============================================================================
- Forefront TMG 2010: Una empresa en la nube (I de III)
- Forefront TMG 2010: Una empresa en la nube (II de III)
- Forefront TMG 2010: Una empresa en la nube (III de III)
============================================================================

Servicios de Reputación

Siguiendo con las necesidades de una empresa en la nube que puede aportar Forefront TMG 2010 abordaremos el tema de la productividad, elemento clave para una organización. En nuestra ficticia Baldwin necesitan bloquear sitios peligrosos para los usuarios y URLs maliciosas provenientes de en los correos electrónicos. Para ello se puede usar la solución de Microsoft Reputation Service


Figura 7: Uso de MS Reputation Services

El proceso es el siguiente:

• Un usuario remoto envía un correo electrónico a un cliente ubicado en las instalaciones de Baldwin.

• El mensaje está infectado con un virus y Exchange Online Antivirus limpia el mensaje.

• Aparece una notificación de que llegó un nuevo mensaje en la casilla de correo del cliente. El cliente lee el mensaje y observa que hay un vínculo para hacer acceso a un nuevo portafolio del socio, que incluye un negocio asociado al juego.

• La característica de filtrado de URLs que viene con MS Forefront TMG 2010 evalúa la URL y consulta a la base de datos de Microsoft Reputation Services para verificar si la categoría de esta URL coincide con “juego”, el cual no está permitido por la política de la compañía.

• MS Forefront TMG 2010 bloquea el acceso a este sitio y notifica al usuario la razón por la cual el sitio fue bloqueado.

En caso de que algún sitio haya sido bloqueado sin tener un porque o riesgo aparente, el usuario puede explorar temporalmente el sitio y notificar al administrador que el sitio fue mal clasificado.

Brand Caché: Gestión de ancho de banda eficiente

Una característica más de MS Forefront TMG 2010 es la posibilidad de almacenar en cache datos HTTP y HTTPS de sus aplicaciones en la nube lo que nos permite ahorrar en ancho de banda y mejorar la velocidad de las comunicaciones. Esta puede ser mejorada si se hace uso de otra de las características que nos ayuda en la implementación en la nube es la capacidad de BrandCache con Windows Server 2008 R2. Para ello y terminar con la serie supongamos que Baldwind continua su migración a la nube incluyendo Microsoft Office Web Plus:


Figura 8: Uso de Brandcaché

Un ejemplo del funcionamiento de este servicio sería:
• Un cliente de la sucursal envía una solicitud a MS Forefront TMG 2010 local para tener acceso a MS Office Web Apps.

• MS Forefront TMG 2010 evalúa si los datos solicitados se ubican en la memoria caché local. Si no, MS Forefront TMG 2010 local enviará la solicitud a la oficina central de Forefront TMG 2010.

• El servidor MS Forefront TMG 2010 de la oficina central recupera los datos de la nube y los envía al servidor MS Forefront TMG 2010 ubicado en la sucursal.

• El equipo con MS Forefront TMG 2010 de la sucursal almacena los datos en la memoria caché local y la envía a la estación de trabajo del cliente que hizo la solicitud.

• La estación de trabajo de otro cliente, también ubicado en la sucursal, realiza la misma solicitud por los mismos datos.

• MS Forefront TMG 2010 evalúa la solicitud, verifica que los datos están ubicados en la memoria caché y proporciona el contenido directamente al cliente.

Todo esto hace de MS Forefront TMG 2010 una puerta de enlace segura y productiva con la potencia de los servicios de cloud computing, ya que no olvidemos que cuantos más clientes usen servicios en la nube mayor es la ventaja obtenida de hacer uso de los servicios de caché. Si tenemos todos estos datos almacenados en la cache de MS Forefront TMG 2010 dispondremos de mayor ancho de banda disponible en cada instante.

============================================================================
- Forefront TMG 2010: Una empresa en la nube (I de III)
- Forefront TMG 2010: Una empresa en la nube (II de III)
- Forefront TMG 2010: Una empresa en la nube (III de III)
============================================================================

============================================================================
- Forefront TMG 2010: Una empresa en la nube (I de III)
- Forefront TMG 2010: Una empresa en la nube (II de III)
- Forefront TMG 2010: Una empresa en la nube (III de III)
============================================================================

La emrpesa Baldwin, en su fase de migración a la nube ha decidido llevar su plataforma de comuniaciones a Exchange Online. Exchange Online incluye características de antivirus y antispam, pero Baldwin también quiere que sus usuarios estén protegidos cuando exploren sitios provenientes del correo en forma de hipervínculos, y para ello ha establecido un modelo de varias capas aprovechándose también de las características de inspección de HTTPS de MS Forefront TMG 2010 para proteger los recursos internos de la empresa.

Filtrado HTTP y HTTPS en Forefront TMG 2010

Este enfoque de varias capas nos permite estar seguros en la nube tal y como vemos en el siguiente ejemplo:

• Un usuario remoto envía un correo electrónico a un cliente en las instalaciones de Baldwin.

• El mensaje está infectado con un virus y Exchange Online Antivirus limpia el mensaje.

• Aparece una notificación de que llegó un nuevo mensaje en la casilla de correo del cliente.

• El usuario lee el mensaje y observa que hay un vínculo para descargar el último informe del sitio web de un socio. El usuario final identifica esto como un vínculo a un sitio seguro (usando HTTPS) y supone que es seguro descargar el informe.

• La característica de inspección de HTTPS de Forefront TMG 2010 analiza el tráfico, valida el certificado y proporciona la inspección al motor de inspección de malware para analizar el archivo que el usuario está intentando descargar. El motor de inspección de malware identifica el archivo como infectado y notifica al cliente que el archivo no se puede abrir, puesto que está infectado con un malware.


Figura 5: Filtrado de correo y HTTP en Forefront TMG 2010 y Exchange Online

Además, esta protección puede ser extendida con el uso de Forefront TMG 2010 Web Protection Service, que extiende las funcionalidades de filtrado que vienen por defecto en MS Forefront TMG 2010.

Refuerzo de directivas

La primera fase de migración de Baldwin solo cubre a los usuarios de la ubicación central, pero Baldwin tiene varias sucursales que funcionan de manera independiente en el día a día y necesita que sean ellas las que controlen su propio tráfico. También debe hacer esto adheriendo las reglas y directivas configuradas en la central. Para ello la solución pasa por un escenario de varias matrices permitiendo tener políticas de compañía a nivel de empresa.


Figura 6: Estructura de Matriz en Forefront TMG 2010

- Permite tener autonomía en cada sucursal y cumplir con las directivas de la compañía:Este modelo permite una vista central de administración para todas las matrices de la empresa a la vez que ayuda al cumplimiento de las directivas de la compañía. Además, al aplicar cambios en la política de firewall o reglas de Forefront TMG 2010 se asegura que todas las conexiones de los clientes cumplen con las nuevas directivas y reglas.

============================================================================
- Forefront TMG 2010: Una empresa en la nube (I de III)
- Forefront TMG 2010: Una empresa en la nube (II de III)
- Forefront TMG 2010: Una empresa en la nube (III de III)
============================================================================

============================================================================
- Forefront TMG 2010: Una empresa en la nube (I de III)
- Forefront TMG 2010: Una empresa en la nube (II de III)
- Forefront TMG 2010: Una empresa en la nube (III de III)
============================================================================

Últimamente estamos viendo que cada vez tenemos más servicios ofertados por la nube, servicios que pasan desde espacio de almacenamiento en forma de discos duros virtuales hasta servicios Exchange pasando por Office o SharePoint. Hasta ahí todo bien, pero el gran problema que se encuentran las empresas o más bien las preguntas que les surgen son: ¿Esto afectara al rendimiento de mi empresa? ¿Y si los usuarios tienen los servicios en la nube, que hago si mis usuarios internos no tienen acceso a la nube? En varios artículos veremos como Forefront TMG 2010 puede ayudar en la tarea de estar más cómodo en la nube desde tres puntos de vista: El cambio a la nube, Seguridad y Productividad.


Figura 1: Servicios en la nube de Microsoft

Las empresas cada vez usan más herramientas para aumentar su productividad, herramientas que muchas de ellas están ahora en la nube o que pasaran a la nube y que deben estar disponibles independientemente de si el usuario está en su oficina, en un cliente o de viaje por motivos de trabajo. Para abordar todo esto vamos a partir de una situación ficticia, en la que una empresa, de nombre Baldwin, decide migrar sus servicios a la nube. El primer paso de la empresa es mover su sistema de correo a la nube usando para ello Exchange Online.

Existen cuatro prerrequisitos para la primera fase:

• Los usuarios internos no se deben ver afectados si la conexión a Internet del ISP actual deja de funcionar.
• Los usuarios que hacen acceso a sus sistemas de correo en la nube deben estar protegidos contra amenazas potenciales que procedan de Internet.
• La compañía puede reforzar una política de seguridad central en sucursales remotas.
• Se debe impedir a los usuarios el acceso a sitios que no están permitidos por las directivas de seguridad de la compañía.

Pilares de la primera fase: Alta Disponibilidad

Forefront TMG 2010 ofrece todos los requisitos para llevar a cabo la primera fase y cumplir los requisitos de alta disponibilidad desde dos puntos de vista:

1.- Redundancia de ISP: Baldwin puede tener acceso a internet incluso si el proveedor actual de ISP dejó de funcionar. Para cumplir esto, se necesitará otra ruta a Internet, generalmente mediante otro ISP.


Figura 2: ISP Redundancy

Para la configuracion de ISP Redundancy Mode se debe acceder a Networking, y en el panel de la derecha seleccionar la opción Configure ISP Redundancy para acceder al asistente.


Figura 3: ISP Redundancy Mode en Forefront TMG 2010


Figura 4: Asistente de ISP Redundancy Mode en Forefront TMG 2010

2.- Equilibrio de carga de red integrado (NLB): Al integrar NLB con Forefront TMG 2010, no solo puede cargar el tráfico entre nodos de NLB, sino que también asegura una entrega hecha correctamente entre un nodo y el otro, en el caso de que uno deje de funcionar.

============================================================================
- Forefront TMG 2010: Una empresa en la nube (I de III)
- Forefront TMG 2010: Una empresa en la nube (II de III)
- Forefront TMG 2010: Una empresa en la nube (III de III)
============================================================================

El pasado 28 de Junio el equipo de Forefront Endpoint Security anunció la disponibilidad del primer Update Rollup para Forefront Enpoint Protection 2010. Este paquete, además de solucionar y aglutinar todos los parches conocidos, incluye tres características principales:



- Soporte para Windows Embedded 7 y Windows Server 2008 Server Core: Con esta nueva actualización es posible instalar clientes de MS FEP 2010 en este tipo de sistemas operativos optimizados, que antes no era posible.

- Actualización de firmas a través de System Center Configuration Manager 2007 Software Update: Con esta actualización es posible que la herrmainta Signature Update Automation Tool de FEP 2010 se sincronice a través del módulo de Software Update de SCCM 2007.

- Nuevas plantillas de servidores: FEP 2010 permite utilizar plantillas para ajustar la configuración del agente en los diferentes servidores de Microsoft, con esta actualización se añaden dos nuevas para servidores Microsoft Forefront Threat Management Gateway 2010 y Microsoft Lync 2010.
 

============================================================================
- Forefront TMG 2010: VPNs con L2TP (1 de 4)
- Forefront TMG 2010: VPNs con L2TP (2 de 4)
- Forefront TMG 2010: VPNs con L2TP (3 de 4)
- Forefront TMG 2010: VPNs con L2TP (4 de 4)
============================================================================

Configuración del servidor VPN L2TP (continuación)

Protocolo que se utiliza para el acceso por VPN (En este caso L2TP/Ipsec).


Figura 12: Protocolo de VPN (L2TP/Ipsec)

Habilitar el acceso de clientes por VPN y el máximo de clientes que se va a permitir conectar simultáneamente a Forefront TMG 2010.


Figura 13: Habilitar el acceso por VPN para el número de clientes deseado

Configuración del cliente VPN L2TP

Una vez configuradas las opciones del servidor únicamente será necesario crear una nueva configuración de conexión por VPN en los equipos clientes con la siguiente configuración de seguridad, aunque por defecto está en automático y después de realizar varios intentos de conexión se conectaría mediante L2TP/IPsec.


Figura 14: Configuración del cliente VPN I


Figura 15: Configuración del cliente VPN II

Una vez configurado el cliente se comprueba la conexión con el servidor de TMG y en la consola del servidor, en la parte de supervisión se puede comprobar el correcto acceso de un cliente VPN mediante el protocolo L2TP/IPsec.


Figura 16: Conexión por VPN mediante L2TP/IPsec

============================================================================
- Forefront TMG 2010: VPNs con L2TP (1 de 4)
- Forefront TMG 2010: VPNs con L2TP (2 de 4)
- Forefront TMG 2010: VPNs con L2TP (3 de 4)
- Forefront TMG 2010: VPNs con L2TP (4 de 4)
============================================================================