<< Forefront Protection 2010 for Exchange: Filtro de Retrodifusión (2 de 6) | Forefront TMG 2010: Protocol Message Definitions (2 de 3) >>

Forefront TMG 2010: Protocol Message Definitions (1 de 3)

by Admin 26. marzo 2011 09:10

============================================================================
- Forefront TMG 2010: Protocol Message Definitions (1 de 3)
- Forefront TMG 2010: Protocol Message Definitions (2 de 3)
- Forefront TMG 2010: Protocol Message Definitions (3 de 3)
============================================================================

Cada vez más a menudo, determinados protocolos que contaban con sus características y sus puertos correspondientes bien definidos, pasan a aparecer encapsularlos en otro tipo de tráfico para que su transporte sea factible en determinadas circunstancias, ya sea por problemas de conexiones o por un deseo de ocultarse.

Puede ponerse por ejemplo la forma en que se comprueba capacidad de establecer la conectividad a través de Microsoft Outlook con un sistema remoto de correo electrónico basado en Microsoft Exchange Server haciendo uso del protocolo RPC.

Sin embargo, como esta conexión se suele encontrar más allá de los límites de comunicación de la organización, y para poder operar sin tener que establecer una conexión mediante una red privada virtual (VPN), se decidió encapsular el tráfico del protocolo RPC sobre mensajes del protocolo HTTP. De esta forma, podría intercambiarse información utilizando un protocolo como es HTTP y puertos como el 443 que de forma estándar y común suelen estar abiertos y permitidos en todas las conexiones de red, con lo que no se obtienen problemas en la comunicación entre el cliente y el servidor.

Hoy en día, los mecanismos más recientes asignados a los sistemas de protección perimetral basados en Firewalls o Sistemas de Detección de Intrusiones, permiten que estos puedan analizar tanto tráfico HTTP como HTTPS para detectar la posible presencia de malware o ataques al sistema. Puesto que esta transmisión de protocolos encapsulados es muy particular, podría ser necesario generar excepciones a determinado tipo de tráfico, siendo para ello necesario conocer mejor como se encapsulan estos protocolos sobre HTTP y/o HTTPs.

Microsoft Forefront Threat Management Gateway TMG 2010 utiliza una funcionalidad concreta, conocida como “Protocol Message Definitions”, para poder identificar los diferentes tipos de mensajes del protocolo encapsulado. Cuando MS Forefront TMG 2010 determina que una transmisión coincide con uno de estos mensajes reconocidos por patrones, se exceptúa del proceso de inspección de malware, generando un canal más rápido de acceso. De forma predeterminada MS Forefront TMG 2010 proporciona la identificación de los siguientes tipos de protocolo:

- Conexión cliente-servidor RPC sobre HTTP/s.
- Conexión servidor-cliente RPC sobre HTTP/s.
- Servicios de Streaming.

La definición de cada uno de los mensajes de los protocolos se define a través de un objeto de administración COM de MS Forefront TMG 2010 llamado FPCProtocolMessageDefinition. El conjunto de todos ellos está contenido en el objeto FPCProtocolMessageDefinitions del array.

El objeto FPCProtocolMessageDefinition presenta una serie de propiedades, denominadas FPCProtocolMessageDefinitionParameter, que permiten determinar cuáles son los valores que se asignarán al objeto COM.

Con objeto de que los administradores puedan trabajar con estos componentes de forma cómoda, Microsoft ha desarrollado una serie de programas en formato Script, que permiten, desde la visualización hasta la posibilidad de agregar nuevas definiciones de mensajes de protocolos. En este artículo veremos cómo se pueden utilizar dichos scripts.

============================================================================
- Forefront TMG 2010: Protocol Message Definitions (1 de 3)
- Forefront TMG 2010: Protocol Message Definitions (2 de 3)
- Forefront TMG 2010: Protocol Message Definitions (3 de 3)
============================================================================