A menudo en las organizaciones el tratamiento de cada departamento o rol de empresa, en lo concerniente al acceso a Internet, presenta unas peculiaridades que hacen necesario aplicar excepciones a las condiciones generales. Así por necesidad determinadas áreas como la de seguridad necesitarán tener acceso a web maliciosas para la realización de pruebas o la descarga de aplicaciones con la que realizar determinados test. En otras circunstancias roles o usuarios VIP podrían solicitar condiciones particulares para el acceso a determinadas web como pueden ser las de Poker Online.

La características aportadas por MS Forefront TMG 2010 ofrece dos opciones para garantizar el acceso. Permite el establecimiento de filtrados por categorización de URLs o haciendo uso del objeto gestionado conjunto de URL, de tal forma que estas pueden integrarse en las reglas del firewall para permitir o denegar el acceso en función de dichas características. Tomando como ejemplo vínculos a Juegos de Poker, se podrían establecer condiciones para que determinados usuarios de la organización tuvieran acceso a las mismas, mientras que el resto no.

En el caso del servicio de reputación de Microsoft (MSR), esta web se encuentran categorizada como de Apuestas. Por lo tanto para hacer factible el acceso a determinados usuarios, sería necesario la creación de una regla de acceso haciendo factible el acceso a los usuarios correspondientes a dicha categoría tal y como se muestra en la siguiente imagen.


Figura 1: Regla de acceso para permitir tráfico a sitios de Apuestas

En el caso de que la posibilidad sea acceder solamente a determinados sitios como los definidos en el ejemplo, la posibilidad sería el uso del objeto conjunto de URL que sustituiría a la categoría apuesta en la anterior regla creada. Esto permitiría filtrar aún más a que sitio se accede, dando permiso de acceso únicamente al solicitado por las personas correspondientes.


Figura 2: Objeto conjunto de URL

De esta forma si alguien especial, necesita acceso particular a una web, a través de las funcionalidades que aporta MS Forefront TMG 2010 esto sería factible.

============================================================================
- Forefront TMG 2010: Conexiones VPN con SSTP (1 de 3)
- Forefront TMG 2010: Conexiones VPN con SSTP (2 de 3)
- Forefront TMG 2010: Conexiones VPN con SSTP (3 de 3)
============================================================================

Como ya hemos visto anteriormente Microsoft Forefront Threat Management Gateway TMG 2010 permite hasta tres tipos de conexiones VPN (Virtual Private Network) distintas, como son mediante el uso de los protocolos PPTP, L2TP y el que ahora tratamos SSTP (Secure Socket Tuneling Protocol). En entradas anteriores desgranamos el funcionamiento de dos de ellas y como montar Redes VPN en Forefront TMG 2010 haciendo uso de PPTP y cómo hacerlo con L2TP. A continuación hablaremos y analizaremos el tercer tipo de conexión VPN permitido por Forefront TMG 2010: SSTP.

Las redes VPN implementadas por medio de SSTP hacen uso de un protocolo de comunicaciones cifradas y autenticadas ampliamente extendido, como es SSL, sobre el que funcionan los protocolos de páginas web seguras HTTP-s o FTP-s. El objetivo de SSTP es conseguir montar conexiones VPN cifradas y autenticadas que puedan ser utilizadas desde la amplia mayoría de conexiones remotas, donde los puertos SSL suelen estar permitidos. Sin embargo, hay que tener presente una serie de limitaciones a la hora de implementarlo en una organización.
Características y consideraciones:

El protocolo SSTP solo puede utilizarse si cuenta con una infraestrura de clientes con Windows Vista Service Pack1 o superior, es decir, Windows Vista SP2 y Windows 7 tamibén lo sosportan. Este protocolo también puede utilizarse con Windows Server 2008 y Windows Server 2008 R2 para establecer conexiones SSTP VPN siempre que se como clientes ya que actualmente las conexiones SSTP no están disponibles para implementar redes VPN de sitio a sitio.

Para poder hacer esta implementación, debido a que la red VPN usa SSL, es necesario que los servidores VPN SSTP, incluyendo Forefront TMG 2010 tengan instalado un certificado digital de sitio Web para enlazar la escucha Web SSTP. Además, el cliente VPN SSTP debe poder comprobar la lista de revocación de certificados (CRL) para confirmar que no ha sido cancelado el certificado del sitio Web enlazado a la escucha Web SSTP. La comprobación de CRL puede desactivarse en el cliente, pero no es una idea recomendable para un despliegue de producción. Forefront TMG también debe poder comprobar la lista CRL del certificado del sitio Web utilizado por el agente de escucha Web SSTP. A día de hoy, solo Windows Server 2008 y Windows Server 2008 R2 x64 pueden actuar como servidores VPN SSTP.

Como punto a tener en cuenta, se debe considerar que cuando se configura Forefront TMG 2010 para admitir conexiones SSTP, realmente se crea un Web Listener, necesario para aceptar las conexiones. Este Web Listener está configurado para permitir conexiones anónimas y será necesaria una dirección IP dedicada para él, ya que se trata de una conexión SSL con un certificado vinculado. Si se desea publicar cualquier otro sitio SSL utilizando el mismo servidor Forefront TMG 2010, se tendrá que hacer uso de direcciones IP adicionales para apoyar esas conexiones. Teniendo en cuenta que casi todos los sitio SSL publicados deben estar protegidos con pre-autenticación, se deberá tener más de una dirección IP en la interfaz externa para dividir el tráfico a los servidores web y a los servicios de VPN SSTP.

Cómo funciona SSTP

El proceso de conexión SSTP es bastante sencillo de entender. A continuación se puede ver cómo funciona el proceso de conexión SSTP:

Inicialmente el cliente VPN SSTP establece una conexión TCP con la puerta de enlace VPN SSTP utilizando un puerto de origen TCP aleatorio en el cliente VPN SSTP y el puerto TCP 443 en la puerta de enlace VPN SSTP. El cliente envía un mensaje de SSL-Hello, indicando que quiere establecer una sesión SSL con la puerta de enlace VPN SSTP. La puerta de enlace VPN SSTP responderá enviando la clave públicad de su certificado digital al cliente VPN SSTP.

Una vez recibido, el cliente valida el certificado digital mediante la comprobación de que sea un certificado emitido por una entidad de confianza, es decir, que la calve pública de la entidad emisora del certificado deberá estar en el almacén de entidades emisoras raíz de confianza del cliente para que se pueda comprobar si el certificado es correcto. Además, comprobará que el certificado no ha sido revocado, comprobándolo en la CRL de la entidad emisora (CA).

Una vez comprobado el certificado, el cliente VPN SSTP determina el método de cifrado para la sesión SSL, genera una clave de sesión SSL que cifra con la clave pública del Gateway VPN SSTP y la envía a la puerta de enlace VPN SSTP. La puerta de enlace VPN SSTP descifra con la clave privada la clave de sesión SSL que viene en el mensaje y, a partir de ese instante, todas las comunicaciones entre ellos se cifran con el método de cifrado negociado y la clave de sesión SSL.

Una vez elegido el método de cifrado, el cliente VPN SSTP envía una petción HTTP sobre SSL (HTTPS) con un mensaje de solicitud a la puerta de enlace VPN SSTP para negociar el tunel SSTP y establecer la conexión con el servidor. Una vez establecido el tunel SSTP, se negocia una conexión PPP con el servidor SSTP. Esta negociación incluye autenticar las credenciales del usuario utilizando métodos de autenticación estándar PPP - incluso autenticación EAP - y los parámetros de tráfico IPv4 o IPv6.

En la siguiente imagen podemos ver la arquitectura del protocolo VPN. SSTP tiene un encabezado adicional en comparación con los otros dos protocolos VPN. Porque hay encapsulación HTTPS a la cabecera SSTP. L2TP y PPTP no tienen encabezados de capa de aplicación encapsulando la comunicación.


Figura 1: Diagrama de funcionamiento VPN SSTP

============================================================================
- Forefront TMG 2010: Conexiones VPN con SSTP (1 de 3)
- Forefront TMG 2010: Conexiones VPN con SSTP (2 de 3)
- Forefront TMG 2010: Conexiones VPN con SSTP (3 de 3)
============================================================================

============================================================================
- Forefront TMG 2010: Una empresa en la nube (I de III)
- Forefront TMG 2010: Una empresa en la nube (II de III)
- Forefront TMG 2010: Una empresa en la nube (III de III)
============================================================================

Servicios de Reputación

Siguiendo con las necesidades de una empresa en la nube que puede aportar Forefront TMG 2010 abordaremos el tema de la productividad, elemento clave para una organización. En nuestra ficticia Baldwin necesitan bloquear sitios peligrosos para los usuarios y URLs maliciosas provenientes de en los correos electrónicos. Para ello se puede usar la solución de Microsoft Reputation Service


Figura 7: Uso de MS Reputation Services

El proceso es el siguiente:

• Un usuario remoto envía un correo electrónico a un cliente ubicado en las instalaciones de Baldwin.

• El mensaje está infectado con un virus y Exchange Online Antivirus limpia el mensaje.

• Aparece una notificación de que llegó un nuevo mensaje en la casilla de correo del cliente. El cliente lee el mensaje y observa que hay un vínculo para hacer acceso a un nuevo portafolio del socio, que incluye un negocio asociado al juego.

• La característica de filtrado de URLs que viene con MS Forefront TMG 2010 evalúa la URL y consulta a la base de datos de Microsoft Reputation Services para verificar si la categoría de esta URL coincide con “juego”, el cual no está permitido por la política de la compañía.

• MS Forefront TMG 2010 bloquea el acceso a este sitio y notifica al usuario la razón por la cual el sitio fue bloqueado.

En caso de que algún sitio haya sido bloqueado sin tener un porque o riesgo aparente, el usuario puede explorar temporalmente el sitio y notificar al administrador que el sitio fue mal clasificado.

Brand Caché: Gestión de ancho de banda eficiente

Una característica más de MS Forefront TMG 2010 es la posibilidad de almacenar en cache datos HTTP y HTTPS de sus aplicaciones en la nube lo que nos permite ahorrar en ancho de banda y mejorar la velocidad de las comunicaciones. Esta puede ser mejorada si se hace uso de otra de las características que nos ayuda en la implementación en la nube es la capacidad de BrandCache con Windows Server 2008 R2. Para ello y terminar con la serie supongamos que Baldwind continua su migración a la nube incluyendo Microsoft Office Web Plus:


Figura 8: Uso de Brandcaché

Un ejemplo del funcionamiento de este servicio sería:
• Un cliente de la sucursal envía una solicitud a MS Forefront TMG 2010 local para tener acceso a MS Office Web Apps.

• MS Forefront TMG 2010 evalúa si los datos solicitados se ubican en la memoria caché local. Si no, MS Forefront TMG 2010 local enviará la solicitud a la oficina central de Forefront TMG 2010.

• El servidor MS Forefront TMG 2010 de la oficina central recupera los datos de la nube y los envía al servidor MS Forefront TMG 2010 ubicado en la sucursal.

• El equipo con MS Forefront TMG 2010 de la sucursal almacena los datos en la memoria caché local y la envía a la estación de trabajo del cliente que hizo la solicitud.

• La estación de trabajo de otro cliente, también ubicado en la sucursal, realiza la misma solicitud por los mismos datos.

• MS Forefront TMG 2010 evalúa la solicitud, verifica que los datos están ubicados en la memoria caché y proporciona el contenido directamente al cliente.

Todo esto hace de MS Forefront TMG 2010 una puerta de enlace segura y productiva con la potencia de los servicios de cloud computing, ya que no olvidemos que cuantos más clientes usen servicios en la nube mayor es la ventaja obtenida de hacer uso de los servicios de caché. Si tenemos todos estos datos almacenados en la cache de MS Forefront TMG 2010 dispondremos de mayor ancho de banda disponible en cada instante.

============================================================================
- Forefront TMG 2010: Una empresa en la nube (I de III)
- Forefront TMG 2010: Una empresa en la nube (II de III)
- Forefront TMG 2010: Una empresa en la nube (III de III)
============================================================================

Un servidor web debería estar protegido por un un buen WAF (Web Application Firewall) y en el caso de tecnologías Forefront, la mejor solución sería Forefront UAG 2010 o Forefront TMG 2010 con Web Protection Service y Bridging HTTPS más HTTP-s Inspection activada. Sin embargo, nos encontramos muchos servidores web que no tienen un filtrado antimalware en la conexión, lo que es un problema serio de seguridad. Hay que tener en cuenta que un atacante podría intentar colar un malware en el servidor por medio de una vulnerabilidad descubierta en alguna aplicación web, o lo que es peor, subir una Web Shell y controlar el servidor.

Hoy en día, los WAF se deben acompañar con un buen motor de inspección antimalware que detecten esos casos. Lo curioso es que no pensé que mi Microsoft Security Essentials fuera a detectar una WebShell en mi máquina local, y no cree una excepción especial de escaneo para la carpeta donde estaba guardando unas webshells que quiero usar en un artículo. Así, sin darme cuenta, Microsoft Security Essentials las detectó y me las bloqueo.


Figura 1: Webshell 1 detectada


Figura 2: Webshell 2 detectada

Yo no tengo un servidor web en mi máquina, y por tanto son más que inofensivas en mi equipo, pero Microsoft Security Essentials detectó sus firmas. Como MSE comparte las firmas con Forefront EndPoint Protection 2010, si tienes un servidor web, y no tienes un WAF que controle la subida y bajada de malware por HTTP/HTTPs, deberías poner configurar el agente de FEP2010 para que le eche un ojo a las aplicaciones web que tienes publicadas.
 

============================================================================
- Forefront TMG 2010: Una empresa en la nube (I de III)
- Forefront TMG 2010: Una empresa en la nube (II de III)
- Forefront TMG 2010: Una empresa en la nube (III de III)
============================================================================

La emrpesa Baldwin, en su fase de migración a la nube ha decidido llevar su plataforma de comuniaciones a Exchange Online. Exchange Online incluye características de antivirus y antispam, pero Baldwin también quiere que sus usuarios estén protegidos cuando exploren sitios provenientes del correo en forma de hipervínculos, y para ello ha establecido un modelo de varias capas aprovechándose también de las características de inspección de HTTPS de MS Forefront TMG 2010 para proteger los recursos internos de la empresa.

Filtrado HTTP y HTTPS en Forefront TMG 2010

Este enfoque de varias capas nos permite estar seguros en la nube tal y como vemos en el siguiente ejemplo:

• Un usuario remoto envía un correo electrónico a un cliente en las instalaciones de Baldwin.

• El mensaje está infectado con un virus y Exchange Online Antivirus limpia el mensaje.

• Aparece una notificación de que llegó un nuevo mensaje en la casilla de correo del cliente.

• El usuario lee el mensaje y observa que hay un vínculo para descargar el último informe del sitio web de un socio. El usuario final identifica esto como un vínculo a un sitio seguro (usando HTTPS) y supone que es seguro descargar el informe.

• La característica de inspección de HTTPS de Forefront TMG 2010 analiza el tráfico, valida el certificado y proporciona la inspección al motor de inspección de malware para analizar el archivo que el usuario está intentando descargar. El motor de inspección de malware identifica el archivo como infectado y notifica al cliente que el archivo no se puede abrir, puesto que está infectado con un malware.


Figura 5: Filtrado de correo y HTTP en Forefront TMG 2010 y Exchange Online

Además, esta protección puede ser extendida con el uso de Forefront TMG 2010 Web Protection Service, que extiende las funcionalidades de filtrado que vienen por defecto en MS Forefront TMG 2010.

Refuerzo de directivas

La primera fase de migración de Baldwin solo cubre a los usuarios de la ubicación central, pero Baldwin tiene varias sucursales que funcionan de manera independiente en el día a día y necesita que sean ellas las que controlen su propio tráfico. También debe hacer esto adheriendo las reglas y directivas configuradas en la central. Para ello la solución pasa por un escenario de varias matrices permitiendo tener políticas de compañía a nivel de empresa.


Figura 6: Estructura de Matriz en Forefront TMG 2010

- Permite tener autonomía en cada sucursal y cumplir con las directivas de la compañía:Este modelo permite una vista central de administración para todas las matrices de la empresa a la vez que ayuda al cumplimiento de las directivas de la compañía. Además, al aplicar cambios en la política de firewall o reglas de Forefront TMG 2010 se asegura que todas las conexiones de los clientes cumplen con las nuevas directivas y reglas.

============================================================================
- Forefront TMG 2010: Una empresa en la nube (I de III)
- Forefront TMG 2010: Una empresa en la nube (II de III)
- Forefront TMG 2010: Una empresa en la nube (III de III)
============================================================================