Microsoft Forefront Unified Access Gateway UAG 2010 constituye uno de esos curiosos ejemplos donde se brinda funcionalidad multiplataforma. Aunque el producto se implementa sobre solución servidor Microsoft, tal y como se vió en los post de Instalación de Forefront UAG, proporciona mecanismos de autenticación para un buen número de sistemas no Microsoft. Desde el punto de vista del acceso, también clientes de otras plataformas como Linux o MacOS, se ven favorecidos por las características que aporta Microsoft Forefront Unified Access Gateway UAG 2010. Permite para ello configurar opciones de seguridad Endpoint también para este tipo de plataformas, pudiendo configurar un buen número de patrones de análisis.

Para conseguir esta funcionalidad en las plataformas Linux y MacOS son necesarios los siguientes elementos:

- Linux: Componente de cliente Java de Microsoft Forefront Unified Access Gateway en navegadores Firefox 3.0.x o Firefox 3.5.x o superior.
- MacOS: Componente de cliente Java de Microsoft Forefront Unified Access Gateway en navegadores Firefox 3.0.x, Firefox 3.5.x, Safari 3.2.x o Safari 4.0.x o superiror.

El acceso y las comprobaciones de seguridad en el endpoint se realizan mediante la instalación de un componente Java a nivel de navegador. Para ello se requiere tener instalado la versión 1.5 de JR y que la instalación de los siguientes componentes se realice con una cuenta con privilegios administrativos en la máquina cliente:

- Endpoint Detection Java Applet.
- Endpoint Session Cleanup Java.


Figura 1: Necesidades de configuración en cliente

Como se puede ver en la Figura 1, el mensaje de error informa de los pasos a seguir. La descarga del componente JRE puede realizarse desde la página web de Java. Descargado e instalado el complemento según la distribución correspondiente, sólo queda comprobar su activación a través de los complementos correspondientes del navegador. Tras la realización de esta configuración en la máquina y en función de las políticas de acceso marcadas en Microsoft Forefront Unified Access Gateway UAG 2010, el usuario tendrá acceso al portal de aplicaciones.


Figura 2: Políticas de acceso para sistemas Linux

 

Ha sido un comienzo de año intenso para las formaciones en tecnologías Forefont. Desde comienzo de año se ha podido asistir a semanas de Hands On Lab dedicadas a Forefront en Madrid y Barcelona, asistir a los Virtual Hols de Forefront o disfrutar de conferencias dedicadas a todos los productos de la familia Forefont en el MS Technet Security Day 2010, la Gira Up To Secure 2010 y el Asegúr@IT 7.

Sin embargo, la llegada de nuevos productos al mercado hace que la competencia por los huecos en el calendario de planificación desplace durante el mes de Mayo a Forefront y que no vayamos a tener ninguna sesion dedicada a estos productos hasta el mes de Junio donde tendrán una semana en la campaña de Virtual Hands On Lab.

Debido a esto, mañana es una buena ocasión para asistir en Madrid a un Hands On Lab dedicado a MS Forefront Unified Access UAG 2010. El Hands On Lab será impartido por Juan Luís G. Rambla, MS MVP en Seguridad, y escritor del libro dedicado a MS Forefront Threat Managemet Gateway.

HOL-FOR10 Microsoft Forefront Unified Access Gateway 2010
Viernes, 30 de Abril en horario de 08:30 a 14:30
UAG constituye el nuevo servicio de presentación y acceso remoto con control de acceso granular. Evoluciona del antiguo IAG 2007, extendiendo sus capacidades. El asistente podrá, a través del laboratorio, diseñar un portal de acceso, estableciendo qué condiciones y políticas se aplicarán para el acceso. Realizará pruebas de publicación de servicios y aplicaciones de uso frecuente en las organizaciones, dentro de los escenarios de uso Microsoft.
Precio 90 €. [Información y Registro]

Tienes más informacion en:

- Calendario de Hands On Lab en Madrid.
- Calendario de Hands On Lab en Barcelona.
- Calendario de Hands On Lab en Pamplona.
- Calendario de Virtual Hands On Lab.
- Libro de Ms Forefront TMG 2010.

 

MS Forefront Protection Online for Exchange son los servicios de Cloud Computing, o en la nube, ofrecidos por Microsoft para almacenar Forefront Protection for Exchange. Con este servicio no será necesario instalar, ni configurar, ni preocuparse del mantenimiento de Forefront Protection for Exchange para tu servidor de correo. No importa si el servidor de Microsoft Exchange está en la compañía, en outsourcing con un partner o directamente se están utilizando los Hosted Exchange Services. En todos esos casos es posible utilizar MS Forefront Online Protection for Exchange.

El funcionamiento de este sistema es sencillo, basta con hacer pasar los correos entrantes y salientes por los servicios en la nube de MS Forefront Online Protection for Exchange y el correo estará límpio de virus, spam y malware en general. La pregunta es, ¿cuánto cuestan los MS Forefront Online Protection for Exchange?

El coste actual es por usuario y por mes, siendo de sólo 1.75 $ USD, es decir, por cada usuario al año el coste sería de 21 $ al año. Además, para todos los servicios contratados antes de Septiembre de 2010, hay un programa de incentivos de un 30% de descuento. En la siguiente tabla se ven algunas estimaciones por diferentes tamaños de usuarios.


Tabla de estimación de costes en USD, Euros y con el descuento actual

Para facilitar las tareas de administración y análisis de la seguridad, Microsoft Forefront Protection for Exchange 2010 cuenta con la posibilidad de configurar un sistema de notificaciones. Dichas notificaciones se diferencian entre las relativas a incidentes y las correspondientes a los eventos del producto.


Figura 1: Notificaciones en Microsoft Forefront Protection for Exchange 2010

La configuración de cada una de las notificaciones es independiente del resto, pudiendo en este sentido establecer un sistema de notificaciones granulado en función de las necesidades de la organización. Las notificaciones relativas a incidencias permiten su envío a:

- Administradores: Se asignan cuentas de correo a los que se notificarán las alertas habilitadas. Este es el rol de notificación predeterminado.
- Remitente interno: Notificará la incidencia al remitente del correo si éste es interno.
- Remitente externo: Notificará la incidencia al remitente del correo si éste es externo.
- Destinatario interno: Notificará la incidencia al destinatario del correo que ha generado la incidencia si éste es interno.
- Destinatario externo: Notificará la incidencia al destinatario del correo que ha generado la incidencia si éste es externo.


Figura 2: Configuración de la notificación de filtro de archivo

En el caso de las notificaciones relativas a eventos, éstas solamente serán enviadas a las cuentas designadas como administradores. Inicialmente ninguna notificación se encuentra configurada para su envío. Será, por lo tanto, tarea del administrador del servicio, determinar las cuentas de envío.

Para los procesos de envío de las notificaciones Microsoft Forefront Protection for Exchange 2010 usa la mensajería SMTP. Coloca para ello el mensaje en la carpeta de recogida del servicio SMTP y resuelve el nombre del seervidor de MS Exchange en el servicio de Active Directory para configurar el valor del comando MAIL FROM. De forma predeterminada, el perfil del servidor utilizado para identificar las notificaciones es ForefrontServerProtection@nombreDeServidor.server.

Este valor que se define a través del registro puede cambiarse modificando el valor FromAddress. Para modificarlo deberá abrirse el registro y cambiar el valor del Registro FromAddress en la siguiente ruta.

HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Forefront Server Security\Notifications\

Se pueden usar caracteres alfanuméricos. También se pueden usar el símbolo arroba (@) y el punto (.), siempre y cuando no aparezcan como primer o último carácter. Los caracteres no válidos se reemplazarán por un signo de subrayado (_).


Figura 3: Valor predeterminado para la dirección de envío en el escenario

En caso de realizarse cambios en la dirección de envío deberán reiniciarse tanto los servicios de Microsoft Exchange Server, como los de Microsoft Forefront Protection for Exchange 2010. La siguiente imagen muestra una notificación de incidencia por detección de virus, donde se ha modificado la dirección de envío de correo por “notificaciónseguridad@fpe.empresa.es”.


Figura 4: Notificación de malware detectado

 

El cliente de MS Forefront Threat Management Gateway TMG 2010 proporciona mecanismos eficaces de trabajo con el servidor MS Forefront TMG 2010. Entre la lista de funcionalidades aporta:

- Conexión Winsock Proxy con Microsoft Forefront Threat Manegement Gateway TMG 2010.
- Autenticación de las conexiones.
- Configuración centralizada de navegador y aplicaciones TCP/IP.
- Aplicación y notificación de los servicios de inspección Http-S.

El cliente viene conjuntamente con el software de Microosft Forefront Threat Manegement Gateway TMG 2010, pero puede ser también descargado del siguiente enlace: Cliente Firewall MS Forefront TMG 2010. Este enlace proporciona el archivo ejecutable del que puede extraerse el fichero de instalación MS_FWC.msi

El cliente admite tanto la instalación manual como la desatendida mediante el uso de Msiexec, puesto que se distribuye en modo msi. Para ello se aconsejan tres métodos para la realización de la instalación:

- Mediante script de validación: Puede emplearse cualquier mecanismo para ejecutar Logon Script, incluido el de Políticas de Grupo. Hay que tener en cuenta, no obstante, que para emplear este método es necesario que la cuenta que realiza la validación tenga permisos para acceder al recurso de red donde se encuentre el fichero y que, además, cuente con privilegios de administrador sobre la máquina donde ha de realizar la instalación.

- Mediante el uso de distribución de software a través de las Políticas de Grupo: Este procedimiento puede emplearse tanto a nivel de equipo como a nivel de usuario.

- Utilizando Microsoft System Center Configuration Manager 2007 o versiones previas: Este procedimiento sería recomendado a empresas que cuenten con este producto, puesto que proporciona mejores mecanismos centralizados para el análisis del proceso de instalación y errores derivados de la misma.

La ejecución desatendida del cliente se realiza mediante la siguiente sintaxis:

msiexec /i [Path] [SERVER_NAME_OR_IP=Servidor TMG] [ENABLE_AUTO_DETECT=0/1]
[REFRESH_WEB_PROXY=0/1] /qb /L*v c:\cliente_fw.log

- Path expecifica la ruta donde se localiza el fichero ms_fwc.msi
- Server_Name_Or_IP designa el nombre o dirección IP del servidor MS Forefront Threat Management Gateway TMG 2010 del que será cliente, o bien la dirección IP virtual interna en el caso de un sistema tipo Network Load Balancing [NLB].
- Enable_Auto_Detect presenta los posibles valores 0 o 1, especificando si el equipo cliente debería detectar automáticamente el servidor. En caso de definir el valor 1 (habilitado), deberá configurarse consecuentemente tanto el servidor MS Forefront Threat Management Gateway TMG 2010 como la definición correcta del registro Web Proxy Auto-discovery (WPAD) bien en el DNS o en el DHCP.
- Refresh_Web_Proxy presenta los posibles valores 0 o 1, especifican si el equipo debe configurar las propiedades Web Proxy, de acuerdo a los parámetros especificados en el servidor.

Las siguientes opciones son parámetros del proceso de instalación.

- /Q indica el tipo de instalación en desatendida.
- /qb proporciona un cuadro de diálogo con el progreso.
- /qn anula el cuadro de diálogos con el progreso.
- /L*v c:\cliente_Fw.log establece que se va a generar un registro para solución de problemas, especificando su ruta en el ejemplo en la unidad c el fichero cliente_fw.log.