El pasado 21 de Octubre, el equipode Forefront Unified Access Gateway 2010 anunció el lanzamiento del Service Pack 1 del producto. Actualmente el producto se encuentra disponible para descarga a través del siguiente enlace: Forefront UAG 2010 Service Pack 1.

El Service Pack, tal y como anuncia el equipo, incluye muchas mejoras en el producto para simplificar los despligues de entornos DirectAccess y mejorar la seguridad de los entornos de colaboración utilizando ADFS 2.0 (Active Directory Federation Services).

Entre las características que tiene el producto para DirectAccess destacan:

- Soporte de One-Time-Passwords.
- Despliegue simplificado y mejoras en el GUI de administración, que incluye funcionaidad que antes requerían de scripting y ajuste manual.
- Mayor flexibilidad en la creación y distribución de politicas GPO para DirectAccess.
- Creación de despligues "Siempre gestionados" que permiten desplegar políticas GPO y siempre gestionar las máquinas sin que se tenga que activar el acceso en los clientes corporativos.
- Soporte de encapsulamiento forzado que obliga a que todo el tráfico de los clientes con DirectAccess sea siempre enviado a través del servidor de DirectAccess corporativo, incluso a Internet.
- Integración del DCA (DirectAccess Connectivity Assistant) dentro del proceso de administración.v - Integración de NAP en la creación de políticas de endpoint.
- Monitorización mejorada y herramientas de troubleshooting con la adición de los diagnósticos DCA e informes del lado del servidor.

Las novedades de ADFS 2.0 en escenarios con Forefront UAG SP1 permiten:

- Soporte de One-time-passwords en DirectAccess.
- Solicitud de autenticación bajo demanda al portal UAG.
- Publicación de aplicaciones bajo demanda.v - Autorización bajo demanda.
- Uso de Single Sign-on para aplicaciones heredadas en usuarios autenticados bajo demanda.
- Single Sign-out.
- Publicación de AD FS 2.0 Server .

El Service Pack 1, según informa el equipo del producto, no sólo añade nuevas funcionalidades, sino que se han mejorado procesos de rendimiendo, escalabilidad y usabilidad en el mismo, para conseguir mejora mucho más la experiencia de usuarios y administradores. En futuros análisis iremos desgranando en Seguros con Forefront las novedades que trae y se publicarán en la página dedicada a Forefront UAG 2010. Puedes obtener más información en el blog del equipo de producto.
 

Microsoft, dentro de la iniciativa Business Ready Security, acaba de lanzar el entorno de pruebas BRS 3.0b. Este entorno está formado por un conjunto de máquinas configuradas para poder realizar sobre ellas diferentes laboratorios - actualmente cinco -. Como se puede ver en la imagen siguiente, el entorno cuenta con 13 máquinas virtuales, en formato VHD.


Figura 1: Máquinas virtuales del entorno BRS

Tal como se observa en el gráfico, entre las 13 máquinas podemos encontrar instalaciones de Forefront Protection for Exchange, Forefront Protection for SharePoint, Forefront Client Security, Actice Directory Federation Services, Active Directory Right Management Services, Forefront Threat Management Gateway 2010, Forefront Identity Manager, Forefront Unified Access Gateway, y, por supuesto, todos los produtos asociados para poder probarlos, es decir:

- Servidor Active Directory.
- Servidor de MS Office SharePoint Server 2007
- Servidor de MS Exchange Server 2010.
- Clientes Windows en la red interna y remotos.

Sobre este entorno, hay 5 laboratorios que pueden realizarse, sobre estas disciplinas:

• Mensagería segura.
• Entornos colaborativos seguros.
• Seguridad en el puesto de trabajo.
• Protección de la informaicón.
• Gestión de identidad y acceso.

A lo largo de sucesivos artículos, desde Seguros con Forefront, iremos desgranando todos los aspectos de los diferentes laboratorios que pueden realizarse. Desde el proceso de instalación, hasta las prácticas que se pueden realizar en cada uno de los entornos.

Puedes descargar todo el manterial de este entorno desde la siguiente URL: Business Ready Security Demo Lab.
 

El pasado 14 de Abril se puso disponible para descarga una actualización de MS Forefront Unified Access Gateway UAG 2010 conocida como Forefront UAG Update 1. Esta actualización del producto, además de solucionar todos los bugs e incorporar los parches conocidos y publicados hasta el momento, es decir, como si fuera un hotfix roolup, viene acompañada de las siguientes mejoras y nuevas características:

- Acceso a escritorios remotos desde Windows Vista y Windows XP: Con esta nueva versión, los clientes que corran Windows Vista y Windows XP podrán acceder a Aplicaciones Remotas y Escritorios Remotos publicados a través de MS Forefront UAG.

- Soporte para Microsoft Office Forms Based Authetication [MSOFBA]: Los MSOFBA se basan en una especificación utilizada para desarrollar funcionalidades en aplicaciones web con capas de seguridad, muy utilizadas en entornos SharePoint. Cone sta actualización MS Forefront UAG permite publicar las aplicaciones basadas en ella.

- Soporte de Cookies de web site: Hasta el momento MS Forefront UAG soportaba cookies de dominio en aplicaciones web, pero desde esta actualización es posible utilizar cookies de site en arquitecturas de mantenimiento de sesión y balanceo de carga complejas.

- Suporte de ficheros de configuración CustomUpdate de hasta 1.5 Gb de tamaño.

- Soporte de MS SharePoint Server 2010: MOSS 2010 ha completado su ciclo este mes y MS Forefront UAG 2010 es totalmente funcional con esta versión.

- Cambios en los objetos de política GPO para el provisionamiento de clientes en entornos DirectAccess: MS Forefront UAG Update 1 soluciona un problema que causaba que el script de exportación que creaba la GPO fallara y un fallo que causaba que la GPO que se aplicara a todos los usuarios autenticados en un domino (incluidas las cuentas de máquina), en lugar de únicamente a los usuarios de DirectAccess.

Tienes más información del lanzamiento en el Blog del equipo de producto y puedes descargar la versión desde el Download Center: Descargar MS Forefront UAG Update 1
 

Con la inminente llegada del lanzamiento de la familia de productos Forefront en España, que tendrá lugar durante el primer trimestre del año que viene, hemos querido acercarnos a hablar con Raúl Moros, de Kabel, premiado con el galardón de Microsoft Most Valuable Professional en tecnologías Forefront y hacerle unas preguntas. Éste es el resultado.



Raúl Moros, MVP en tecnologías Forefront

1.- Hola Raúl, cuentanos ¿cómo se llega a ser MVP de Forefront? ¿Desde que año lo eres?

Como mucha gente sabe el galardón de MVP reconoce la experiencia y el conocimiento en alguna disciplina y que compartas ese conocimiento con la comunidad. En cuanto al conocimiento, no hay trucos, tiene que gustarte lo que haces y si disfrutas con ello se acaba convirtiendo casi en un hobby. En cuanto a la manera de compartir, hay muchas opciones: foros, grupos de noticias, charlas, webcasts, participación en eventos...A partir de ahí, alguien cree que eres merecedor del MVP, te propone, se evalúan tus méritos y cada año se va renovando. Me otorgaron el premio en Abril de 2008 y ahora en Enero toca renovar. Se lo pediré a los Reyes Magos.


2.- Dime tres características que sean diferenciadoras de Forefront UAG.

En general, como concepto, diría que la principal característica es el cambio de mentalidad en el acceso remoto. El foco no se pone en el acceso a la red sino en el acceso a las aplicaciones y eso es muy importante porque a cada cual le estamos dando sólo lo que necesita y no exponemos nuestros activos internos de manera indiscriminada. Centrándonos en soluciones SSL VPN diría que la primera caracteríticas diferencial de UAG es el control del punto de acceso, el poder condicionar el acceso a aplicaciones o a acciones dentro de las mismas (una subida o una bajada de un fichero, p.ej) dependiendo de que se cumplan ciertos requisitos en la estación del usuario. Más teniendo en cuenta que esta detección se puede realizar no sólo en sistemas operativos Windows sino también en Linux o Mac. La segunda es la inspección de URL y filtrado de contenidos, el poder modelizar las aplicaciones web de manera que sólo permitas acciones legítimas dentro de la aplicación. La última es la flexibilidad; la mayoría de las necesidades están cubiertas con funcionalidad por defecto, pero si necesitas algo especial, la plataforma es abierta como para poder desarrollar a medida caso todo lo que se te ocurra. Diría que es como un puzzle en el que dependiendo de cómo coloques las piezas puedes obtener siempre una foto diferente.


3.- ¿Has tenido alguna experiencia profesional de las tecnologáis Forefront en grandes empresas?

Las he tenido, sí, ¡¡y espero tener muchas más!! Hace años, cuando en una misma frase juntabas las palabras "Microsoft" y "Seguridad" obtenías "Vulnerabilidad" (o el corrector ortográfico te decía que eran términos incompatibles). Hoy, si juntas esas mismas palabras obtienes "Soluciones". Te podría hablar de casos de éxito con IAG, ISA Server, Forefront Client, Forefront for Exchange. Estoy ya haciendo y planificando pilotos de las nuevas versiones que están saliendo, como por ejemplo TMG. Las grandes empresas suelen ser un buen termómetro para medir las tecnologías porque sus necesidades suelen ser más complejas. No estoy diciendo que la seguridad sea más o menos importante dependiendo del tamaño de la empresa, sencillamente la casuística de una gran empresa es mayor a la de una pequeña y hasta ahora las experiencias están siendo muy buenas.


4.- ¿Se puede instalar UAG en servidores o sólo funciona en Appliances?

UAG va a estar disponibles en distintos sabores. Se podrá descargar el software e instalarlo en un servidor físico, se podrá instalar como una máquina virtual o se podrá adquirir un appliance con todo pre-instalado. Para gustos están los sabores.


5.- ¿Qué ventajas traerá la nueva versión de Forefront Client Protection 2010 con respecto a Forefront Client Security?

Te cuento lo que el NDA me permite y lo que hemos podido ver en Betas públicas. Sabes que el producto está en fase de desarrollo y podrían cambiar cosas de aquí a que salga. Por lo que se ha visto hasta ahora la idea es que dentro del mismo producto se puedan incluir otras defensas de la plataforma además del motor antimalware (virus y spyware) existente. Hemos podido ver una integración con el firewall personal (para imponer políticas conjuntamente), una prevención de intrusiones (al estilo del NIS de TMG), una extensión de NAP, informes de vulnerabilidades en la configuración del sistema operativo o aplicativos (Interner Explorer, SQL, IIS...), control de dispositivos extraíbles... Y todo ello integrado en una plataforma de gestión única y centralizada (FPM 2010) desde la que se pueden administrar políticas, recoger eventos, tomar acciones...Pero ya te digo que todavía no hay versión definitiva.


6.- Raúl, ¿cómo fue tu experiencia laboral para acabar trabajando en seguridad?

Yo empecé en el mundo de la administración de sistemas (con Novell, Windows 3.11 y NT 3.51). Luego me pasé a la consultoría. Comunicaciones, routers, switches, planes de direccionamiento IP, dominios NT...¡Dios, parezco el abuelo cebolleta! Empecé a hacer instalaciones de firewalls, antivirus, productos de alta disponibilidad, autenticación, en fin, el concepto que muchos teníamos de seguridad por entonces. Un día fui a un curso de desarrollo de aplicaciones web seguras que daba Instisec con Cuartango y Gonzalo Alvárez Marañón y aquello me abrió los ojos a otras cosas (eternamente agradecido). Mi mundo era más el networking y los sistemas, el desarrollo me quedaba un poco de lado. Claro, tampoco entendía todo lo que explicaban, pero me valió para empezar a curiosear otros mundos. Esa es la peor fase porque empiezas con muchas ansias de verlo todo y poco a poco te desesperas porque sientes que la seguridad abarca tantas y tantas cosas que es imposible llegar a todo. Luego fui asimilando también conceptos de gestión de la seguridad, normativas (NIST, ISO 17799, Cobit...) y creo que ahora estoy en un punto de equilibrio entre ambos mundos aunque en el fondo me sigo considerando un amateur porque sigue habiendo tantas y tantas cosas que aprender.


7.- NAP, DirectAccess o UAG, ¿qué ventajas o inconvenientes para controlar el acceso a la red tiene cada uno de ellos?

Diría que cada uno cubre un escenario diferente. Si quieres un control local de acceso necesitarás tecnologías como 802.1x que puedes complementar con NAP. Si el acceso es remoto y de usuarios internos con estaciones gestionadas te puedes quedar con DirectAcces y si quieres extender el acceso a otros usuarios no internos o la infraestructura no te lo permite tienes UAG, al margen del control que proporciona UAG del que ya hemos hablado.


8.- ¿Y se puede poner todo junto?

aquí diría que puedes hacer combinaciones de tres elementos pero tomados de dos en dos. El promiscuo del grupo es NAP. NAP complementa los requisitos de acceso tanto de DirectAcces como de UAG. UAG y DirectAcces son dos maneras diferentes de acceder, aunque el servidor de UAG integra también la función de DirectAccess de manera que reduces las necesidades de infraestructura.


9.- Y para administrar todos los productos de seguridad de una empresa, ¿qué se puede usar hoy en día?

¡¡ Externalizar la gestión de la seguridad !! Creo que a día de hoy se necesita mucho recurso humano porque muchas veces los proveedores de las soluciones son dispares y no se pueden administrar conjuntamente, al margen de que no hablan entre ellas. Creo que es un aspecto en el que los proveedores tiene que trabajar y el que lo consiga tiene ya mucho ganado. En ese sentido Microsoft ha dado un primer paso con FPM 2010 no sólo para centralizar la gestión de sus propios productos sino para formar un ecosistema con terceros (en la conferencia RSA de Abril se anunció que fabricantes como Kaspersky, Tipping Point, Juniper o Brocade desarrollarían una integración con FPM 2010 [1].


10.- ¿Te ha tocado la lotería de navidad o vas a tener que seguir trabajando?

No, nos espera otro año con salud. Como dijo el gran Groucho "Hay cosas más importantes que el dinero, pero todas son muy caras" ;-)