============================================================================
- MS Forefront TMG 2010: Bridging HTTPS (I de II)
- MS Forefront TMG 2010: Bridging HTTPS (II de II)
============================================================================

El otro elemento dentro de la conexión, se define a través del objeto Listener. Este determina el mecanismo empleado para poner en escucha las peticiones que deberá atender MS Forefront TMG 2010 para la publicación.


Figura 1: Creación del Listener.

La definición de escucha, determina en el caso de un servicio web los siguientes elementos:

- Tipo de conectividad hacia el cliente: HTTP o HTTPS Red desde donde provendrán las conexiones.
- Define también la dirección IP de escucha del servidor firewall para la red definida.
- En el caso de una conexión tipo HTTPS el certificado que se remitirá al cliente.
- Mecanismos de autenticación en el caso de que fuera necesario.


Figura 2: Selección del tipo de conexión en el lado del cliente.

La configuración del listener define por lo tanto el otro módulo en la conexión de bridging. Hay que tener en cuenta en la definición de la escucha que para que pueda ser válida, no puede existir más de un servicio por IP y puerto.

Por lo tanto los mecanismos de Bridging proporcionan un sistema altamente maleable para la publicación de servicios web. Garantizan en todo caso la seguridad hacia la conectividad hacia Internet, permitiendo adicionalmente que los sistemas internos de protección cumplan con su cometido. El uso de MS Forefront TMG 2010 proporciona adicionalmente la capacidad de frontal de autenticación con diferentes posibilidades que serán abordados en posteriores post.

============================================================================
- MS Forefront TMG 2010: Bridging HTTPS (I de II)
- MS Forefront TMG 2010: Bridging HTTPS (II de II)
============================================================================

El próximo 5 de Mayo en Málaga tendrá lugar el evento Asegúr@IT 9. Esta conferencia es una reunión de un día de duración itinerante que no se repite y que reune a profesionales de la seguridad informática en torno a charlas de actualidad. En esta ocasión, el evento estará compuesto por 5 sesiones con la participación de Microsoft, Informática64, Swivel Secure e Hispasec.



09:00 - 09:30 Registro

09:30 – 10:00 Las passwords dan miedo. Swivel Secure – PINSafe

En esta sesión Swivel Secure mostrará soluciones de autenticación multifactor con mensajes OTP mezclados con algorítmica para evitar la vulneración del canal de envío OTP. Esta tecnología se podrá aplicar a las conexiones Forefront IAG o UAG para implantar sistemas de VPN robusta.

10:00 – 10:30 Algunos trucos de hacking usando buscadores

Enrique Rando, responsable de informática de la delegación de trabajo en Málaga de la Junta de Andalucía, dará una sesión en la que enseñará algunos trucos nuevos y curiosos en el uso de Google, Bing y Shodan para realizar auditorías de seguridad y hacking ético.

10:30 – 11:15 Dust: Tu Feed RSS es tuyo

Las legislaciones en el mundo sobre los contenidos que se pueden publicar o no hace que cada vez esté más en riesgo un canal de comunicación RSS. En esta sesión, Chema Alonso hablará de DUST, una solución para compartir fedds RSS por redes P2P y generar canales redundandes de lectura de tu audiencia.

11:15 – 11:45 Café

11:45 – 12:30 El malware se adapta a los tiempos

Pensar que el malware es estático y se puede solucionar con un plan de protección no revisado continuamente es un riesgo. En esta sesión, Sergio de los Santos, escritor del libro “Una al día: 12 años de seguridad”, hablará de como el malware está más adaptado que nunca a los nuevos cambios de Internet.

12:30 – 13:15 Cloud Computing: Security & Compliant

José Parada, Director de Seguridad de Microsoft Ibérica, dará una sesión sobre la seguridad en las tencologías de Cloud Computing, no solo desde el punto de vista de protección, sino del cumplimiento legislativo de las mismas.

13:15 – 13:45 Preguntas

El evento es gratuito y los asistentes podrán optar a comprar el libro de Una al día: 12 de años de seguridad informática con un descuento del 50 %. Es necesario reservar tu plaza realizando el proceso de registro en la siguiente URL: Asegúr@IT 9
 

La definición de nuevos protocolos en un sistema firewall es una operación que en algún momento tendrá que realizar un administrador.Dentro de las características que aporta MS Forefront Threat Management Gateway TMG 2010, la de la creación de nuevos protocolos, es una de ella. A menudo en las formaciones que lleva a cabo Informática 64, surge la duda a los asistentes de las diferencias en uso de los protocolos que llevan escrito la palabra server o los que la llevan sin ella.


Figura 1: Protocolos predefinidos en MS Forefront TMG 2010.

La diferencia principal es que mientras unos son considerados protocolos de conexiones entrantes, otros están considerados para conexiones salientes. Los definidos con el nombre de server, son utilizados en las reglas de publicación y el parámetro de dirección es de entrada.


Figura 2: Parámetros del protocolo HTTPS Server.

El resto de protocolos se consideran que son dirección de salida y serán utilizados en las reglas de acceso.


Figura 3: Parámetros del protocolo HTTPS.

La perspectiva de entrada y salida, se representa con la visión de MS Forefront TMG 2010, con respecto a las redes internas y externas que pudiera manejar el firewall. Por lo tanto cuando quiera crearse un nuevo protocolo, deberá tenerse en cuenta en primer lugar el escenario en el que se implementará bien sea para publicación o acceso. Por otra circunstancia deberán atenderse las necesidades en cuanto al uso de conexiones primarias o secundarias y los posibles filtros que pudiera llegar a afectar al nuevo protocolo.
 

============================================================================
- MS Forefront TMG 2010: Bridging HTTPS (I de II)
- MS Forefront TMG 2010: Bridging HTTPS (II de II)
============================================================================

La publicación de servicios constituye uno de los elementos que tanto MS Forefront Threat Management Gateway TMG 2010, como sus antecesores, proporcionan como mecanismo fundamental. A través de este sistema de publicación, se permite presentar diferentes tipos de servicios a través del firewall, proporcionando además todas las características de seguridad. Dentro de los sistemas de publicación destaca especialmente la capacidad de publicación de sitios seguros.Frente a otros mecanismos más tradicionales de firewall, donde se realiza realmente la publicación de un túnel de HTTPS, MS Forefront TMG 2010 ofrece el sistemas de Bridging HTTPS.

Introducción a Bridging HTTPS

La idea que se proporciona a través de la arquitectura de Bridging, es establecer la presentación de un servicio seguro en dos tramos: cliente externo - servidor firewall y firewall – servidor web seguro. Este sistema proporciona condiciones de seguridad adicionales, puesto que permite que una conexión SSL sea inspeccionada por los diferentes módulos de seguridad e incluso hacer conexiones diferentes en cada tramo de la conexión.

Por ejemplo la organización podría tener un sistema de inspección de intrusiones adicional al que presenta MS Forefront Threat Management Gateway 2010. Por lo tanto si la conexión fuera en HTTPS, el sistema IDS no podría analizar la existencia de potenciales ataques en la transmisión de datos al servidor.

Para subsanar esta circunstancia, el mecanismo de bridging permitiría el establecimiento de una sesión HTTPS hacia las conexiones externas a la organización. Por otro lado la conexión entre el firewall y el servidor interno se establecería en modo HTTP. No obstante este último tramo requeriría mecanismos adicionales de seguridad, para evitar que ataques internos tipo MITM pudieran permitir a un atacante recuperar la información transmitida en clara.

Creación del bridging HTTPS

La publicación de un sitio web seguro, se establece mediante el asistente correspondiente que puede ser invocado a través de la consola.


Figura 1: Publicación de un sitio web.

Dentro del asistente la funcionalidad del bridging, se establece a través de la definición de conexiones. Ésta como se ha comentado previamente se realiza en dos tramos. Dentro del asistente, el primer elemento se define mediante la conexión entre MS Forefront TMG 2010 y el servidor web interno. En el caso de que tenga un sistema de inspección de intrusiones interno y desee que se analice el tráfico, deberá optarse por la conexión HTTP no segura.


Figura 2: Conectividad con el servidor interno.

============================================================================
- MS Forefront TMG 2010: Bridging HTTPS (I de II)
- MS Forefront TMG 2010: Bridging HTTPS (II de II)
============================================================================

============================================================================
- Forefront Protection 2010 for Exchange: Antivirus Stamp (I de III)
- Forefront Protection 2010 for Exchange: Antivirus Stamp (II de III)
- Forefront Protection 2010 for Exchange: Antivirus Stamp (III de III)
============================================================================

Escenarios de escaneo con el sello de antivirus habilitado.

1. Correo entrante desde Internet. El mensaje solo se escanea una vez en el servidor perimetral.


Figura 1: Escaneo de mensaje entrante

2. Correo saliente hacia Internet. El mensaje se escanea sólo una vez en el primer servidor de transporte de concentrador (HUB) que se utiliza para enrutarlo.


Figura 2: Escaneo de mensaje saliente

3. Correo interno de la organización. Al igual que en el escenario 2, el mensaje solo se analiza una vez en el primer servidor de transporte de concentrador (HUB) que se utiliza para enrutarlo.


Figura 3: Escaneo de mensaje interno


Sin embargo, se tienen que cumplir algunas condiciones para que Forefront Protection 2010 genere el sello de antivirus en un mensaje determinado.

• El mensaje debe ser escaneado por al menos un motor
• No se tiene que encontrar malware o si se encuentra, debe ser eliminado o limpiado.
• Si el mensaje se ha actualizado, Forefront debe poder guardar correctamente el mensaje de nuevo en el Servidor Exchange.

Escenarios con Forefront Online Protection (FOPE).

De forma similar al sello de antivirus, por defecto aquellas organizaciones que disponen de un servicio de Forefront Online Protection y que reciben el correo de Internet a través de este servicio, cuando llega al servidor de transporte local, estos mensajes no se vuelven a analizar.

Este comportamiento se puede modificar desde la consola de Forefront Protection en las Opciones avanzadas de la Configuración Global. Se puede habilitar la opción “volver a detectar mensajes ya detectados por Forefront Online Protection for Exchange” si por ejemplo se quieren aplicar directivas o filtros personalizados cuando el correo entra a la organización.

Además es posible habilitar de forma separada el análisis de SPAM y el análisis de malware.


Figura 4: Configuracion de Forefront Online Protection


Referencias:

• Guía de optimización de Forefront Security para Exchange Server: consideraciones de detección
• Exchange Introduction
• Protecting Your Microsoft Exchange Organization with Microsoft Forefront Security for Exchange Server

============================================================================
- Forefront Protection 2010 for Exchange: Antivirus Stamp (I de III)
- Forefront Protection 2010 for Exchange: Antivirus Stamp (II de III)
- Forefront Protection 2010 for Exchange: Antivirus Stamp (III de III)
============================================================================