Para hoy, día de navidad, el equipo de Forefront TMG nos ha dejado en Nochebuena una “Felicitación de Mavidad” en forma de paquete de actualizaciones, en concreto la actualización Microsoft Forefront Threat Management Gateway TMG 2010 Service Pack 1 Software Update 1 Hotfix Rollup 2. Este parche acumulativo resuelve cuatro problemas catalogados en sus correspondientes expedientes en la knowledge base, a saber:


- 2452980: La velocidad de carga a través de MS Forefront TMG 2010 es muy lenta en una conexión a Internet de alta velocidad. Este es un problema que ya se estaba tratando y que, para corregirlo en el caso de que se esté produciendo en tu entorno, deberás ejecutar el script contenido en el artículo de esta KB.

- 2478286: La conexión no se bloquea después de que transcurra el tiempo de inactividad en un cliente de OWA 2010 conectado a Exchange Server 2010 publicado a través de Forefront TMG 2010.

- 2484988:Una regla de publicación de servidor DNS deja de funcionar para un servidor DNS que se publica mediante Forefront TMG 2010.

- 2478297: Informes de actividad de usuario creados por Forefront TMG 2010 muestran un valor incorrecto en el rango de datos del informe.

No es obligatorio instalar este paquete si el entorno no está sufriendo ninguno de estos problemas, pero sí es recomendable mantener el sistema lo más actualizado posible. Puedes descargar el software desde la siguiente URL: Descargar MS Forefront Threat Management Gateway TMG 2010 Service Pack 1 Software Update 1 Hotfix Rollup 2.
 

============================================================================
- Instalar Forefront TMG 2010 como Enterprise Management Server (1 de 2)
- Instalar Forefront TMG 2010 como Enterprise Management Server (2 de 2)
============================================================================

El siguiente paso consistirá en la definición del nombre y descripción que recibirá el nuevo sistema de gestión centralizada de empresa para MS Forefront Threat Management Gateway TMG 2010.


Figura 4: Definición de nombres

A efectos de integración en la arquitectura de un dominio, la implementación de un servidor EMS, podrá optarse por dos posibilidades:

- Integración en un dominio.
- Despliegue en un grupo de trabajo.


Figura 5: Despliegue de EMS en un entorno de dominio

El primero se deberá utilizar cuando todo el sistema de MS Forefront TMG da cobertura a una organización integrado en un mismo territorio Kerberos o bien con relación de confianza entre los dominios. El segundo será necesario cuando existan dominios sin relación de confianza o cuando se opte por la instalación del servidor EMS en modo de grupo de trabajo.

En el caso de este último tipo de despliegue, para garantizar la seguridad de las comunicaciones deberá hacer uso de una comunicación cifrada mediante sistema de certificado. Para ello el equipo deberá disponer de un Certificado de autenticación de servidor resuelto al nombre por el que responde el sistema. Deberá además garantizarse la confianza en la entidad certificadora para que este pueda utilizarse.

Una vez completado este último paso, se iniciará el proceso de instalación de componentes. Tras finalizar el proceso, se tendrá acceso a la consola de administración del sistema de gestión centralizada de matrices basado en EMS. Esta consola difiere de la convencional utilizada para administrar la versión estándar de MS Forefront TMG 2010 y de la de un sistema de Array independiente de la versión Enterprise.


Figura 6: Consola de administración de un sistema gestionado por EMS

============================================================================
- Instalar Forefront TMG 2010 como Enterprise Management Server (1 de 2)
- Instalar Forefront TMG 2010 como Enterprise Management Server (2 de 2)
============================================================================

============================================================================
- Instalar Forefront TMG 2010 como Enterprise Management Server (1 de 2)
- Instalar Forefront TMG 2010 como Enterprise Management Server (2 de 2)
============================================================================

Dentro de las posibilidades que se ofrecen para realizar una implementación de MS Forefront Threat Management Gateway 2010 en su versión empresa, la de utilizar un servidor Enterprise Management Server [EMS] será posiblemente la más adoptada por las organizaciones. Para que las tareas de gestión del array sean factibles es necesaria la implementación de un rol denominado Enterprise Management Server. La instalación de este servidor requiere de las siguientes necesidades:

- Windows Server 2008 SP2 o R2.
- Herramientas de Active Directory Lightweight Directory Services.
- Microsoft .NET Framework 3.5 SP1.
- Microsoft Windows Installer 4.5.

Hay que tener en cuenta que la instalación de este servicio no está soportada en equipos que cuenten con el rol de Controlador de Dominio o tengan instalado MS Forefront TMG 2010. La instalación se realiza desde el mismo DVD donde se instala MS Forefront TMG 2010.


Figura 1: Asistente para la instalación del rol de EMS

Tras determinar la ruta donde se producirá la instalación de los componentes, se pregunta si bien quiere realizarse una nueva instalación del servicio, o bien crear un servidor de réplica para mantener una redundancia sobre dicho servicio. En el caso del ejemplo se va a realizar una instalación desde cero por lo que selecciona la primera de las opciones disponibles.


Figura 2: Creación de un nuevo servidor de EMS en la organización

Una advertencia posterior indicará que no debería crearse más de una instancia de EMS para una organización. Realizarlo implicaría una administración descentralizada y más confusa. En caso de querer tener redundancia deberá volver a la pantalla anterior y selección copiar un configuración de empresa existente.


Figura 3: Advertencia de instalación

============================================================================
- Instalar Forefront TMG 2010 como Enterprise Management Server (1 de 2)
- Instalar Forefront TMG 2010 como Enterprise Management Server (2 de 2)
============================================================================

Curioso el caso descrito en el blog del equipo de producto de Forefront TMG con la desaparición de tarjetas de red. El problema que origina el caso de soporte, se debe a que algunos usuarios reciben un error de "No network adapters could be identified. The wizard cannot continue", es decir, "No se pueden identificar adaptarores de red. El asistente no puede continuar", durante la ejecución del asistente de configuracion inicial Getting Started en MS Forefront Threat Management Gateway TMG 2010, tal y como se puede ver en la siguiente imagen:


Figura 1: No network adapters could be identified

La causa del problema es un fallo en el proceso de fortificación de la plataforma con el uso de la herramienta Security Configuration Wizzard (SCW) que deshabilita servicios usados por MS Forefront TMG 2010. Para una correcta fortificación de la máquina donde va a ser instalado Forefront TMG 2010, hay que tener presente que, por defecto, SCW no reconoce ni el rol de Forefront TMG 2010 ni el de Forefront TMG 2010 Enterprise Management Server (EMS). Para que los reconozca, hay que importar la plantilla de configuración, en formato XML, de estos roles. Este proceso se hace descargando el kit de herramientas, que viene en el paquete de Forefront TMG 2010 Tools & Software Development Kit.

Una vez descargado el kit, se debe invocar la utilizad TMGRolesForSCW.exe e instalar las plantillas XML de los roles que se desea que SCW sea capaz de contemplar.
 

============================================================================
- MS Forefront TMG 2010: Flood Mitigation (1 de 4)
- MS Forefront TMG 2010: Flood Mitigation (2 de 4)
- MS Forefront TMG 2010: Flood Mitigation (3 de 4)
- MS Forefront TMG 2010: Flood Mitigation (4 de 4)
============================================================================

Visor de Sucesos

El último de los mecanismos que puede utilizar un administrador para conocer sucesos relacionados con el módulo de prevención frente al desbordamiento es el visor de suceso. De forma predeterminada cuando se genera una alerta esta es también registrada en el visor de sucesos de Windows.


Figura 6: Envío de registros al visor de suceso

A continuación se definen los posibles eventos que pueden verse en el visor de sucesos generado a través del módulo de protección frente al desbordamiento.

- Evento 15112:	Una nueva conexión iniciada por una dirección IP, ha sido rechazada porque ha superado el límite máximo de conexiones.
- Evento 15113:	Forefront TMG ha desechado una conexión no TCP desde una dirección IP porque ha superado el límite máximo de conexiones admitidas.
- Evento 15114:	Forefront TMG ha desconectado una conexión porque ha superado el límite admitido.
- Evento 15116:	La petición ha sido denegado porque se ha superado el máximo número de conexiones por segundo permitido por regla.
- Evento 15117:	La petición ha sido denegado porque se ha superado el máximo número de conexiones por segundo permitido para una regla especificada.
- Evento 15119:	El número de conexiones TCP por minuto desde una dirección IP ha excedió la configurado definida.
- Evento 15120:	El número de conexiones TCP desde una dirección IP ha superado el umbral configurado.
- Evento 21279:	El número de peticiones DNS para su resolución ha superado el límite máximo definido por el sistema.
- Evento 21284:	El número de conexiones denegadas para una dirección IP ha excedido el umbral configurado.

Figura 7: Evento 15119 recogido en el visor de sucesos

============================================================================
- MS Forefront TMG 2010: Flood Mitigation (1 de 4)
- MS Forefront TMG 2010: Flood Mitigation (2 de 4)
- MS Forefront TMG 2010: Flood Mitigation (3 de 4)
- MS Forefront TMG 2010: Flood Mitigation (4 de 4)
============================================================================