningún acceso directo, así que es importante conocer dónde queda instalado. La ruta es la que se ve en la Figura 2:


Figura 2: Ruta de Instalación de MS Forefront Client Security BPA

Allí, únicamente habrá que ejecutar el archivo fcsbpa.exe para que se arranque el asistente de MS Forefront Client Security Best Practices Analyzer.

============================================================================
- MS Forefront Client Security Best Practices Analyzer (I de IV)
- MS Forefront Client Security Best Practices Analyzer (II de IV)
- MS Forefront Client Security Best Practices Analyzer (III de IV)
- MS Forefront Client Security Best Practices Analyzer (IV de IV)
============================================================================

Es normal que, cuando los usuarios de una organización empiezan a sentirse cómodos con el uso cotidiano de Sharepoint, se produzcan algunos usos indevidos de los repositorios documentales. Se pueden producir situaciones no deseadas en las que el servidor almacene ficheros que la compañía no desea que estén en sus servidores. En este ejemplo se verá como configurar MS Forefront for Sharepoint para bloquear las extensiones de fichero no deseadas en los repositorios documentales de nuestros sitios de SharePoint. Para ello, primeramente se va a cargar en la biblioteca de documentos Documents, repositorio situado en el Centro de Documentos, el archivo Iron Maiden.mp3, teniendo claro que por defecto Sharepoint no bloquea dicho tipo de extensión de archivo.


Figura 1: Archivo subido con éxito

El archivo es cargado sin ningún problema al sitio ya que MS Forefront Security for Sharepoint no esta configurado para bloquear por defecto mp3. A continuación, se acceder a la consola del Administrador de MS Forefront Server Security, para localizar en el panel de navegación la opción Archivo, que se encuentra situada en la sección de menú Filtrado [Filtering].

Se va a utilizar la sección de filtrado para escanear el entorno en busca del nombre de un archivo, extensiones o tipos de archivos específicos. Para ello, en la parte superior del entorno, asegúrese de estar situado sobre la opción Sharepoint [trabajo de detección en tiempo real], para a continuación proceder a hacer clic en el botón Agregar situado en el apartado Nombres de Archivos. En el nuevo campo de texto agregado, vamos a introducir el carácter *. Seguidamente, se procede a deseleccionar la casilla de verificación Todos los tipos, con el propósito de que se limpien todas las casillas de verificación que marcan determinados tipos de archivos a filtrar, para a continuación proceder a seleccionar únicamente la extensión de tipo de archivo Mp3.


Figura 2: Configuración de bloqueo en tiempo real de extensiones mp3

Antes de pulsar el botón Guardar, asegúrese de que el menú de lista desplegable Acción, se encuentra seleccionada la opción Bloqueo:Impedir transferencia, aunque también tenemos disponible la opción de Omitir: Sólo detectar, que procedería a realizar un registro en los logs de aplicación.

Esta configuración bloqueará cualquier archivo de extensión *.mp3 que intente cargarse o descargarse de nuestro entorno Sharepoint. Si, una vez configurado a nivel de archivo el trabajo de detección en tiempo real, procedemos a cargar el archivo Metallica.mp3 en la biblioteca de documentos Documents, se procederá a visualizar la página de Virus Encontrado.


Figura 3: Archivo mp3 bloqueado

Tanto las soluciones MS Forefront Threat Management Gateway como las soluciones MS Forefront Unified Application Gateway / Intelligent Application Gateway pueden ser adquiridas en appliances. El uso de appliances ayuda a mejorar el control que un administrador tiene de su CPD además de tener la garantía de que el hardware sobre el que está corriendo una solución ha sido diseñado para ella, probado y testeada su capacidad de carga.

En el caso de MS Forefront IAG/UAG, la multinacional nAppliance ofrece unas soluciones escaladas para dar soporte en appliance a las tecnologías Forefront. La gama de productos dedicados a MS Forefront IAG/UAG se conoce como Net-Gateway mIAG y todos los productos han sido diseñados y adaptados para la protección y presentación de portales a través de conexiones SSL.

Los usuarios podrán acceder a dichos portales, aplicaciones y servicios presentados, a través de un navegador web. Dispone para ello la integración en los dispositivos de los productos: MS Internet Security and Accelerator Server 2006 y MS Intelligent Application Gateway 2007, montados sobre un sistema embebido y bastionado de MS Windows Server 2003. Todos ellos, además, previendo la llegada de las nuevas versiones de los productos de la familia Forefront, se venden con opciones de upgrade.

Características de la serie Net-Gateway mIAG

A continuación se detallan las principales características de estas soluciones de nAppliance.

Seguridad

o Proporciona conectividad de VPN a través de conexiones SSL e IPsec.
o Firewall: Inspección de paquetes, con control de redes y bloqueo de tráfico no deseado.
o Optimización de aplicaciones para Exchange, SharePoint, SAP, IBM Dominio y Lotus Notes.
o Opciones de extensión de la conectividad a través del conector de red.
o Permite una comunicación segura y transparente a los usuarios remotos.
o Control de acceso a la red y seguridad en el extremo a través de Cache Wiping.
o Sistema de Single Sign-On, a traves de múltiples sistemas de autenticación: Directorio Activo, Radius, LDAP, SecurID o NTLM.

Administración

o Sistema de gestión avanzada de informes y registro de sesiones.
o Monitorización a través de la consola de Operations Manager.
o Administración local o remota. Administración personalizada del dispositivo con asistentes y herramientas para todas las funcionalidades aportadas.
o Servicio UP2Date. Permite la actualización segura de actualizaciones de software a través de Internet.
o Sistema de recuperación FFRS.

Módulos adicionales de terceros

o Sistema de autenticación multifactor para RSA Swivel.
o Servicio de clustering y balanceo de carga de hasta 64 nodos.

Modelos

Puedes acceder a la web dedicada la gama de productos Net-Gateway mIAG de nAppliance y acceder a las características concretas y la hoja de detalles de cada modelo, pero en la siguiente tabla tienes desplegadas las capacidades de cada uno de ellos.


Figura 1: Tabla de capacidades según modelo

Como Comprar en España

Si deseas comprar este producto en España, tenemos la suerte de que la empresa TechData está encargándose de la distribución nacional. Esto ayuda a poder tener una mayor cercanía con el fabricante.

Los responsables comerciales que llevan estos productos en España son F. Maturana [fmaturana@techdata.es] y Jacobo Sánchez [jsanchez@techdata.es] por lo que si tienes un proyecto que necesita de MS Forefront IAG/UAG, quieres comprar una unidad o acceder a algún piloto, no dudes en ponerles un correo.
 

============================================================================
- MS Forefront Unified Access Gateway UAG: Proceso de Instalación (I de III)
- MS Forefront Unified Access Gateway UAG: Proceso de Instalación (II de III)
- MS Forefront Unified Access Gateway UAG: Proceso de Instalación (III de III)
============================================================================

Usar Microsoft Update para MS Forefront UAG

Tras haber configurado las redes, el último paso del proceso de instalación consistirá en permitir el uso de Microsoft Update para gestionar las actualizaciones de seguridad del sistemade MS Forefront UAG. Haciendo esta configuración se permite crear las reglas necesarias a nivel de MS Forefront TMG, para que el servidor pueda conectarse y recibir las actualizaciones correspondientes desde Internet.


Figura 8: Definición del uso del servicio de Microsoft Update

No es extrictamente necesario realizar esta acción, pero si es recomendable. Sin embargo, si la compañía tiene una política de actualización de servidores propia, es decir, con WSUS o la actualización se realiza manualmente, entonces no se deberá activar esta regla.

El último paso del proceso de instalacion consiste en configurar la clave de acceso al servicio y la activación del mismo. Esta clave, que deberá ser de más de 8 caracteres, se utilizará para acceder a MS Forefront UAG como administrador y poder realizar acciones como la configuración, el backup o la restauración de la configuración. Además, como se puede ver en la Figura 9, se debe configurar la ruta de almacenamiento del backup de la configuración.


Figura 9: Activación de la configuración

Este asistente de configuración, es decir, la configuración de redes, Microsoft Update y claves de adminsitración, se podrá invocar en cualquier momento desde la consola de administración. Finalizado el último paso se procede a activar la configuración.

El proceso de activación llevará un tiempo en completarse. Finalizada la activación se tendrá completo acceso al sistema para su configuración a través de la consola de administración.


Figura 10: Consola de administración de MS Forefront UAG

Como se ha dicho, ninguna configuración previa realizada en el proceso de instalación es permanente y siempre se podrá volver a configurar desde cero el sistema completo.
============================================================================
- MS Forefront Unified Access Gateway UAG: Proceso de Instalación (I de III)
- MS Forefront Unified Access Gateway UAG: Proceso de Instalación (II de III)
- MS Forefront Unified Access Gateway UAG: Proceso de Instalación (III de III)
============================================================================