Ya llevamos casi dos años completos publicando diariamente un artículo en Seguros con Forefront, y hemos decidido que nos gustaría invitaros a que nos enviéis vuestros propios artículos. La temática puede ser cualquiera de los tocados en este blog, es decir:

Aplicación de los productos de seguridad de Microsoft en entornos domésticos o empresariales
Podrán ser guías, tutoriales, trucos, experiencias o cualquier texto que pueda ayudar a los lectores de este blog a tener un mejor conocimiento de las tecnologías de seguridad de Microsoft. A cambio de vuestra colaboración, premiaremos a los mejores artículos, siempre escritos en Esapañol, con el regalo de un libro de Forefront TMG 2010 o SharePoint 2010: Seguridad.

Por favor, enviad vuestros artículos a la dirección i64@infomatica64.com con el asuntos "Artículo para Seguros con Forefront", los esperamos con interés, y os damos las gracias desde ya por vuestra participación y por leernos diariamente.
 

La nueva vulnerabilidad detectada en los clientes de Forefront TMG 2010, podría permitir una ejecución de código remota. Esta vulnerabilidad nos ha llamado poderosamente la atención al ser una de las pocas vulnerabilidades que se han notificado en los clientes de Forefront TMG y no en el propio Firewall TMG. La vulnerabilidad ha sido reportada en el boletín de seguridad del 14 Junio del 2011.


Figura 1: Vulnerabilidad reportada en el boletín de seguridad de junio de 2011

Para subsanar la vulnerabilidad detectada, Microsoft ha lanzado la actualización MS11-040, la cual afecta solamente al cliente de Forefront TMG 2010, y no a los clientes de versiones anteriores (ISA Server) ni al propio cortafuegos. Una vez aplicada la actualización de seguridad, proceda a restaurar el sistema y compruebe que la versión del cliente 7.0.7734.100 pasa al número de versión 7.0.7734.182.


Figura 2: Actualización de seguridad MS11-040 para el cliente Forefront TMG 2010

La actualización puede ser instalada a través de los mecanismos de actualización disponibles en entornos Microsoft, tales como el sitio de Microsoft Windows Update o tecnologías como Windows Server Update Services (WSUS), o proceder a la detección de actualizaciones de seguridad mediante Microsoft Baseline Security Analyzer.
 

============================================================================
- MS Forefront TMG 2010: Montar una red de cuarentena para VPNs con NAP (1 de 5)
- MS Forefront TMG 2010: Montar una red de cuarentena para VPNs con NAP (2 de 5)
- MS Forefront TMG 2010: Montar una red de cuarentena para VPNs con NAP (3 de 5)
- MS Forefront TMG 2010: Montar una red de cuarentena para VPNs con NAP (4 de 5)
- MS Forefront TMG 2010: Montar una red de cuarentena para VPNs con NAP (5 de 5)
============================================================================

Configuración de políticas NAP en los clientes

Con estas configuraciones ya se ha concluido la parte de los servidores, tanto de MS Forefront TMG 2010 como del servidor con el rol de NPS. Ahora se deben configurar ciertas políticas en los clientes que van a usar el acceso por medio de una conexión VPN, que en este caso se ha realizado mediante el uso de GPOs en el propio Active Directory. Una configuración utilizada habitualmente consiste en habilitar el cliente de cuarentena de EAP en las propiedades del cliente de NAP y habilitar el agente de protección de acceso a redes.


Figura 17: Cliente de cuarentena EAP


Figura 18: Agente de protección de acceso a redes

Establecida la configuración de los equipos cliente para ser compatibles con NAP se debe configurar las opciones del cliente VPN para que se conecte correctamente al servidor de MS Forefront TMG 2010.


Figura 19: Configuración del cliente VPN

Ahora sólo se debe probar el correcto funcionamiento y la conexión a través de la VPN, siendo satisfactoria como muestra la siguiente imagen.


Figura 20: Conexión desde el lado del cliente


Figura 21: Conexión vista en el servidor Forefront TMG 2010

Si deshabilitamos el Firewall de la máquina y lo volvemos a activar vemos como entra en juego el validador de NAP y automáticamente entra en la cuarentena de clientes VPN para salir de ella cuando se resuelva el problema.


Figura 22: Reglas del firewall

============================================================================
- MS Forefront TMG 2010: Montar una red de cuarentena para VPNs con NAP (1 de 5)
- MS Forefront TMG 2010: Montar una red de cuarentena para VPNs con NAP (2 de 5)
- MS Forefront TMG 2010: Montar una red de cuarentena para VPNs con NAP (3 de 5)
- MS Forefront TMG 2010: Montar una red de cuarentena para VPNs con NAP (4 de 5)
- MS Forefront TMG 2010: Montar una red de cuarentena para VPNs con NAP (5 de 5)
============================================================================

============================================================================
- MS Forefront TMG 2010: Montar una red de cuarentena para VPNs con NAP (1 de 5)
- MS Forefront TMG 2010: Montar una red de cuarentena para VPNs con NAP (2 de 5)
- MS Forefront TMG 2010: Montar una red de cuarentena para VPNs con NAP (3 de 5)
- MS Forefront TMG 2010: Montar una red de cuarentena para VPNs con NAP (4 de 5)
- MS Forefront TMG 2010: Montar una red de cuarentena para VPNs con NAP (5 de 5)
============================================================================

Configuración de VPN en Forefront TMG 2010 con NAP

En el siguiente paso se deben poner los métodos de autenticación necesarios para poder usar dentro de la configuración de la VPN que se ha realizado en MS Forefront Threat Management Gateway 2010 uso del sistema NAP, tal y como se ha comentado anteriormente.


Figura 12: Métodos de autenticación

Una vez configuradas las directivas de validación hay que configurar la directiva de red para acceder por medio de una conexión VPN, ya que en la configuración de marcado en las opciones del usuario por defecto se controla el acceso a través de la directiva de red NPS.


Figura 13: Configuración de Marcado de los usuarios

En este caso la directiva está basada en el tipo de servidor VPN-Dial Up y la condición para el acceso es que la dirección del cliente RADIUS que pregunta para autenticar los usuarios sea la dirección interna IPv4 del servidor MS Forefront TMG 2010.


Figura 14: Regla de acceso por VPN


Figura 15: Condición de dirección

La autenticación de esta regla de red debe configurarse para los métodos elegidos anteriormente y se debe elegir el certificado confiable del servidor para la autenticación EAP [Extensible Authentication Protocol], además el cliente de la conexión VPN debe confiar en el emisor del certificado, en este caso la CA del dominio.


Figura 16: Configuración de EAP en NPS

============================================================================
- MS Forefront TMG 2010: Montar una red de cuarentena para VPNs con NAP (1 de 5)
- MS Forefront TMG 2010: Montar una red de cuarentena para VPNs con NAP (2 de 5)
- MS Forefront TMG 2010: Montar una red de cuarentena para VPNs con NAP (3 de 5)
- MS Forefront TMG 2010: Montar una red de cuarentena para VPNs con NAP (4 de 5)
- MS Forefront TMG 2010: Montar una red de cuarentena para VPNs con NAP (5 de 5)
============================================================================

============================================================================
- MS Forefront TMG 2010: Montar una red de cuarentena para VPNs con NAP (1 de 5)
- MS Forefront TMG 2010: Montar una red de cuarentena para VPNs con NAP (2 de 5)
- MS Forefront TMG 2010: Montar una red de cuarentena para VPNs con NAP (3 de 5)
- MS Forefront TMG 2010: Montar una red de cuarentena para VPNs con NAP (4 de 5)
- MS Forefront TMG 2010: Montar una red de cuarentena para VPNs con NAP (5 de 5)
============================================================================

Configuración de Políticas NAP y validación NPS

Para probar el funcionamiento simplemente se configura el validador para que el firewall esté activado en todos los interfaces de red de la máquina que se conectará por VPN a la red, aunque pueden seleccionarse más opciones.


Figura 8: Validador de mantenimiento de seguridad

Después de configurar el validador se tienen que crear las directivas de mantenimiento para luego aplicarlas en la configuración de las directivas de red. Se crean dos políticas de mantenimiento, una política que verifica que el cliente cumple con todas las comprobaciones de salud (en este caso solamente el Firewall) y otra política para cuando el cliente no las supere.


Figura 9: Configuración de políticas de cumplimiento

Ahora se deben crear dos políticas de red, una para cuando el cliente cumple con la directiva de mantenimiento y otra para cuando no la cumple. La directiva de red comprobará la directiva de mantenimiento (Cumple o No cumple) y en función de eso, permitirá el acceso por VPN o el servidor MS Forefront TMG 2010 pondrá el equipo en la rede de cuarentena de VPN. En el asistente de configuración se debe especificar la directiva de mantenimiento elegida y el tipo de acceso que se le concede.


Figura 10: Elección de directivas de mantenimiento


Figura 11: Tipo de acceso

============================================================================
- MS Forefront TMG 2010: Montar una red de cuarentena para VPNs con NAP (1 de 5)
- MS Forefront TMG 2010: Montar una red de cuarentena para VPNs con NAP (2 de 5)
- MS Forefront TMG 2010: Montar una red de cuarentena para VPNs con NAP (3 de 5)
- MS Forefront TMG 2010: Montar una red de cuarentena para VPNs con NAP (4 de 5)
- MS Forefront TMG 2010: Montar una red de cuarentena para VPNs con NAP (5 de 5)
============================================================================