A menudo en las organizaciones el tratamiento de cada departamento o rol de empresa, en lo concerniente al acceso a Internet, presenta unas peculiaridades que hacen necesario aplicar excepciones a las condiciones generales. Así por necesidad determinadas áreas como la de seguridad necesitarán tener acceso a web maliciosas para la realización de pruebas o la descarga de aplicaciones con la que realizar determinados test. En otras circunstancias roles o usuarios VIP podrían solicitar condiciones particulares para el acceso a determinadas web como pueden ser las de Poker Online.

La características aportadas por MS Forefront TMG 2010 ofrece dos opciones para garantizar el acceso. Permite el establecimiento de filtrados por categorización de URLs o haciendo uso del objeto gestionado conjunto de URL, de tal forma que estas pueden integrarse en las reglas del firewall para permitir o denegar el acceso en función de dichas características. Tomando como ejemplo vínculos a Juegos de Poker, se podrían establecer condiciones para que determinados usuarios de la organización tuvieran acceso a las mismas, mientras que el resto no.

En el caso del servicio de reputación de Microsoft (MSR), esta web se encuentran categorizada como de Apuestas. Por lo tanto para hacer factible el acceso a determinados usuarios, sería necesario la creación de una regla de acceso haciendo factible el acceso a los usuarios correspondientes a dicha categoría tal y como se muestra en la siguiente imagen.


Figura 1: Regla de acceso para permitir tráfico a sitios de Apuestas

En el caso de que la posibilidad sea acceder solamente a determinados sitios como los definidos en el ejemplo, la posibilidad sería el uso del objeto conjunto de URL que sustituiría a la categoría apuesta en la anterior regla creada. Esto permitiría filtrar aún más a que sitio se accede, dando permiso de acceso únicamente al solicitado por las personas correspondientes.


Figura 2: Objeto conjunto de URL

De esta forma si alguien especial, necesita acceso particular a una web, a través de las funcionalidades que aporta MS Forefront TMG 2010 esto sería factible.

El pasado 15 de Junio el equipo de producto de MS Forefront TMG 2010 puso a disposición pública el Software Update 1 Rollup 4 para el Service Pack 1 de Forefront TMG 2010. Este paquete acumulativo de hotfixes recoge las soluciones aplicadas para 11 casos de soporte documentados en la knowledge base, los artículos son:



- 2518663: El escaneo de ficheros tarda demasiado cuando se aplica la opción de "Bloquear ficheros de tamaño mayor que (MB)".
- 2518670: Los usuarios se tienen que reautenticar y se les deniega el acceso por una regla "All users" cuando la propieadad ReturnAuthRequiredIfAuthUserDenied está configurada a True.
- 2527291: Parte del contenido es enviado a los clientes cuando la inspección de malware está activa.
- 2518676: El último paquete ACK en una conexión SecureNAT ordenada es dropeado.
- 2518684: Conexiones salientes pueden fallar cuando la inspección HTTPS está activa y se dan timeouts.
- 2512710: El servicio wsprsrv.exe puede fallar cuando el filtro DiffServ está activo.
- 2493655: Conexiones de log a una base de datos SQL Server puede fallar si el "-" está en el nombre de la base de datos.
- 2512719: Cuando se instala Forefront UAG, TMG se instala primero y el servidor da un crash con el error "DRIVER_IRQL_NOT_LESS_OR_EQUAL".
- 2545464: No se puede conectar a un servidor HTTPS que no soporta TLS 1.0 si HTTPS inspection y HTTPSiClientProtocols están activados.
- 2535453: Se produce la alerta "E-Mail Policy - Configuration Reapplied" cuando se elimina un filtro de correo Forefront TMG.
- 2535454: Se produce la alerta "E-Mail Policy - Configuration Reapplied" cuando no están seleccionadas las opciones de escanear correos salientes o entrantes.

Hay que recordar que todos los hotfixes son aplicados en la siguiente revisión del prodcuto y que deben aplicarse cuando los errores se estén produciendo en el entorno de producción.
 

El próximo día 17 de Mayo, en horario de tarde de 16:30 a 17:30, la empresa ADMTools, mayorista en España de los productos de seguridad de la empresa GFI, realizará un seminario gratuito a través de Internet, llamados Webinars, sobre el producto GFI Webmonitor para Forefront TMG 2010. Este Webminar mostrará, con demostraciones, el funcionamiento de la solución para filtrar y asegurar la navegación por Internet, asi como la configuracion y generacion de informes.

El registro es totalmente gratuito, y puedes reservar tu plaza a través del siguiente enlace: Webinar GFI Webmonitor
 

En anteriores artículso se ha tratado el tema de la publicación de un servidor Https haciendo uso de la funcionalidad bridging. Sin embargo en ocasiones es factible que una empresa desee emplear el mecanismo de publicación un servidor web seguro sin recurrir al sistema de bridging. Simplemente desean establecer el túnel de acceso al servidor Https a través del servidor MS Forefront Threat Management Gateway TMG 2010.

En este modo tanto los procesos de autenticación como la gestión y envío de certificados recaerá directamente sobre el servidor web. El servidor perimetral simplemente se encargará de recibir las tramas y remitirlas al servidor correspondiente mediante NAT. Para la realización de esta publicación, deberá emplearse el asistente que se proporciona a través de la consola de una regla de publicación de un protocolo no web.


Figura 1: Regla de publicación de protocolo no web

El asistente comenzará determinando la dirección IP del servidor interno al que se enviará la información. Hay que tener en consideración que este mecanismo de publicación no basa la conectividad en nombres de encabezados host, solo en direccionamiento IP. Una vez definido este, será el momento de establecer el protocolo a publicar. De forma predeterminada se encuentra para utilización el protocolo Https Server.


Figura 2: Selección del protocolo

En caso de que la publicación Https se realice por un puerto diferente del 443, tendrán que tenerse en consideración las condiciones de creación de protocolo en cuento a conexiones entrantes o salientes.

El último paso consistirá en definir la red y direcciones IP de escucha para esta regla de publicación. Tras la aplicación de los cambios, se encontrará publicado un servidor Web Seguro en modo túnel.
 

============================================================================
- Forefront TMG 2010: Protocol Message Definitions (1 de 3)
- Forefront TMG 2010: Protocol Message Definitions (2 de 3)
- Forefront TMG 2010: Protocol Message Definitions (3 de 3)
============================================================================

Creación de nuevos mensajes de protocolos

Es posible que determinados administradores deseen que no se realicen análisis antimalware a determinadas condiciones de tráfico HTTP, para ello podrán crear nuevas definiciones a través de un Script creado por Microsoft creacion.vbs (6,64 kb). Para la ejecución del script, deberán establecerse los argumentos con los que se asignarán los parámetros en MS Forefront TMG 2010.

Cscript fichero.vbs /valores
Los valores aplicables con este script son los siguientes:

- /name. Asigna el nombre al nuevo mensaje de protocolo.
- /rqm. Establece valor al parámetro RequestMethod.
- /ua. Establece valor al parámetro RequesUserAgent.
- /rqct. Establece valor al parámetro RequestContenType.
- /ra. Establece valor al parámetro RequestAccept.
- /rsct. Establece valor al parámetro ResponsecontentType.

La siguiente imagen muestra la creación de un nuevo tipo de contenido.


Figura 3: Creación de un nuevo contenido de mensaje de protocolo

El nuevo elemento podrá ser visto a través del script de mostrar contenido.

Eliminación de mensajes de protocolos

La última de las tareas factibles consiste en la eliminación de uno de los elementos existentes. Para ello se ha creado otro script eliminacion.vbs (2,52 kb), que permitirá llevar a cabo esta tarea. Su ejecución se realizará mediante la siguiente sintaxis:

Cscript fichero.vbs NombreDefinicion
La siguiente imagen muestra el resultado de la eliminación de la definición creada previamente.


Figura 4: Eliminación de una nueva definición

============================================================================
- Forefront TMG 2010: Protocol Message Definitions (1 de 3)
- Forefront TMG 2010: Protocol Message Definitions (2 de 3)
- Forefront TMG 2010: Protocol Message Definitions (3 de 3)
============================================================================