Pinsafe utiliza un mecanismo para que un usuario se autentique en portales IAG o Forefront UAG mediante un código de un único uso, One-Time Code (OTC) que el usuario conoce o recibe a través de un mensaje SMS o de correo electrónico. Este mecanismo se conoce como TURing. En el producto de PINsafe, también existen otros dos mecanismos de autenticación, conocidos como PATtern y BUTton. Este artículo tratará el mecanismo de autenticación basado en la tecnología PATtern.

PATtern tiene como objetivo utilizar un sistema que cambia con respecto a la tecnología convencional de reconocimiento por OCR, al hacer una representación visual diferente a la utilizada por el sistema TURing. Este método representa los números en un formato tipo celda, tal y como se presenta en la siguiente imagen.


Figura 1: Autenticacion OTC con PATtern

Ante un PIN como 1234, la secuenciación numérica que debe tener en cuenta el usuario para obtener su clave OTC de acceso, se representa en la siguiente imagen.

Figura 2: Secuencia para la obtención de la clave OTC

Teniendo en cuenta la secuencia para el PIN 1234 con la secuencia PATtern de la primera imagen, la clave sería 1264. La configuración del tipo de autenticación que desea utilizarse, se realiza desde el panel de administración en el servidor PINsafe.


Figura 3: Selección del tipo imagen para la autenticación

Tal y como se observa en la anterior figura, existe una variante del modelo PATtern denominado PATtern2. En este caso la secuencia y representación de la celda varía un poco de la forma tradicional. La siguiente imagen muestra como sería este tipo de autenticación.


Figura 4: Imagen de autenticación PATtern 2

============================================================================
- Forefront UAG 2010: Configuración de un array (1 de 2)
- Forefront UAG 2010: Configuración de un array (2 de 2)
============================================================================

Cuando los usuarios de una organización, se habitúan a utilizar sistemas de gestión de acceso a aplicaciones, como los que proporciona MS Forefront Unified Access Gateway UAG 2010, la dependencia de los mismos se hace cada vez más ostensible. La empresa por lo tanto depende del mismo y debe plantearse el dotar de un sistema de administración centralizada para el producto que permita evolucionarlo a una alta disponibilidad.

MS Forefront UAG 2010, permite la implementación de un sistema Array con alta disponibilidad para múltiples sistemas. Dicha implementación permite crear un sistema matriz y unir otros sistemas al mismo para aportar como característica fundamental una administración centralizada. A través de la matriz la configuración establecida para uno de ellos será compartida por todos los miembros de la misma.

No debe confundirse el array con una solución de alta disponibilidad. En el array cada miembro posee su propio direccionamiento no compartiendo direcciones IP virtuales. De forma natural el uso de un array suele coincidir con la implementación posterior del sistema de balanceo de carga en red para la alta disponibilidad. La creación de la matriz se realiza desde el menú de administración de la consola.


Figura 1: Implementación de Array

El asistente de gestión de la matriz permite tanto la creación del array, como incluir otros servidores a una matriz que ya se encuentra creada.


Figura 2: Inicio del asistente de implementación del array

El primer paso dentro del asistente permite crear un nuevo Array o bien unir un servidor a uno ya existente. En el caso de el servidor ya se encuentre unido podrán realizarse modificaciones en su implementación.


Figura 3: Configuración de las propiedades del array

============================================================================
- Forefront UAG 2010: Configuración de un array (1 de 2)
- Forefront UAG 2010: Configuración de un array (2 de 2)
============================================================================

Durante el mes de Noviembre se van a realizar, a través de Internet, cinco seminarios Virtual Hands On Lab (VHOL) en los que se tocarán las tecnologías Forefront, el calendario es el siguiente:

VHOL-SEG43 Fortificación de Ms Exchange Server 2010
Jueves, 11 de Noviembre de 2010. Horario: 09:00 a 14:00
Precio: 90 €
Al finalizar este Hands On Lab, el asistente conocerá los procedimientos para el endurecimiento y protección del sistema de mensajería Microsoft Exchange Server 2010. Conocerá cómo trabaja el modelo de funcionalidad y seguridad del servicio. Dentro de los procedimientos a llevar a cabo para la protección del sistema, se realizarán mecanismos de copia de seguridad y la gestión de los mecanismos de auditoría. En última instancia se habrá abordado los mecanismos de protección de los documentos, tales como la protección de metadatos en documentos o las soluciones antimalware que pueden implementarse sobre el servidor.
Agenda y Registro

VHOL-FOR11 Seguridad de una organización con Microsoft Forefront
martes, 23 de noviembre de 2010. Horario: 09:00 a 14:00
Precio: 90 €
A través de este laboratorio el asistente habrá adquirido los conocimientos para plantear estrategias de protección con la línea de productos Forefront. Conocerá diferentes arquitecturas para una defensa en profundidad de servicios y aplicaciones. Garantizará un uso correcto en el acceso a los sistemas a la vez que dispondrá de los mecanismos para evaluar el estado de seguridad de una organización
Agenda y Registro

VHOL-FOR14 Microsoft Forefront Endpoint Protection 2010 (BETA)
martes 23 y miércoles, 24 de noviembre de 2010. Horario: 16:00 a 18:30
Precio: 90 €
Al finalizar el laboratorio el asistente conocerá los fundamentos para la instalación e integración de la nueva solución de antimalware de Microsoft con SCCM 2007. Aprenderá y manejará las nuevas capacidades de protección que aporta. Conocerá los fundamentos para el despliegue de agentes y los procedimientos para llevar a cabo una gestión centralizada de las políticas. Evaluará como se gestiona la seguridad con FEP 2010 y se establecen las notificaciones en base a las amenazas recibidas.
Agenda y Registro

VHOL-FOR12 Microsoft Forefront Protection 2010 for Exchange Server
miércoles, 24 de noviembre de 2010. Horario: 09:00 a 14:00
Precio: 90 €
Al finalizar el Hands On Lab el asistente conocerá los fundamentos para instalar, configurar y administrar el servicio de Forefront Protection for Exchange Server. Conocerá la integración de sistemas en escenarios de Ms Exchange Server 2010 aplicando diferentes estrategias para la protección con malware y correo no deseado. Podrá realizar análisis de las amenazas recibidas y gestionar el sistema de forma avanzada a través de PowerShell.
Agenda y Registro

VHOL-FOR13 Microsoft Forefront Protection 2010 for SharePoint Server
jueves, 25 de noviembre de 2010. Horario: 09:00 a 14:00
Precio: 90 €
Al finalizar el Hands On Lab el asistente conocerá los fundamentos para instalar y configurar el servicio de Forefront Protection 2010 for SharePoint Server. Conocerá los fundamentos y gestión del sistema multimotor. Conocerá los mecanismos para la aplicación de filtrado y discriminación de información en los sitios que se publiquen. Aprenderá los fundamentos para la administración avanzada con PowerShell en tareas tales como la recuperación del sistema frente a una incidencia.
Agenda y Registro

Estos serán los últimos seminarios del año dedicados a las tecnologías Forefront y habrá que esperar hasta el año 2011 para ver cuál será el calendario programado, así que si estás pensando en asistir a alguno, no dejes pasar esta oportunidad.
 

A menudo en los procesos de definición de los servicios que se implementarán en una organización, no se tienen en cuenta las previsiones de crecimientos que pudieran tener los mismos. A menudo los servidores presentan diferentes versiones que aportan características incrementales tanto en funcionalidad como en capacidad de gestión de recursos. Este hecho a menudo implica tomar una decisión que en ocasiones puede ocasionar implicar decisiones de evolución futura. Si una empresa ha optado por la implementación de un servicio que no admita escalabilidad de los servicios, ante crecimientos no controlados podría suponer perdida en la productividad general.

Consciente de este hecho Microsoft para Microsoft Forefront Threat Management Gateway 2010 permite que una versión de tipo Standard puede convertirse en cualquier momento en una de tipo Enterprise. Las principales diferencias que presentan ambas versiones son:

- Procesadores: La versión Standard admite hasta un máximo de 4 CPU´s y en el caso de la versión Enterprise no hay limitación.
- Almacenamiento: El almacenamiento de la configuración tanto de las políticas como de las propiedades del servidor Standard, es de tipo local. En el caso de la versión Enterprise soporta almacenamiento local o en un sistema remoto de gestión centralizada.
- Soporte para alta disponibilidad: No existe en el caso de la versión Standard. Disponible en la versión Enterprise para soporte de Array/NLB/CARP.

El proceso de actualización es sencillo, pudiendo realizarse desde la propia consola de administración de MS Forefront Threat Management Gateway TMG 2010.


Figura 1: Subir la versión de producto

Para elevar la funcionalidad, ampliando a Enterprise, es necesario proporcionar la clave de producto correspondiente a la nueva versión.


Figura 2: Introducción de la nueva clave de producto

Una vez validada la clave se producirá la actualización de la versión, adquiriendo las nuevas características. No obstante hay que tener en cuenta tras la actualización que el Id. de producto mostrado en la página acerca de Forefront Threat Management Gateway en el apartado ayuda es el identificador del producto anterior. Esto no afecta al comportamiento del producto y a las nuevas características que ofrece la nueva versión.
 

El pasado 21 de Octubre, el equipode Forefront Unified Access Gateway 2010 anunció el lanzamiento del Service Pack 1 del producto. Actualmente el producto se encuentra disponible para descarga a través del siguiente enlace: Forefront UAG 2010 Service Pack 1.

El Service Pack, tal y como anuncia el equipo, incluye muchas mejoras en el producto para simplificar los despligues de entornos DirectAccess y mejorar la seguridad de los entornos de colaboración utilizando ADFS 2.0 (Active Directory Federation Services).

Entre las características que tiene el producto para DirectAccess destacan:

- Soporte de One-Time-Passwords.
- Despliegue simplificado y mejoras en el GUI de administración, que incluye funcionaidad que antes requerían de scripting y ajuste manual.
- Mayor flexibilidad en la creación y distribución de politicas GPO para DirectAccess.
- Creación de despligues "Siempre gestionados" que permiten desplegar políticas GPO y siempre gestionar las máquinas sin que se tenga que activar el acceso en los clientes corporativos.
- Soporte de encapsulamiento forzado que obliga a que todo el tráfico de los clientes con DirectAccess sea siempre enviado a través del servidor de DirectAccess corporativo, incluso a Internet.
- Integración del DCA (DirectAccess Connectivity Assistant) dentro del proceso de administración.v - Integración de NAP en la creación de políticas de endpoint.
- Monitorización mejorada y herramientas de troubleshooting con la adición de los diagnósticos DCA e informes del lado del servidor.

Las novedades de ADFS 2.0 en escenarios con Forefront UAG SP1 permiten:

- Soporte de One-time-passwords en DirectAccess.
- Solicitud de autenticación bajo demanda al portal UAG.
- Publicación de aplicaciones bajo demanda.v - Autorización bajo demanda.
- Uso de Single Sign-on para aplicaciones heredadas en usuarios autenticados bajo demanda.
- Single Sign-out.
- Publicación de AD FS 2.0 Server .

El Service Pack 1, según informa el equipo del producto, no sólo añade nuevas funcionalidades, sino que se han mejorado procesos de rendimiendo, escalabilidad y usabilidad en el mismo, para conseguir mejora mucho más la experiencia de usuarios y administradores. En futuros análisis iremos desgranando en Seguros con Forefront las novedades que trae y se publicarán en la página dedicada a Forefront UAG 2010. Puedes obtener más información en el blog del equipo de producto.