Un problema bastante habitual al que se han enfrentado los administradores de MS ISA Server es la de permitir el paso de tráfico de tipo SSL a través de puertos no estándar. Todo el mundo está acostumbrado a asumir la conexión HTTPS a través del puerto 443, sin embargo esto no es así es todas las circunstancias. Muy a menudo, inclusive en las conexiones con los servicios web de la Administración Pública, estas se dan sobre puertos tipo 8443 o 444 por poner algún ejemplo.

Cuando esto sucede se produce un fallo de conexión. Esto es debido a un problema de envío del cliente firewall y Secure Nat al módulo de Web Proxy. Este de forma predeterminada solo envía las conexiones SSL para tráfico HTTP al puerto TCP 443. Si un cliente intenta una conexión HTTPS sobre otro puerto el intento de conexión fallará, aunque se haya creado la correctamente la regla de acceso correspondiente.

Esta circunstancia también ocurre con la versión más reciente del producto: MS Forefront Threat Management Gateway 2010. Para evitarlo puede realizarse la extensión de rangos de puertos válidos para conexiones SSL. Informática64 desarrolló una aplicación denominada Lissa 2004 que permitía de forma gráfica y cómoda realizar esta extensión de puertos SSL para MS ISA Server. Lissa 2004 es válida también para ser utilizada en MS Forefront TMG 2010.

De forma predeterminada los únicos puertos habilitados para la conexión SSL son:

- 443 para HTTPS. - 563 para NNTP.

La siguiente imagen muestra este hecho:


Figura 1: Listado de puertos SSL habilitados de forma predeterminada

Podrá agregarse un nuevo puerto o conjunto de puertos a través de la función de agregar un nuevo rango. En el ejemplo se va a añadir el puerto 444 para la conexión con la Administración.


Figura 2: Agregando el puerto 444

Para que los cambios sean efectivos deberán guardarse los cambios y reiniciar los servicios de firewall del servidor.


Figura 3: Guardar cambios reiniciando servicios

A partir de este momento las reglas de acceso que permitan tráfico a través del puerto 444 serán efectivas para tráfico de tipo SSL. En el caso de que ya no sea necesaria dicha comunicación, podrán eliminarse los puertos para túnel SSL a través de la misma aplicación. Simplemente deberá marcarse en la columna Del aquellos puertos que desean eliminarse, guardando y reiniciando nuevamente los cambios.
 

============================================================================
- Forefront Endpoint Protection 2010: Distribución del cliente (1 de 4)
- Forefront Endpoint Protection 2010: Distribución del cliente (2 de 4)
- Forefront Endpoint Protection 2010: Distribución del cliente (3 de 4)
- Forefront Endpoint Protection 2010: Distribución del cliente (4 de 4)
============================================================================

Una vez que se haya producido el almacenamiento den el punto de distribución, el paquete se encontrará disponible para que pueda ser anunciado a los equipos. Este procedimiento no se ha realizado automáticamente y requiere de la intervención del administrador para crearlo pertinentemente. Para ello deberá inicializarse el proceso mediante la creación del anuncio tal y como se muestra en la siguiente imagen.


Figura 8: Creación de un nuevo anuncio

El primer paso del asistente consiste en definir los procesos principales para el anuncio:

- Definir el nombre que recibirán los usuarios en sus equipos y que inician el proceso de instalación del cliente.
- Selección del paquete a anunciar.
- Definición del programa que iniciará el paquete. En este caso se seleccionará el de instalación.
- El último parámetro designa la colección a la que se anunciará el paquete.

Este último elemento constituye una figura de MS System Center Configuration Manager, que permite agrupar equipos por algún parámetro de configuración, por ejemplo equipos con el sistema operativo Windows 7 o con un determinado procesador. En el ejemplo se asume que Forefront Endpoint Protection 2010 será desplegado a todos los equipos y para ello se selecciona la colección All Systems.


Figura 9: Configuración general del anuncio de despliegue del cliente de MS FEP 2010

La siguiente configuración determina la programación para el anuncio. Esta define la fecha de inicio y fin para la misma y si el programa será o no asignada mediante mandato. Si se marca esta, el programa se instalará independientemente de la decisión del usuario. En caso de no asignarlo, será decisión del usuario a modo de aplicación publicada. En el ejemplo el programa se asigna para su instalación tan pronto como sea posible, en virtud de la capacidad tanto del cliente, como de la red y de disponibilidad del punto de distribución.


Figura 10: Programación con mandato

============================================================================
- Forefront Endpoint Protection 2010: Distribución del cliente (1 de 4)
- Forefront Endpoint Protection 2010: Distribución del cliente (2 de 4)
- Forefront Endpoint Protection 2010: Distribución del cliente (3 de 4)
- Forefront Endpoint Protection 2010: Distribución del cliente (4 de 4)
============================================================================

Los Rogue AV son un malware muy singular. Sólo a una mente con un toque de ironía dramática se le pudo ocurrir la idea de introducir troyanos en los ordenadores de los usuarios simulando ser una solución antimalware gratuita. Desde hace tiempo vienen copiando nombres comerciales similares a los de las soluciones auténticas, como ya vimos aquí con el caso del Security Essentialas 2010, pero desde también se centran en la copia exacta de las ya existentes. Este es un ejemplo de una copia exacta de Microsoft Security Essentials.

Como se puede ver en la primera imagen, el sistema copia la pantalla de alerta de MS Security Essentials para avisar de una posible amenaza.


Figura 1: Detección de amenaza

Desgraciadamente, el sistema no tiene ninguna solución para esta amenaza y hay que recurrir al escaneo online con múltiples motores. Esta, por supuesto, no es una opción disponible en el autentico MS Security Essentials.


Figura 2: No hay solución, sólo queda buscar online

Tras aceptar el escaneo online se presenta una lista de motores disponibles que van a evaluar el malware para ver si tienen una solución al respecto. Algunos de esos motores son reales, otros también son falsos.


Figura 3: Motores a utilizar durante el escaneo online

Por supuesto, siempre hay una solución que se ofrece desde ellos, que terminará con un coste o una infección aún peor para los usuarios.


Figura 4: Ha habido "suerte", hay soluciones online

El mercado de los Rogue AV crece día a día, así que lo mejor es que te instales un AV de verdad desde el principio o que llames a profesionales que lo hagan por tí. Puedes descargar desde esta URL Microsoft Security Essentials y aprender a usaralo con el Manual de usuario de Microsoft Security Essentials.
 

============================================================================
- Forefront Endpoint Protection 2010: Distribución del cliente (1 de 4)
- Forefront Endpoint Protection 2010: Distribución del cliente (2 de 4)
- Forefront Endpoint Protection 2010: Distribución del cliente (3 de 4)
- Forefront Endpoint Protection 2010: Distribución del cliente (4 de 4)
============================================================================

El proceso de instalación se encuentra totalmente automatizado y en este, se encuentra la detección y desinstalación de otros agentes de antivirus instalados en la máquina previamente. La lista de productos que se desinstalarán a través del proceso de despliegue del paquete son:

- Symantec Endpoint Protection version 11.
- Symantec Endpoint Protection Small Business Edition version 12.
- Symantec Corporate Edition version 10.
- McAfee VirusScan Enterprise version 8.7 and version 8.5.
- TrendMicro OfficeScan version 8.0 and version 10.0.
- Forefront Client Security version 1.

Para completar el proceso de configuración del paquete, sería necesario asignar el mismo a un punto de distribución válido en la infraestructura de MS SCCM 2007.


Figura 4: Asignación de un nuevo punto de distribución

A través del asistente se permite designar el o los servidores donde quedará almacenado el paquete. En función de la estructura de la organización y la implementación y diseño de SCCM deberá definirse el uso de los más adecuados.


Figura 5: Selección de punto de distribución

Conocer si el paquete se encuentra ya depositado en el punto de distribución y disponible para ser anunciado, se realiza desde el estado del paquete. Las siguientes imágenes muestran los resultados de instalación pendiente cuando este no se ha desplegado completamente y cuando ya se ha completado el proceso.


Figura 6: Despliegue pendiente en el punto de distribución


Figura 7: Paquete ya desplegado en el punto de distribución

============================================================================
- Forefront Endpoint Protection 2010: Distribución del cliente (1 de 4)
- Forefront Endpoint Protection 2010: Distribución del cliente (2 de 4)
- Forefront Endpoint Protection 2010: Distribución del cliente (3 de 4)
- Forefront Endpoint Protection 2010: Distribución del cliente (4 de 4)
============================================================================

Microsoft ha abierto el programa de evalución por parte de la comunidad de usuarios para Forefront EndPoint Protection 2010. Este programa, conocidio como Forefront Endpoint Protection 2010 CEP (Community Evaluation Program), permitirá a los usuarios y organizaciones disponer de la versión del producto antes de que esta sea puesta a disposición del mercado.



Con este programa Microsoft quiere aprender de sus clientes y conocer todas aquellas incidencias que puedan surgir en la implantación del producto en un entorno de producción real. Para participar en este programa hay que solicitar, a través de Microsoft Connect, la inclusión en el programa CEP por medio de este formulario.

Microsoft ayudará a todos los seleccionados en el proceso de implantación, lo que hará que estas empresas tengan una ventaja competitiva a la hora de crear soluciones y/o servicios asociados a este producto, por lo que para las empresas tecnológicas estos programas suelen tener un especial valor.

Tienes más información en el siguiente enlace: Microsoft Forefront EndPoint Protection 2010 Community Evaluation Program