Con la inminente llegada del lanzamiento de la familia de productos Forefront en España, que tendrá lugar durante el primer trimestre del año que viene, hemos querido acercarnos a hablar con Raúl Moros, de Kabel, premiado con el galardón de Microsoft Most Valuable Professional en tecnologías Forefront y hacerle unas preguntas. Éste es el resultado.



Raúl Moros, MVP en tecnologías Forefront

1.- Hola Raúl, cuentanos ¿cómo se llega a ser MVP de Forefront? ¿Desde que año lo eres?

Como mucha gente sabe el galardón de MVP reconoce la experiencia y el conocimiento en alguna disciplina y que compartas ese conocimiento con la comunidad. En cuanto al conocimiento, no hay trucos, tiene que gustarte lo que haces y si disfrutas con ello se acaba convirtiendo casi en un hobby. En cuanto a la manera de compartir, hay muchas opciones: foros, grupos de noticias, charlas, webcasts, participación en eventos...A partir de ahí, alguien cree que eres merecedor del MVP, te propone, se evalúan tus méritos y cada año se va renovando. Me otorgaron el premio en Abril de 2008 y ahora en Enero toca renovar. Se lo pediré a los Reyes Magos.


2.- Dime tres características que sean diferenciadoras de Forefront UAG.

En general, como concepto, diría que la principal característica es el cambio de mentalidad en el acceso remoto. El foco no se pone en el acceso a la red sino en el acceso a las aplicaciones y eso es muy importante porque a cada cual le estamos dando sólo lo que necesita y no exponemos nuestros activos internos de manera indiscriminada. Centrándonos en soluciones SSL VPN diría que la primera caracteríticas diferencial de UAG es el control del punto de acceso, el poder condicionar el acceso a aplicaciones o a acciones dentro de las mismas (una subida o una bajada de un fichero, p.ej) dependiendo de que se cumplan ciertos requisitos en la estación del usuario. Más teniendo en cuenta que esta detección se puede realizar no sólo en sistemas operativos Windows sino también en Linux o Mac. La segunda es la inspección de URL y filtrado de contenidos, el poder modelizar las aplicaciones web de manera que sólo permitas acciones legítimas dentro de la aplicación. La última es la flexibilidad; la mayoría de las necesidades están cubiertas con funcionalidad por defecto, pero si necesitas algo especial, la plataforma es abierta como para poder desarrollar a medida caso todo lo que se te ocurra. Diría que es como un puzzle en el que dependiendo de cómo coloques las piezas puedes obtener siempre una foto diferente.


3.- ¿Has tenido alguna experiencia profesional de las tecnologáis Forefront en grandes empresas?

Las he tenido, sí, ¡¡y espero tener muchas más!! Hace años, cuando en una misma frase juntabas las palabras "Microsoft" y "Seguridad" obtenías "Vulnerabilidad" (o el corrector ortográfico te decía que eran términos incompatibles). Hoy, si juntas esas mismas palabras obtienes "Soluciones". Te podría hablar de casos de éxito con IAG, ISA Server, Forefront Client, Forefront for Exchange. Estoy ya haciendo y planificando pilotos de las nuevas versiones que están saliendo, como por ejemplo TMG. Las grandes empresas suelen ser un buen termómetro para medir las tecnologías porque sus necesidades suelen ser más complejas. No estoy diciendo que la seguridad sea más o menos importante dependiendo del tamaño de la empresa, sencillamente la casuística de una gran empresa es mayor a la de una pequeña y hasta ahora las experiencias están siendo muy buenas.


4.- ¿Se puede instalar UAG en servidores o sólo funciona en Appliances?

UAG va a estar disponibles en distintos sabores. Se podrá descargar el software e instalarlo en un servidor físico, se podrá instalar como una máquina virtual o se podrá adquirir un appliance con todo pre-instalado. Para gustos están los sabores.


5.- ¿Qué ventajas traerá la nueva versión de Forefront Client Protection 2010 con respecto a Forefront Client Security?

Te cuento lo que el NDA me permite y lo que hemos podido ver en Betas públicas. Sabes que el producto está en fase de desarrollo y podrían cambiar cosas de aquí a que salga. Por lo que se ha visto hasta ahora la idea es que dentro del mismo producto se puedan incluir otras defensas de la plataforma además del motor antimalware (virus y spyware) existente. Hemos podido ver una integración con el firewall personal (para imponer políticas conjuntamente), una prevención de intrusiones (al estilo del NIS de TMG), una extensión de NAP, informes de vulnerabilidades en la configuración del sistema operativo o aplicativos (Interner Explorer, SQL, IIS...), control de dispositivos extraíbles... Y todo ello integrado en una plataforma de gestión única y centralizada (FPM 2010) desde la que se pueden administrar políticas, recoger eventos, tomar acciones...Pero ya te digo que todavía no hay versión definitiva.


6.- Raúl, ¿cómo fue tu experiencia laboral para acabar trabajando en seguridad?

Yo empecé en el mundo de la administración de sistemas (con Novell, Windows 3.11 y NT 3.51). Luego me pasé a la consultoría. Comunicaciones, routers, switches, planes de direccionamiento IP, dominios NT...¡Dios, parezco el abuelo cebolleta! Empecé a hacer instalaciones de firewalls, antivirus, productos de alta disponibilidad, autenticación, en fin, el concepto que muchos teníamos de seguridad por entonces. Un día fui a un curso de desarrollo de aplicaciones web seguras que daba Instisec con Cuartango y Gonzalo Alvárez Marañón y aquello me abrió los ojos a otras cosas (eternamente agradecido). Mi mundo era más el networking y los sistemas, el desarrollo me quedaba un poco de lado. Claro, tampoco entendía todo lo que explicaban, pero me valió para empezar a curiosear otros mundos. Esa es la peor fase porque empiezas con muchas ansias de verlo todo y poco a poco te desesperas porque sientes que la seguridad abarca tantas y tantas cosas que es imposible llegar a todo. Luego fui asimilando también conceptos de gestión de la seguridad, normativas (NIST, ISO 17799, Cobit...) y creo que ahora estoy en un punto de equilibrio entre ambos mundos aunque en el fondo me sigo considerando un amateur porque sigue habiendo tantas y tantas cosas que aprender.


7.- NAP, DirectAccess o UAG, ¿qué ventajas o inconvenientes para controlar el acceso a la red tiene cada uno de ellos?

Diría que cada uno cubre un escenario diferente. Si quieres un control local de acceso necesitarás tecnologías como 802.1x que puedes complementar con NAP. Si el acceso es remoto y de usuarios internos con estaciones gestionadas te puedes quedar con DirectAcces y si quieres extender el acceso a otros usuarios no internos o la infraestructura no te lo permite tienes UAG, al margen del control que proporciona UAG del que ya hemos hablado.


8.- ¿Y se puede poner todo junto?

aquí diría que puedes hacer combinaciones de tres elementos pero tomados de dos en dos. El promiscuo del grupo es NAP. NAP complementa los requisitos de acceso tanto de DirectAcces como de UAG. UAG y DirectAcces son dos maneras diferentes de acceder, aunque el servidor de UAG integra también la función de DirectAccess de manera que reduces las necesidades de infraestructura.


9.- Y para administrar todos los productos de seguridad de una empresa, ¿qué se puede usar hoy en día?

¡¡ Externalizar la gestión de la seguridad !! Creo que a día de hoy se necesita mucho recurso humano porque muchas veces los proveedores de las soluciones son dispares y no se pueden administrar conjuntamente, al margen de que no hablan entre ellas. Creo que es un aspecto en el que los proveedores tiene que trabajar y el que lo consiga tiene ya mucho ganado. En ese sentido Microsoft ha dado un primer paso con FPM 2010 no sólo para centralizar la gestión de sus propios productos sino para formar un ecosistema con terceros (en la conferencia RSA de Abril se anunció que fabricantes como Kaspersky, Tipping Point, Juniper o Brocade desarrollarían una integración con FPM 2010 [1].


10.- ¿Te ha tocado la lotería de navidad o vas a tener que seguir trabajando?

No, nos espera otro año con salud. Como dijo el gran Groucho "Hay cosas más importantes que el dinero, pero todas son muy caras" ;-)