============================================================================
- Forefront TMG 2010: Una empresa en la nube (I de III)
- Forefront TMG 2010: Una empresa en la nube (II de III)
- Forefront TMG 2010: Una empresa en la nube (III de III)
============================================================================

Servicios de Reputación

Siguiendo con las necesidades de una empresa en la nube que puede aportar Forefront TMG 2010 abordaremos el tema de la productividad, elemento clave para una organización. En nuestra ficticia Baldwin necesitan bloquear sitios peligrosos para los usuarios y URLs maliciosas provenientes de en los correos electrónicos. Para ello se puede usar la solución de Microsoft Reputation Service


Figura 7: Uso de MS Reputation Services

El proceso es el siguiente:

• Un usuario remoto envía un correo electrónico a un cliente ubicado en las instalaciones de Baldwin.

• El mensaje está infectado con un virus y Exchange Online Antivirus limpia el mensaje.

• Aparece una notificación de que llegó un nuevo mensaje en la casilla de correo del cliente. El cliente lee el mensaje y observa que hay un vínculo para hacer acceso a un nuevo portafolio del socio, que incluye un negocio asociado al juego.

• La característica de filtrado de URLs que viene con MS Forefront TMG 2010 evalúa la URL y consulta a la base de datos de Microsoft Reputation Services para verificar si la categoría de esta URL coincide con “juego”, el cual no está permitido por la política de la compañía.

• MS Forefront TMG 2010 bloquea el acceso a este sitio y notifica al usuario la razón por la cual el sitio fue bloqueado.

En caso de que algún sitio haya sido bloqueado sin tener un porque o riesgo aparente, el usuario puede explorar temporalmente el sitio y notificar al administrador que el sitio fue mal clasificado.

Brand Caché: Gestión de ancho de banda eficiente

Una característica más de MS Forefront TMG 2010 es la posibilidad de almacenar en cache datos HTTP y HTTPS de sus aplicaciones en la nube lo que nos permite ahorrar en ancho de banda y mejorar la velocidad de las comunicaciones. Esta puede ser mejorada si se hace uso de otra de las características que nos ayuda en la implementación en la nube es la capacidad de BrandCache con Windows Server 2008 R2. Para ello y terminar con la serie supongamos que Baldwind continua su migración a la nube incluyendo Microsoft Office Web Plus:


Figura 8: Uso de Brandcaché

Un ejemplo del funcionamiento de este servicio sería:
• Un cliente de la sucursal envía una solicitud a MS Forefront TMG 2010 local para tener acceso a MS Office Web Apps.

• MS Forefront TMG 2010 evalúa si los datos solicitados se ubican en la memoria caché local. Si no, MS Forefront TMG 2010 local enviará la solicitud a la oficina central de Forefront TMG 2010.

• El servidor MS Forefront TMG 2010 de la oficina central recupera los datos de la nube y los envía al servidor MS Forefront TMG 2010 ubicado en la sucursal.

• El equipo con MS Forefront TMG 2010 de la sucursal almacena los datos en la memoria caché local y la envía a la estación de trabajo del cliente que hizo la solicitud.

• La estación de trabajo de otro cliente, también ubicado en la sucursal, realiza la misma solicitud por los mismos datos.

• MS Forefront TMG 2010 evalúa la solicitud, verifica que los datos están ubicados en la memoria caché y proporciona el contenido directamente al cliente.

Todo esto hace de MS Forefront TMG 2010 una puerta de enlace segura y productiva con la potencia de los servicios de cloud computing, ya que no olvidemos que cuantos más clientes usen servicios en la nube mayor es la ventaja obtenida de hacer uso de los servicios de caché. Si tenemos todos estos datos almacenados en la cache de MS Forefront TMG 2010 dispondremos de mayor ancho de banda disponible en cada instante.

============================================================================
- Forefront TMG 2010: Una empresa en la nube (I de III)
- Forefront TMG 2010: Una empresa en la nube (II de III)
- Forefront TMG 2010: Una empresa en la nube (III de III)
============================================================================

Un servidor web debería estar protegido por un un buen WAF (Web Application Firewall) y en el caso de tecnologías Forefront, la mejor solución sería Forefront UAG 2010 o Forefront TMG 2010 con Web Protection Service y Bridging HTTPS más HTTP-s Inspection activada. Sin embargo, nos encontramos muchos servidores web que no tienen un filtrado antimalware en la conexión, lo que es un problema serio de seguridad. Hay que tener en cuenta que un atacante podría intentar colar un malware en el servidor por medio de una vulnerabilidad descubierta en alguna aplicación web, o lo que es peor, subir una Web Shell y controlar el servidor.

Hoy en día, los WAF se deben acompañar con un buen motor de inspección antimalware que detecten esos casos. Lo curioso es que no pensé que mi Microsoft Security Essentials fuera a detectar una WebShell en mi máquina local, y no cree una excepción especial de escaneo para la carpeta donde estaba guardando unas webshells que quiero usar en un artículo. Así, sin darme cuenta, Microsoft Security Essentials las detectó y me las bloqueo.


Figura 1: Webshell 1 detectada


Figura 2: Webshell 2 detectada

Yo no tengo un servidor web en mi máquina, y por tanto son más que inofensivas en mi equipo, pero Microsoft Security Essentials detectó sus firmas. Como MSE comparte las firmas con Forefront EndPoint Protection 2010, si tienes un servidor web, y no tienes un WAF que controle la subida y bajada de malware por HTTP/HTTPs, deberías poner configurar el agente de FEP2010 para que le eche un ojo a las aplicaciones web que tienes publicadas.
 

============================================================================
- Forefront TMG 2010: Una empresa en la nube (I de III)
- Forefront TMG 2010: Una empresa en la nube (II de III)
- Forefront TMG 2010: Una empresa en la nube (III de III)
============================================================================

La emrpesa Baldwin, en su fase de migración a la nube ha decidido llevar su plataforma de comuniaciones a Exchange Online. Exchange Online incluye características de antivirus y antispam, pero Baldwin también quiere que sus usuarios estén protegidos cuando exploren sitios provenientes del correo en forma de hipervínculos, y para ello ha establecido un modelo de varias capas aprovechándose también de las características de inspección de HTTPS de MS Forefront TMG 2010 para proteger los recursos internos de la empresa.

Filtrado HTTP y HTTPS en Forefront TMG 2010

Este enfoque de varias capas nos permite estar seguros en la nube tal y como vemos en el siguiente ejemplo:

• Un usuario remoto envía un correo electrónico a un cliente en las instalaciones de Baldwin.

• El mensaje está infectado con un virus y Exchange Online Antivirus limpia el mensaje.

• Aparece una notificación de que llegó un nuevo mensaje en la casilla de correo del cliente.

• El usuario lee el mensaje y observa que hay un vínculo para descargar el último informe del sitio web de un socio. El usuario final identifica esto como un vínculo a un sitio seguro (usando HTTPS) y supone que es seguro descargar el informe.

• La característica de inspección de HTTPS de Forefront TMG 2010 analiza el tráfico, valida el certificado y proporciona la inspección al motor de inspección de malware para analizar el archivo que el usuario está intentando descargar. El motor de inspección de malware identifica el archivo como infectado y notifica al cliente que el archivo no se puede abrir, puesto que está infectado con un malware.


Figura 5: Filtrado de correo y HTTP en Forefront TMG 2010 y Exchange Online

Además, esta protección puede ser extendida con el uso de Forefront TMG 2010 Web Protection Service, que extiende las funcionalidades de filtrado que vienen por defecto en MS Forefront TMG 2010.

Refuerzo de directivas

La primera fase de migración de Baldwin solo cubre a los usuarios de la ubicación central, pero Baldwin tiene varias sucursales que funcionan de manera independiente en el día a día y necesita que sean ellas las que controlen su propio tráfico. También debe hacer esto adheriendo las reglas y directivas configuradas en la central. Para ello la solución pasa por un escenario de varias matrices permitiendo tener políticas de compañía a nivel de empresa.


Figura 6: Estructura de Matriz en Forefront TMG 2010

- Permite tener autonomía en cada sucursal y cumplir con las directivas de la compañía:Este modelo permite una vista central de administración para todas las matrices de la empresa a la vez que ayuda al cumplimiento de las directivas de la compañía. Además, al aplicar cambios en la política de firewall o reglas de Forefront TMG 2010 se asegura que todas las conexiones de los clientes cumplen con las nuevas directivas y reglas.

============================================================================
- Forefront TMG 2010: Una empresa en la nube (I de III)
- Forefront TMG 2010: Una empresa en la nube (II de III)
- Forefront TMG 2010: Una empresa en la nube (III de III)
============================================================================

El pasado 15 de Junio el equipo de producto de MS Forefront TMG 2010 puso a disposición pública el Software Update 1 Rollup 4 para el Service Pack 1 de Forefront TMG 2010. Este paquete acumulativo de hotfixes recoge las soluciones aplicadas para 11 casos de soporte documentados en la knowledge base, los artículos son:



- 2518663: El escaneo de ficheros tarda demasiado cuando se aplica la opción de "Bloquear ficheros de tamaño mayor que (MB)".
- 2518670: Los usuarios se tienen que reautenticar y se les deniega el acceso por una regla "All users" cuando la propieadad ReturnAuthRequiredIfAuthUserDenied está configurada a True.
- 2527291: Parte del contenido es enviado a los clientes cuando la inspección de malware está activa.
- 2518676: El último paquete ACK en una conexión SecureNAT ordenada es dropeado.
- 2518684: Conexiones salientes pueden fallar cuando la inspección HTTPS está activa y se dan timeouts.
- 2512710: El servicio wsprsrv.exe puede fallar cuando el filtro DiffServ está activo.
- 2493655: Conexiones de log a una base de datos SQL Server puede fallar si el "-" está en el nombre de la base de datos.
- 2512719: Cuando se instala Forefront UAG, TMG se instala primero y el servidor da un crash con el error "DRIVER_IRQL_NOT_LESS_OR_EQUAL".
- 2545464: No se puede conectar a un servidor HTTPS que no soporta TLS 1.0 si HTTPS inspection y HTTPSiClientProtocols están activados.
- 2535453: Se produce la alerta "E-Mail Policy - Configuration Reapplied" cuando se elimina un filtro de correo Forefront TMG.
- 2535454: Se produce la alerta "E-Mail Policy - Configuration Reapplied" cuando no están seleccionadas las opciones de escanear correos salientes o entrantes.

Hay que recordar que todos los hotfixes son aplicados en la siguiente revisión del prodcuto y que deben aplicarse cuando los errores se estén produciendo en el entorno de producción.
 

A veces ocurre que no se sabe si el producto antimalware que se ha instalado en un equipo posee las últimas definiciones desplegadas por el fabricante. O, en otro caso, es necesario conocer los cambios que introducido en esa última definición, como, por ejemplo, el nuevo malware detectado y su nivel de peligrosidad.

Para todas estas acciones, y algunas más, Microsoft posee el Centro de Protección contra Malware. Desde esta página es posible ver cual es la última versión de las definiciones antimalware enviada a los clientes, tanto para todos los productos de la familia Forefront, para Microsoft Security Essentials, Windows Intune o Windows Defender, de modo que es posible revisar si es la que se posee instalada.


Figura 1: Información sobre versión de definiciones

Ya con esa información es posible realizar una comparativa para revisar los cambios que se han llevado a cabo respecto a la versión anterior de definiciones. Para ello, únicamente es necesario hacer clic sobre el log de cambios de las definiciones antimalware o sobre el log de cambios de las definiciones Antispyware, donde se mostraran los cambios acaecidos.

A su vez, Microsoft da la opción de poder realizar la descarga manual de esas definiciones para realizar una implementación en aquellos equipos los cuales no poseen salida a internet para poder actualizarse.


Figura 2: Descarga manual de definiciones

Tal y como se puede apreciar, aparece la descarga tanto para 32 como 64 bits, y, en el caso de Microsoft Forefront, incluso para Network Inspector System NIS. Una vez se tenga decidido cuál es la descarga a realizar, únicamente es necesario cliquear sobre el enlace correspondiente, descargar y proceder a ejecutar el archivo.

Finalizada la instalacion, el equipo poseerá las últimas definiciones instaladas. Con lo cual, ante cualquier duda respecto a las definiciones que posea el equipo, o ante la necesidad de descargar de forma manual la última actualización, lo mejor es acceder al Centro de Protección contra Malware de Microsoft.