Ayer hablamos de la disponibilidad de Microsoft Forefront TMG 2010 Service Pack 2, y hoy toca hablar de otra actualización disponible desde los equipos de Forefront. En este caso de la Update 1 para MS Forefront UAG 2010 Service Pack 1. Esta actualización está pensada sobre todo en la compatibilidad de nuevas aplicaciones en la nube, como son:

- Dynamics CRM 2011
- Microsoft Lync 2010 web services
- Office Web Apps con SharePoint 2010

A partir de ahora, la publicación de estas aplicaciones a través de Forefront UAG 2010 Service Pack 1 con Update 1 estará totalmente integrado y soportada por los equipos de Microsoft, por lo que si tu infraestructura cuenta con alguna de ellas te recomendamos que apliques esta actualización lo antes posible.

 

El equipo de Microsoft Forefront TMG 2010 puso ayer a disposición pública la descarga del Service Pack 2 de MS Forefront TMG 2010 con todos los parches acumulados aplicados, y con nuevas funcionalidades, de las que destacan las siguientes tres:

- Informe de actividad de sitio: Ahora se ha añadido un nuevo informe que permite conocer con exactitud el tráfico generado entre cada usuario y cada sitio, pudiendo conocer qué usuarios han transmitido más datos de cada sitio, o cuáles son los sitios más utilizados por los usuarios de la organización.

- Páginas de errores mejoradas: Se han mejorado las opciones para personalizar las páginas web de error que muestra Forefront TMG 2010 a los usuarios cuando se produce una situación inesperada. Ahora es mucho más fácil cambiar el aspecto y los mensajes de las mismas.

- Autenticación Kerberos en entornos NLB: Se ha implementado el uso de Kerberos 5 para integrar mejor la autenticación de usuarios en arrays de Forefront TMG 2010 que utilizan arquitecturas de balanceo de carga con NLB.

Puedes descargar desde aquí el Service Pack 2 de Forefront Threat Management Gateway TMG 2010 en Español.

A menudo en las organizaciones el tratamiento de cada departamento o rol de empresa, en lo concerniente al acceso a Internet, presenta unas peculiaridades que hacen necesario aplicar excepciones a las condiciones generales. Así por necesidad determinadas áreas como la de seguridad necesitarán tener acceso a web maliciosas para la realización de pruebas o la descarga de aplicaciones con la que realizar determinados test. En otras circunstancias roles o usuarios VIP podrían solicitar condiciones particulares para el acceso a determinadas web como pueden ser las de Poker Online.

La características aportadas por MS Forefront TMG 2010 ofrece dos opciones para garantizar el acceso. Permite el establecimiento de filtrados por categorización de URLs o haciendo uso del objeto gestionado conjunto de URL, de tal forma que estas pueden integrarse en las reglas del firewall para permitir o denegar el acceso en función de dichas características. Tomando como ejemplo vínculos a Juegos de Poker, se podrían establecer condiciones para que determinados usuarios de la organización tuvieran acceso a las mismas, mientras que el resto no.

En el caso del servicio de reputación de Microsoft (MSR), esta web se encuentran categorizada como de Apuestas. Por lo tanto para hacer factible el acceso a determinados usuarios, sería necesario la creación de una regla de acceso haciendo factible el acceso a los usuarios correspondientes a dicha categoría tal y como se muestra en la siguiente imagen.


Figura 1: Regla de acceso para permitir tráfico a sitios de Apuestas

En el caso de que la posibilidad sea acceder solamente a determinados sitios como los definidos en el ejemplo, la posibilidad sería el uso del objeto conjunto de URL que sustituiría a la categoría apuesta en la anterior regla creada. Esto permitiría filtrar aún más a que sitio se accede, dando permiso de acceso únicamente al solicitado por las personas correspondientes.


Figura 2: Objeto conjunto de URL

De esta forma si alguien especial, necesita acceso particular a una web, a través de las funcionalidades que aporta MS Forefront TMG 2010 esto sería factible.

La campaña de Hands On Lab y Virtual Hands On Lab cierra con la llegada del verano, y es por eso que el número de seminarios publicados es cada vez menor. Mientras esta semana termina la campaña en Madrid con los seminarios de Virtualización e IPv6, la semana que viene concluye la campaña de Virtual HOLs a través de Internet con tres seminarios de Análisis Forense y uno de Gestión de la seguridad. Este es el calendario al que aún te puedes apuntar:

VHOL-SEG03 Análisis forense. Escenario Malware en entorno Windows
Martes, 26 de Julio, de 09:00 a 14:00 [Hora de España]
En este Virtula Hand On Lab repasaremos las técnicas más utilizadas por un atacante para infectar un sistema, desde el punto de vista del Malware. Analizaremos las distintas técnicas para ocultar malware y aplicaremos técnicas forenses para analizar un sistema comprometido.

VHOL-SEG37 Análisis de memoria RAM en entornos Windows
Miércoles, 26 y 27 de Julio, de 16:00 a 18:30 [Hora de España]<
Finalizado este laboratorio, el asistente dispondrá de conocimientos y capacidades para poder llevar a efecto un análisis forense digital a volcados de memoria Windows. Para ello se le hará conocedor de la arquitectura interna de Windows, así como información relativa a como éste maneja e implementa la memoria RAM.

VHOL-SEG05 Análisis forense III. Análisis de logs en Windows
Miércoles, 27 de Julio, de 09:00 a 14:00 [Hora de España]
En este Virtual Hands On Lab repasaremos la arquitectura de un sistema basado en Windows, centrándonos en los logs del sistema, así como en su interpretación para extraer el máximo conocimiento de ellos.

VHOL-SEG33 Gestión de riesgos de seguridad
Jueves, 28 de Julio, de 09:00 a 14:00 [Hora de España]
Los asistentes a este evento obtendrán una visión global sobre los riesgos de seguridad presentes en una infraestructura de red empresarial y aprenderán a evitarlos y/o mitigarlos, todo ello mediante prácticas reales de ataque y defensa.

Y esto será todo en la campaña de Hands On Lab y Virtual Hands On Lab.
 

============================================================================
- Forefront TMG 2010: Conexiones VPN con SSTP (1 de 3)
- Forefront TMG 2010: Conexiones VPN con SSTP (2 de 3)
- Forefront TMG 2010: Conexiones VPN con SSTP (3 de 3)
============================================================================

Como ya hemos visto anteriormente Microsoft Forefront Threat Management Gateway TMG 2010 permite hasta tres tipos de conexiones VPN (Virtual Private Network) distintas, como son mediante el uso de los protocolos PPTP, L2TP y el que ahora tratamos SSTP (Secure Socket Tuneling Protocol). En entradas anteriores desgranamos el funcionamiento de dos de ellas y como montar Redes VPN en Forefront TMG 2010 haciendo uso de PPTP y cómo hacerlo con L2TP. A continuación hablaremos y analizaremos el tercer tipo de conexión VPN permitido por Forefront TMG 2010: SSTP.

Las redes VPN implementadas por medio de SSTP hacen uso de un protocolo de comunicaciones cifradas y autenticadas ampliamente extendido, como es SSL, sobre el que funcionan los protocolos de páginas web seguras HTTP-s o FTP-s. El objetivo de SSTP es conseguir montar conexiones VPN cifradas y autenticadas que puedan ser utilizadas desde la amplia mayoría de conexiones remotas, donde los puertos SSL suelen estar permitidos. Sin embargo, hay que tener presente una serie de limitaciones a la hora de implementarlo en una organización.
Características y consideraciones:

El protocolo SSTP solo puede utilizarse si cuenta con una infraestrura de clientes con Windows Vista Service Pack1 o superior, es decir, Windows Vista SP2 y Windows 7 tamibén lo sosportan. Este protocolo también puede utilizarse con Windows Server 2008 y Windows Server 2008 R2 para establecer conexiones SSTP VPN siempre que se como clientes ya que actualmente las conexiones SSTP no están disponibles para implementar redes VPN de sitio a sitio.

Para poder hacer esta implementación, debido a que la red VPN usa SSL, es necesario que los servidores VPN SSTP, incluyendo Forefront TMG 2010 tengan instalado un certificado digital de sitio Web para enlazar la escucha Web SSTP. Además, el cliente VPN SSTP debe poder comprobar la lista de revocación de certificados (CRL) para confirmar que no ha sido cancelado el certificado del sitio Web enlazado a la escucha Web SSTP. La comprobación de CRL puede desactivarse en el cliente, pero no es una idea recomendable para un despliegue de producción. Forefront TMG también debe poder comprobar la lista CRL del certificado del sitio Web utilizado por el agente de escucha Web SSTP. A día de hoy, solo Windows Server 2008 y Windows Server 2008 R2 x64 pueden actuar como servidores VPN SSTP.

Como punto a tener en cuenta, se debe considerar que cuando se configura Forefront TMG 2010 para admitir conexiones SSTP, realmente se crea un Web Listener, necesario para aceptar las conexiones. Este Web Listener está configurado para permitir conexiones anónimas y será necesaria una dirección IP dedicada para él, ya que se trata de una conexión SSL con un certificado vinculado. Si se desea publicar cualquier otro sitio SSL utilizando el mismo servidor Forefront TMG 2010, se tendrá que hacer uso de direcciones IP adicionales para apoyar esas conexiones. Teniendo en cuenta que casi todos los sitio SSL publicados deben estar protegidos con pre-autenticación, se deberá tener más de una dirección IP en la interfaz externa para dividir el tráfico a los servidores web y a los servicios de VPN SSTP.

Cómo funciona SSTP

El proceso de conexión SSTP es bastante sencillo de entender. A continuación se puede ver cómo funciona el proceso de conexión SSTP:

Inicialmente el cliente VPN SSTP establece una conexión TCP con la puerta de enlace VPN SSTP utilizando un puerto de origen TCP aleatorio en el cliente VPN SSTP y el puerto TCP 443 en la puerta de enlace VPN SSTP. El cliente envía un mensaje de SSL-Hello, indicando que quiere establecer una sesión SSL con la puerta de enlace VPN SSTP. La puerta de enlace VPN SSTP responderá enviando la clave públicad de su certificado digital al cliente VPN SSTP.

Una vez recibido, el cliente valida el certificado digital mediante la comprobación de que sea un certificado emitido por una entidad de confianza, es decir, que la calve pública de la entidad emisora del certificado deberá estar en el almacén de entidades emisoras raíz de confianza del cliente para que se pueda comprobar si el certificado es correcto. Además, comprobará que el certificado no ha sido revocado, comprobándolo en la CRL de la entidad emisora (CA).

Una vez comprobado el certificado, el cliente VPN SSTP determina el método de cifrado para la sesión SSL, genera una clave de sesión SSL que cifra con la clave pública del Gateway VPN SSTP y la envía a la puerta de enlace VPN SSTP. La puerta de enlace VPN SSTP descifra con la clave privada la clave de sesión SSL que viene en el mensaje y, a partir de ese instante, todas las comunicaciones entre ellos se cifran con el método de cifrado negociado y la clave de sesión SSL.

Una vez elegido el método de cifrado, el cliente VPN SSTP envía una petción HTTP sobre SSL (HTTPS) con un mensaje de solicitud a la puerta de enlace VPN SSTP para negociar el tunel SSTP y establecer la conexión con el servidor. Una vez establecido el tunel SSTP, se negocia una conexión PPP con el servidor SSTP. Esta negociación incluye autenticar las credenciales del usuario utilizando métodos de autenticación estándar PPP - incluso autenticación EAP - y los parámetros de tráfico IPv4 o IPv6.

En la siguiente imagen podemos ver la arquitectura del protocolo VPN. SSTP tiene un encabezado adicional en comparación con los otros dos protocolos VPN. Porque hay encapsulación HTTPS a la cabecera SSTP. L2TP y PPTP no tienen encabezados de capa de aplicación encapsulando la comunicación.


Figura 1: Diagrama de funcionamiento VPN SSTP

============================================================================
- Forefront TMG 2010: Conexiones VPN con SSTP (1 de 3)
- Forefront TMG 2010: Conexiones VPN con SSTP (2 de 3)
- Forefront TMG 2010: Conexiones VPN con SSTP (3 de 3)
============================================================================