La campaña de Hands On Lab y Virtual Hands On Lab cierra con la llegada del verano, y es por eso que el número de seminarios publicados es cada vez menor. Mientras esta semana termina la campaña en Madrid con los seminarios de Virtualización e IPv6, la semana que viene concluye la campaña de Virtual HOLs a través de Internet con tres seminarios de Análisis Forense y uno de Gestión de la seguridad. Este es el calendario al que aún te puedes apuntar:

VHOL-SEG03 Análisis forense. Escenario Malware en entorno Windows
Martes, 26 de Julio, de 09:00 a 14:00 [Hora de España]
En este Virtula Hand On Lab repasaremos las técnicas más utilizadas por un atacante para infectar un sistema, desde el punto de vista del Malware. Analizaremos las distintas técnicas para ocultar malware y aplicaremos técnicas forenses para analizar un sistema comprometido.

VHOL-SEG37 Análisis de memoria RAM en entornos Windows
Miércoles, 26 y 27 de Julio, de 16:00 a 18:30 [Hora de España]<
Finalizado este laboratorio, el asistente dispondrá de conocimientos y capacidades para poder llevar a efecto un análisis forense digital a volcados de memoria Windows. Para ello se le hará conocedor de la arquitectura interna de Windows, así como información relativa a como éste maneja e implementa la memoria RAM.

VHOL-SEG05 Análisis forense III. Análisis de logs en Windows
Miércoles, 27 de Julio, de 09:00 a 14:00 [Hora de España]
En este Virtual Hands On Lab repasaremos la arquitectura de un sistema basado en Windows, centrándonos en los logs del sistema, así como en su interpretación para extraer el máximo conocimiento de ellos.

VHOL-SEG33 Gestión de riesgos de seguridad
Jueves, 28 de Julio, de 09:00 a 14:00 [Hora de España]
Los asistentes a este evento obtendrán una visión global sobre los riesgos de seguridad presentes en una infraestructura de red empresarial y aprenderán a evitarlos y/o mitigarlos, todo ello mediante prácticas reales de ataque y defensa.

Y esto será todo en la campaña de Hands On Lab y Virtual Hands On Lab.
 

============================================================================
- Forefront TMG 2010: Conexiones VPN con SSTP (1 de 3)
- Forefront TMG 2010: Conexiones VPN con SSTP (2 de 3)
- Forefront TMG 2010: Conexiones VPN con SSTP (3 de 3)
============================================================================

Como ya hemos visto anteriormente Microsoft Forefront Threat Management Gateway TMG 2010 permite hasta tres tipos de conexiones VPN (Virtual Private Network) distintas, como son mediante el uso de los protocolos PPTP, L2TP y el que ahora tratamos SSTP (Secure Socket Tuneling Protocol). En entradas anteriores desgranamos el funcionamiento de dos de ellas y como montar Redes VPN en Forefront TMG 2010 haciendo uso de PPTP y cómo hacerlo con L2TP. A continuación hablaremos y analizaremos el tercer tipo de conexión VPN permitido por Forefront TMG 2010: SSTP.

Las redes VPN implementadas por medio de SSTP hacen uso de un protocolo de comunicaciones cifradas y autenticadas ampliamente extendido, como es SSL, sobre el que funcionan los protocolos de páginas web seguras HTTP-s o FTP-s. El objetivo de SSTP es conseguir montar conexiones VPN cifradas y autenticadas que puedan ser utilizadas desde la amplia mayoría de conexiones remotas, donde los puertos SSL suelen estar permitidos. Sin embargo, hay que tener presente una serie de limitaciones a la hora de implementarlo en una organización.
Características y consideraciones:

El protocolo SSTP solo puede utilizarse si cuenta con una infraestrura de clientes con Windows Vista Service Pack1 o superior, es decir, Windows Vista SP2 y Windows 7 tamibén lo sosportan. Este protocolo también puede utilizarse con Windows Server 2008 y Windows Server 2008 R2 para establecer conexiones SSTP VPN siempre que se como clientes ya que actualmente las conexiones SSTP no están disponibles para implementar redes VPN de sitio a sitio.

Para poder hacer esta implementación, debido a que la red VPN usa SSL, es necesario que los servidores VPN SSTP, incluyendo Forefront TMG 2010 tengan instalado un certificado digital de sitio Web para enlazar la escucha Web SSTP. Además, el cliente VPN SSTP debe poder comprobar la lista de revocación de certificados (CRL) para confirmar que no ha sido cancelado el certificado del sitio Web enlazado a la escucha Web SSTP. La comprobación de CRL puede desactivarse en el cliente, pero no es una idea recomendable para un despliegue de producción. Forefront TMG también debe poder comprobar la lista CRL del certificado del sitio Web utilizado por el agente de escucha Web SSTP. A día de hoy, solo Windows Server 2008 y Windows Server 2008 R2 x64 pueden actuar como servidores VPN SSTP.

Como punto a tener en cuenta, se debe considerar que cuando se configura Forefront TMG 2010 para admitir conexiones SSTP, realmente se crea un Web Listener, necesario para aceptar las conexiones. Este Web Listener está configurado para permitir conexiones anónimas y será necesaria una dirección IP dedicada para él, ya que se trata de una conexión SSL con un certificado vinculado. Si se desea publicar cualquier otro sitio SSL utilizando el mismo servidor Forefront TMG 2010, se tendrá que hacer uso de direcciones IP adicionales para apoyar esas conexiones. Teniendo en cuenta que casi todos los sitio SSL publicados deben estar protegidos con pre-autenticación, se deberá tener más de una dirección IP en la interfaz externa para dividir el tráfico a los servidores web y a los servicios de VPN SSTP.

Cómo funciona SSTP

El proceso de conexión SSTP es bastante sencillo de entender. A continuación se puede ver cómo funciona el proceso de conexión SSTP:

Inicialmente el cliente VPN SSTP establece una conexión TCP con la puerta de enlace VPN SSTP utilizando un puerto de origen TCP aleatorio en el cliente VPN SSTP y el puerto TCP 443 en la puerta de enlace VPN SSTP. El cliente envía un mensaje de SSL-Hello, indicando que quiere establecer una sesión SSL con la puerta de enlace VPN SSTP. La puerta de enlace VPN SSTP responderá enviando la clave públicad de su certificado digital al cliente VPN SSTP.

Una vez recibido, el cliente valida el certificado digital mediante la comprobación de que sea un certificado emitido por una entidad de confianza, es decir, que la calve pública de la entidad emisora del certificado deberá estar en el almacén de entidades emisoras raíz de confianza del cliente para que se pueda comprobar si el certificado es correcto. Además, comprobará que el certificado no ha sido revocado, comprobándolo en la CRL de la entidad emisora (CA).

Una vez comprobado el certificado, el cliente VPN SSTP determina el método de cifrado para la sesión SSL, genera una clave de sesión SSL que cifra con la clave pública del Gateway VPN SSTP y la envía a la puerta de enlace VPN SSTP. La puerta de enlace VPN SSTP descifra con la clave privada la clave de sesión SSL que viene en el mensaje y, a partir de ese instante, todas las comunicaciones entre ellos se cifran con el método de cifrado negociado y la clave de sesión SSL.

Una vez elegido el método de cifrado, el cliente VPN SSTP envía una petción HTTP sobre SSL (HTTPS) con un mensaje de solicitud a la puerta de enlace VPN SSTP para negociar el tunel SSTP y establecer la conexión con el servidor. Una vez establecido el tunel SSTP, se negocia una conexión PPP con el servidor SSTP. Esta negociación incluye autenticar las credenciales del usuario utilizando métodos de autenticación estándar PPP - incluso autenticación EAP - y los parámetros de tráfico IPv4 o IPv6.

En la siguiente imagen podemos ver la arquitectura del protocolo VPN. SSTP tiene un encabezado adicional en comparación con los otros dos protocolos VPN. Porque hay encapsulación HTTPS a la cabecera SSTP. L2TP y PPTP no tienen encabezados de capa de aplicación encapsulando la comunicación.


Figura 1: Diagrama de funcionamiento VPN SSTP

============================================================================
- Forefront TMG 2010: Conexiones VPN con SSTP (1 de 3)
- Forefront TMG 2010: Conexiones VPN con SSTP (2 de 3)
- Forefront TMG 2010: Conexiones VPN con SSTP (3 de 3)
============================================================================

============================================================================
- Forefront Online Protection for Exchange: Administración Central (1 de 5)
- Forefront Online Protection for Exchange: Administración Central (2 de 5)
- Forefront Online Protection for Exchange: Administración Central (3 de 5)
- Forefront Online Protection for Exchange: Administración Central (4 de 5)
- Forefront Online Protection for Exchange: Administración Central (5 de 5)
============================================================================

Con esta entrada llegamos al final del repaso a Forefront Online Protection for Exchange, esperando que os hayamos dejado una visión completa de la consola de administración de la herramienta.

Panel Mis Informes

El siguiente panel en la consola de Administración de FOPE es la dedicada a la generación de informes. Mediante el enlace Nuevo informe vamos a poder generar informes detallados del servicio.


Figura 20: Generación de nuevo informe desde Mis Informes

Ahora tan solo nos queda establecer un nombre de informe, como por ejemplo aquel que nos muestre el informe de correo electrónico no deseado y seleccionar en el apartado Tipo de informe la categoría correspondiente al informe deseado, en nuestro caso Informe de tráfico de correo electrónico, para proceder a seleccionar la casilla de verificación correspondiente a Correo no deseado.


Figura 21: Informe de correo electrónico no deseado

Una vez generados los informes y esperado el tiempo de recolección de datos oportuno, tan solo hemos de hacer clic sobre el informe para que podamos acceder a los datos para su análisis. Los informes, al ser generados con el motor de reporting services a bajo nivel, admiten algunas de las características proporcionadas por dicha plataforma, como por ejemplo la posibilidad de exportarlos a otro formato, como puede ser Microsoft Excel o Adobe PDF.


Figura 22: Visualización de informe de tráfico de correo electrónico

Panel Herramientas

Por último, para acabar con las opciones proporcionadas a través de la consola de administración de FOPE, hemos de hacer mención al panel de Herramientas. Dicho panel se incluye en el entorno para realizar un correcto seguimiento de los mensajes pudiendo acceder también a los eventos generados por el servicio. En el panel se proporcionan dos secciones:

Seguimiento de mensajes: Permite realizar un seguimiento de los mensajes que procesados por FOPE.


Figura 23: Seguimiento de mensajes mediante parámetros de búsqueda

La sección Seguimiento de mensajes permite realizar búsquedas de mensajes mediante filtros personalizados que podemos configurar mediante la zona Parámetros de búsqueda. En dicha zona podemos filtrar los mensajes a buscar utilizando un determinado rango de tiempo (fecha de inicio o de finalización) pudiendo indicar la dirección del remitente o del destinatario a buscar.

Traza de auditoría: esta característica nos permite realizar un seguimiento de los eventos más importantes que se han producido en el servicio. Desde esta ficha podemos visualizar los eventos relacionadas con un determinado usuario, permitiendo que se puedan ordenar por determinados tipos de eventos (eventos de auditoría, de creación, de actualización, etcétera).


Figura 24: Trazas de auditoría con posibilidad de ordenamiento

============================================================================
- Forefront Online Protection for Exchange: Administración Central (1 de 5)
- Forefront Online Protection for Exchange: Administración Central (2 de 5)
- Forefront Online Protection for Exchange: Administración Central (3 de 5)
- Forefront Online Protection for Exchange: Administración Central (4 de 5)
- Forefront Online Protection for Exchange: Administración Central (5 de 5)
============================================================================

En Seguros con Forefront no es la primera vez que hablamos sobre este servicio de Microsoft del que ya se hacía referencia en la serie de entradas Windows Intune Malware Protection: Windows Intune y Forefront Endpoint Protection. Una herramienta que ayuda a gestionar la seguridad de los equipos haciendo uso desde la nube. Es por eso que no queríamos perder la oportunidad de comentaros las nuevas características que incluye la versión 2.0 que ya está en fase beta y disponible para descarga.



Como ya vimos en las entradas referenciada anteriormente, Windows Intune es uno de los servicios que Microsoft ofrece basado en la nube, destacando del mismo como característica principal la posibilidad de gestionar la seguridad de los equipos desde una consola web centralizada, facilitándo así la administración y securización de nuestros equipos. Esta versión beta de Windows Intune 2.0 incluye nuevas características importantes como son:

• Simplificación de las tareas de distribución de software y actualizaciones: En conjunto con las actualizaciones de Microsoft, Windows Intune permite desplegar también aplicaciones y actualizaciones de terceros a nuestros pc´s administrados.

• Administración de todas las licencias de software: Mejora en el modo de gestionar todas sus licencias de software y llevar un seguimiento de todas ellas, como Microsoft Retail, OEM y licencias de terceras partes así como los licenciamientos por Volumen.

• Obtención de mejor reporte de hardware: Mayor facilidad para ver y crear reportes de hardware de todos sus equipos incluyendo datos como: fabricante, memoria instalada, velocidad de CPU o espacio de disco disponible en la máquina.

Para incluir en esta versión 2.0 de Windows Intune las características mencionadas anteriormente, Microsoft ha recogido información aportada por administradores de puestos de trabajos, y diversos directivos de áreas técnicas. De este modo, teniendo en consideración sus indicaciones, se ha dado forma a esta segunda versión.

Windows Intune ha quedado preparada para poder unirse a la plataforma en la nube de Office 365 en un futuro próximo, aunque por parte de Microsoft no hay fecha prevista para ello. El coste de Windows Intune es de 11$ por equipo y mes, costo que probamente quede absorbido por el esquema de precios de Office 365 en el momento de la incorporación de Windows Intune. Esta versión de Windows Intune beta solo permite la administración de 10 equipos durante un periodo de 30 días.
 

Durante la semana que viene se van a realizar en Madrid, en las oficinas de Microsoft Ibérica en Madrid, 6 seminarios Hands On Lab dedicados a tencnologías Microsoft Windows en la empresa. Durante esta semana se tocarán tecnologías de virtualización, gestión de sistemas con Ssytem Center o el uso de IPv6 dentro de las redes de la empresa. Este es el calendario que hay previsto:

18 - Microsoft Windows Server 2008 R2: Virtualización de Servidores
18 - Microsoft System Center Virtual Machine Manager 2008 R2 SP1
19 - Microsoft Windows Server 2008 R2: Alta Disponibilidad de Máquinas Virtuales
20 - Microsoft Windows Server 2008 R2. IPv6
20 - Microsoft System Center Virtual Machine Manager Self-Service Portal 2.0
21 - Infraestructura de una empresa con IPv6
22 - Seguridad de Red con IPv6

Además, la última semana del mes de Julio hay planificado un calendario de Virtual Hands On Lab dedicados al análisis Forense.