Muchas empresas desean presentar sistemas uniformes de presentación para sus servicios. Para ello por ejemplo suelen incorporar logotipos de la organización o bien cambiar los textos para la unicidad de los sitios web. Una de las características de los portales que aporta MS Forefront Unified Access Gateway UAG 2010 es precisamente la capacidad para alterar su contenido y ajustarlo a las necesidades de la empresa. Prácticamente todo el contenido del mismo puede ser personalizado.

Los portales de MS Forefront UAG 2010 están basados en una aplicación ASP.Net que hace uso de la tecnología AJAX (Asynchronous JavaScript and XML). Cada uno de los portales proporciona un número de portales frontales, en función de la plataforma del dispositivo que acceda al mismo:

- Computer: Equipo que cuente con sistema operativo Windows, MAC OS X o Linux y como navegador Internet Explorer, Firefox o Safari.

- Other computer: Equipos con otros navegadores como Opera.

- Premium mobile: Dispositivos móviles ejecutando Windows Mobile o Apple iPhone.

- Non-premium mobile: Otros dispositivos móviles diferentes de los anteriormente citados.

Los elementos base de la estructura de la aplicación web se encuentran localizables en la siguiente ruta:

...\Microsoft Forefront Unified Access Gateway\von\PortalHomePage


Figura 1: Ruta de acceso a la configuración del portal

La siguiente imagen muestra la estructura del directorio y la localización de los elementos personalizables.

Figura 2: Estructura de carpetas del contenido web del portal

Cada uno de los elementos que permiten su configuración presenta una carpeta denominada CustomUpdate. Aquí se dejarán los ficheros que deseen alterarse una vez que se hayan copiado de la ruta original. El sistema utilizará los ficheros existentes en estas carpetas en vez de los originales. Este mecanismo permite realizar modificaciones controladas sin que se alteren los originales. En caso de que el cambio no resulte satisfactorio bastará con eliminarlo para que los cambios sean revertidos.


Figura 3: Carpeta CustomUpdate

En post posteriores se mostrarán algunos ejemplos de cambios que pueden realizarse sobre un portal basado en tecnología de MS Forefront Unified Access Gateway UAG 2010.
 

============================================================================
- MS Forefront Unified Access Gateway: Creación de Políticas de Seguridad de Acceso [I de IV]
- MS Forefront Unified Access Gateway: Creación de Políticas de Seguridad de Acceso [II de IV]
- MS Forefront Unified Access Gateway: Creación de Políticas de Seguridad de Acceso [III de IV]
- MS Forefront Unified Access Gateway: Creación de Políticas de Seguridad de Acceso [IV de IV]
============================================================================

Políticas basadas en complemento gráfico

Por contra al uso de expresiones, el otro modo de crear políticas es a través de un sistema gráfico. Éste, aunque no es tan flexible, permite definir condiciones a aquellos administradores que no trabajen habitualmente con VBScript. Como en el caso de las expresiones se diferencia también el tipo de plataforma sobre el que trabajar, aunque ya se realiza desde la propia política.

Decidida la plataforma sobre la que se trabajará, el editor de políticas correspondiente mostrará las variables en modo gráfico que podrán utilizarse. En esta circunstancia las operaciones lógicas con las que se pueden trabajar son menores: “AND” y “OR”. La siguiente figura muestra un ejemplo de política para sistemas Windows donde se han incluido una serie de condiciones a evaluar en la seguridad final del cliente.


Figura 7: Política de seguridad a través del editor de expresiones

Para cada componente Microsoft Forefront Unified Access Gateway UAG 2010 presenta una serie de elementos con los que trabajar. Principalmente se basan en consultas WMI con la que recoger en el cliente los estados de cada uno de los elementos. La siguiente imagen, muestra las condiciones de antivirus que debería tener el cliente para el cumplimiento de la seguridad exigida.


Figura 8: Definición del componente antivirus

Además de habilitar el componente, el administrador podrá definir los valores mínimos para versión y actualización que deberá presentar el producto para considerarlo dentro de las normas de cumplimiento. Hay que tener cuidado en este aspecto puesto que cualquier valor planteado incoherentemente implicaría el no cumplimiento de la política y por lo tanto se le denegaría el acceso.

Si por necesidad, una política que inicialmente se plantea en modo gráfico, se decide que hay que meter ciertos operadores más complejos, podrá optarse por convertirla en Script. Este proceso permitirá tratar la política como si fuera una expresión.


Figura 9: Conversión de la política en Script

El proceso de creación en script es irreversible y en adelante deberá tratarse la política como cualquiera otra de tipo expresión. La siguiente imagen muestra la conversión realizada en modo script, de la política de seguridad que se había creado anteriormente en modo gráfico.


Figura 10: Modo expresión de la “Política de seguridad de la organización”

============================================================================
- MS Forefront Unified Access Gateway: Creación de Políticas de Seguridad de Acceso [I de IV]
- MS Forefront Unified Access Gateway: Creación de Políticas de Seguridad de Acceso [II de IV]
- MS Forefront Unified Access Gateway: Creación de Políticas de Seguridad de Acceso [III de IV]
- MS Forefront Unified Access Gateway: Creación de Políticas de Seguridad de Acceso [IV de IV]
============================================================================

============================================================================
- MS Forefront Unified Access Gateway: Creación de Políticas de Seguridad de Acceso [I de IV]
- MS Forefront Unified Access Gateway: Creación de Políticas de Seguridad de Acceso [II de IV]
- MS Forefront Unified Access Gateway: Creación de Políticas de Seguridad de Acceso [III de IV]
- MS Forefront Unified Access Gateway: Creación de Políticas de Seguridad de Acceso [IV de IV]
============================================================================

Políticas basadas en expresiones

El sistema basado en expresiones permite una mayor flexibilidad, a la hora de manejar condiciones, que el que proporciona el componente gráfico. El editor de expresiones está basado en lenguaje VBScript, permitiendo el uso de los operadores lógicos “AND”, “OR” Y “NOT”. La siguiente figura muestra un ejemplo de política basada en expresión, donde se determina la necesidad de tener el Firewall de Windows activo para cumplir las condiciones de seguridad que se le exigen a un cliente.



Figura 4: Política de seguridad a través del editor de expresiones

Se podrá optar por utilizar cualquiera de los modelos de expresiones ya creados o bien crear una política nueva. Cuando se decide crear una política basado en expresiones, lo primero que salta a la vista es que el editor de expresiones, también permite su diferenciación entre las plataformas manejadas por el producto.


Figura 5: Creación de política basado en expresiones

Para cada una de las plataformas deberán crearse las condiciones oportunas. Cada tipo de sistema operativo, presenta características diferenciadoras, de tal forma que las expresiones de uno no serán válidas para los otros. Microsoft Forefront Unified Access Gateway 2010 proporciona las variables necesarias reconocidas a través de los datos que proporcionará bien el Applet Java como el ActiveX en función de la plataforma.


Figura 6: Variables para su uso en políticas de expresiones

============================================================================
- MS Forefront Unified Access Gateway: Creación de Políticas de Seguridad de Acceso [I de IV]
- MS Forefront Unified Access Gateway: Creación de Políticas de Seguridad de Acceso [II de IV]
- MS Forefront Unified Access Gateway: Creación de Políticas de Seguridad de Acceso [III de IV]
- MS Forefront Unified Access Gateway: Creación de Políticas de Seguridad de Acceso [IV de IV]
============================================================================

============================================================================
- MS Forefront Unified Access Gateway: Creación de Políticas de Seguridad de Acceso [I de IV]
- MS Forefront Unified Access Gateway: Creación de Políticas de Seguridad de Acceso [II de IV]
- MS Forefront Unified Access Gateway: Creación de Políticas de Seguridad de Acceso [III de IV]
- MS Forefront Unified Access Gateway: Creación de Políticas de Seguridad de Acceso [IV de IV]
============================================================================

Cuando una organización plantea una estrategia de acceso tipo VPN o la presentación de las aplicaciones corporativas a través de un portal, se plantea en primera instancia como garantizar que el que accede, es el que debe. A veces se está tan preocupado por este hecho que se obvian otros detalles también muy importantes. Podrá garantizarse que el usuario que accede es quien dice ser, pero ¿podrá estar seguro de que sus condiciones de seguridad son óptimas? El hecho de que acceda con un usuario y contraseña válida no implica que su equipo sea seguro, o simplemente que lo haga desde el que le ha proporcionado la empresa. La movilidad ofrece muchos beneficios pero también trae algún inconveniente y la seguridad debe extremarse en estas circunstancias.

Un usuario remoto, se encuentra normalmente fuera del alcance de administración de la organización. Se desconoce su estado, sin embargo puede llegar a sistemas y datos sensibles de la organización, por lo tanto hay que extremar dichas precauciones. No se sabe en qué escenario se está realizando la conexión. Bien podría ser desde su casa o compartiendo la conexión Wifi en un aeropuerto con otros muchos usuarios. Tendrá los sistemas de seguridad como antivirus o firewall desactivados, porque cierta aplicación que se instala en esa máquina así lo requiere o bien estarán, pero no mantenidos convenientemente. El control de esas máquinas debería extremarse más aún, precisamente por su lejanía y los riesgos a los que pueden verse sometidas fuera de la red de la empresa.

Microsoft Forefront Unified Access Gateway 2010, presenta soluciones a esta necesidad. Proporciona metodologías para controlar el acceso de las máquinas hacia la red interna de la organización, permitiendo evaluar las condiciones de seguridad que presentan. Determinando finalmente si permitirá o no el acceso. Esta seguridad es muy granular, de tal forma que pueden darse políticas de seguridad diferentes, según que aplicaciones.

Sistemas, servicios o aplicaciones más críticas de negocio exigirán mecanismos más restrictivos que aquellas que sean de uso más general. En base a esto, la organización deberá estimar inicialmente a través de un análisis de riesgos la seguridad que deberá plantear. Para las estrategias de seguridad Endpoint Microsoft Forefront Unified Access Gateway 2010, proporciona dos alternativas de control:

- Sistemas propios del servicio.
- Integración con la solución de protección de acceso a redes (NAP).

Estos sistemas son excluyentes y deberá optarse bien por utilizar uno u otro mecanismo. Durante la creación del portal, se determina qué tipo de seguridad se utilizará para el mismo, tal y como se vio en post anteriores.

A lo largo de este artículo se abordará la seguridad que proporciona el sistema, heredado de su antecesor Microsoft Intelligent Applicantion Gateway 2007. Como se ha comentado las posibilidad que se abren son muchas, pudiendo ser ampliadas a sistemas no Microsoft, como lo que se planteo en el post de soporte de políticas Forefront UAG a plataformas Linux y MacOS.

La implementación de políticas no es equivalente en cada aplicación o servicio publicado, así como tampoco lo es de cara al portal de acceso. Cada tipo de aplicación puede presentar diferente seguridad en función de lo qué se puede hacer con la misma.

============================================================================
- MS Forefront Unified Access Gateway: Creación de Políticas de Seguridad de Acceso [I de IV]
- MS Forefront Unified Access Gateway: Creación de Políticas de Seguridad de Acceso [II de IV]
- MS Forefront Unified Access Gateway: Creación de Políticas de Seguridad de Acceso [III de IV]
- MS Forefront Unified Access Gateway: Creación de Políticas de Seguridad de Acceso [IV de IV]
============================================================================

Microsoft Forefront Unified Access Gateway UAG 2010 constituye uno de esos curiosos ejemplos donde se brinda funcionalidad multiplataforma. Aunque el producto se implementa sobre solución servidor Microsoft, tal y como se vió en los post de Instalación de Forefront UAG, proporciona mecanismos de autenticación para un buen número de sistemas no Microsoft. Desde el punto de vista del acceso, también clientes de otras plataformas como Linux o MacOS, se ven favorecidos por las características que aporta Microsoft Forefront Unified Access Gateway UAG 2010. Permite para ello configurar opciones de seguridad Endpoint también para este tipo de plataformas, pudiendo configurar un buen número de patrones de análisis.

Para conseguir esta funcionalidad en las plataformas Linux y MacOS son necesarios los siguientes elementos:

- Linux: Componente de cliente Java de Microsoft Forefront Unified Access Gateway en navegadores Firefox 3.0.x o Firefox 3.5.x o superior.
- MacOS: Componente de cliente Java de Microsoft Forefront Unified Access Gateway en navegadores Firefox 3.0.x, Firefox 3.5.x, Safari 3.2.x o Safari 4.0.x o superiror.

El acceso y las comprobaciones de seguridad en el endpoint se realizan mediante la instalación de un componente Java a nivel de navegador. Para ello se requiere tener instalado la versión 1.5 de JR y que la instalación de los siguientes componentes se realice con una cuenta con privilegios administrativos en la máquina cliente:

- Endpoint Detection Java Applet.
- Endpoint Session Cleanup Java.


Figura 1: Necesidades de configuración en cliente

Como se puede ver en la Figura 1, el mensaje de error informa de los pasos a seguir. La descarga del componente JRE puede realizarse desde la página web de Java. Descargado e instalado el complemento según la distribución correspondiente, sólo queda comprobar su activación a través de los complementos correspondientes del navegador. Tras la realización de esta configuración en la máquina y en función de las políticas de acceso marcadas en Microsoft Forefront Unified Access Gateway UAG 2010, el usuario tendrá acceso al portal de aplicaciones.


Figura 2: Políticas de acceso para sistemas Linux