Feeds:
Entradas
Comentarios

Posts Tagged ‘ISA Server’

Microsoft Forefront es una suite de productos de seguridad empresariales que nos provee de seguridad, protección y control de nuestra infraestructura de red, ayudándonos a tener una administración simplificada e integración con la infraestructura existente en nuestra empresa.

La Suite de Forefront cuenta con soluciones que pueden ser integradas fácilmente a otras soluciones de Microsoft y en algunos casos con soluciones de terceros.

Algunas de las características que nos ofrece la Suite de Forefront, son:

  • Defensa en profundidad.
  • Simplificación de la administración.
  • Integración con soluciones Microsoft y en algunos casos con soluciones de terceros.
  • Integración con la infraestructura existente.

La primer Suite de Forefront que se libero fue en el año 2007 en donde la integraban las siguientes soluciones:

  • Microsoft Forefront Client Security (FCS): En algunas ocasiones lo pudimos haber encontrado con el nombre de Microsoft Client Protection.
  • Microsoft Forefront Security for Exchange Server (FSES): Anteriormente llamado Antigen for Exchange.
  • Microsoft Forefront Security for SharePoint Server (FSSPS): Anteriormente llamado Antigen for SharePoint.
  • Microsoft Forefront Security for Office Communications Server (FSOCS): Anteriormente llamado Antigen for Instant Messaging.
  • Microsoft Forefront Server Security Management Console (FSSMC).
  • Microsoft Internet Security and Acceleration (ISA) Server 2004.
  • Internet Application Gateway (IAG) 2007: Línea de producto adquirida de Whale.

En el caso de las soluciones para Exchange, SharePoint y Office Communications Server, Microsoft adquirió la línea de productos de Antigen que estaba certificada para trabajar con las soluciones de Microsoft e integrarlos a la Suite de Forefront; en el caso de Internet Application Gateway (IAG) la línea de productos es adquirida de Whale.

Posteriormente se realiza la liberación de la versión 2010 en el año de 2009, en donde algunos productos que la integraban en la primera versión como las soluciones de ISA Server y UAG cambian su nombre y toman y se integran soluciones como Microsoft Identity Integration Server (MIIS) e Identity Lifecycle Manager (ILM), para trabajar como un solo producto, Forefront Online Protection for Exchange, como un servicio de suscripción en la nube, quedando de la siguiente forma.

  • Forefront Endpoint Protection 2010 (FEP).
  • Forefront Protection for Exchange 2010 (FPE).
  • Forefront Online Protection for Exchange 2010 (FOPE).
  • Forefront Protection for SharePoint 2010 (FPSP).
  • Threat Management Gateway 2010 (TMG): Anteriormente ISA Server.
  • Unified Access Gateway 2010 (UAG): Anteriormente IAS 2007.
  • Forefront Identity Management 2010 (FIM): Anteriormente Microsoft Identity Integration Server (MIIS) e Identity Lifecycle Manager (ILM).
  • Microsoft Forefront Protection Server Management Console 2010 (FPSMC): Anteriormente Microsoft Forefront Server Security Management Console (FSSMC).
  • Con la liberación de System Center Configuracion Manager 2012 (SCCM), aparece System Center Endpoint Portection 2012 (SCEP), la nueva versión del antivirus pero ahora ya cambiando formando parte de la Suite de System Center y dejando de formar parte de la familia de Forefront.

    Como podemos ver la suite de Forefront, nos ayuda a tener la protección en las tres capas de nuestra infraestructura, Escritorio / Laptops, Servidores y Aplicaciones, y la capa Perimetral y dado que un gran porcentaje de compañías tienen infraestructura Microsoft la Suite de Forefront puede integrarse con esta infraestructura existente.

    as

    FF_0001_ninja   FF_0002_pokeFF_0003_photocopier   FF_0005_sellforefront   forefrontad2microsoft-forefront   sweeps_02image17

    Anuncios

    Read Full Post »

    ¿Que tal como están?

    Hace unos días estaba liberando TMG en producción en la empresa, todo iba bien hice la configuración para que el DHCP mandara como Default Gateway la dirección IP de TMG.

    1

    Hice la prueba con mi equipo y me apareció el mensaje de que No tenia acceso a internet, pero lo raro es que si salía a internet, por lo que me puse a revisar la configuración del TMG para ver por donde se encontraba la falla.

    Después de un rato de revisar la configuración de TMG y del DHCP, me encontré con lo siguiente:

    Anteriormente el ISA Server 2004 estaba configurado en el DHCP en la opción del WPAD (Web Proxy Autodiscovery Protocol).

    2   3

    Lo único que hice fue quitar esta configuración, dar un ipconfig /release y un ipconfig /renew y con esto se soluciono el inconveniente.

    4

    Con esto quedo solucionada la conexión, espero esto les sea de utilidad.

    Digg This

    Read Full Post »

    Que tal en días pasados tuve un inconveniente al querer hacer una conexión remota al servidor ISA 2006 que tengo en la oficina, como sabemos en la configuración de sistema existe la regla para poder hacer la conexión entre equipos que estén dentro de la red hacia el ISA Server, pues bien la regla estaba bien configurada ya que hasta hace unos días, podía establecer la conexión sin problema, pero desde hace unos días, me presentaba un error al momento de querer hacer la conexión.

    Le dedique un tiempo a revisar este tema y genere un monitoreo hacia el servidor por el puerto 3389 para el RDP, en el resultado del monitoreo pude ver en el Result Code, lo siguiente Error 0x80074e21 FWX_E_ABORTIVE_SHUTDOWN y otro abajo que decía 0x0 ERROR_SUCCESS.

    0x80074e21  0x80074e21_2_FWX_E_Abortive_Shutdown

    Bueno pues me puse ha hacer algunas pruebas para ver como podía solucionar este error y lograr que me pudiera conectar remotamente al servidor. Entre las pruebas que hice fueron:

    • Configurar y cambiar el puerto de RDP.
    • Crear una nueva regla.
    • Deshabilitar y Habilitar la regla que esta por default.

    Pero ninguna de estas me funciono por lo que me puse a revisar y encontré dos posibles soluciones.

    La primera consiste en:

    • Abrir una consola de MMC.
    • Agregar el Snap-in de Terminal Services Configuration.
    • Desplegamos Terminal Services Configuration.
    • Dentro de Configuration seleccionamos RDP-Tcp damos clic derecho y seleccionamos Propiedades (Properties).
    • Dentro del tab de General por debajo de Seguridad (Security), seleccionamos la opción Security Layer y seleccionamos Negotiate.
    • Hacemos la conexión remota y una vez que la logremos regresamos la opción de Security Layer a RDP Security Layer.

    1

    Esta me funciono pero solo por una ocasión, la siguiente fue la que hasta el momento no me ha causado inconvenientes.

    • Lo que hay que es abrir la consola de Servicios (Services) desde el menú de ejecutar escribimos Services.msc
    • Seleccionamos Remote Access Connection Manager y lo reiniciamos con esto podremos establecer la Conexión Remota sin inconvenientes.

    2

    Con esta ultima configuración podemos solucionar este inconveniente.

    Read Full Post »

    En estos días que he estado configurando y haciendo pruebas con el TMG de Forefront, me encontré con este error de Conexión Denegada, esto causa que algunos usuarios no puedan tener acceso a internet.

    12209a

    Esto pasa porque la opción de que todos los usuarios requieran autenticación esta habilitada, por lo que, todos los usuarios deben de estar autenticados para poder salir a internet. Todas las peticiones que los usuarios que no están autenticados (por ejemplo los usuarios que no son miembros del domino aquellos que son visitantes) no podrán acceder a internet.

    Pues bueno la solución a esto es deshabilitar esta opción, lo que tenemos que hacer es lo siguiente:

    • Abrir nuestra Consola de TMG, dando clic en Inicio – Microsoft Forefront TMG – Forefront TMG Management.
    • Dentro de la Consola de TMG desplegamos Forefront TMG (Nombre_del_Servidor).
    • Seleccionamos la opción de Creación de Redes (Networking).
    • En el panel central seleccionamos la pestaña de Redes (Networks), ahí tendremos que seleccionar el segmento de red por la que están saliendo, dar clic derecho y seleccionar Propiedades.
    • Dentro de la ventana de propiedades de la red nos vamos a la pestaña de Web Proxy y damos clic en el botón de Autenticación (Authentication).
    • Una vez dentro de la ventana de Autenticación (Authentication) deshabilitamos la casilla de Todos los usuarios requieren autenticarse (Requiere all users to authenticate), aceptamos y aplicamos los cambios en TMG.

    12209(a)

    Con esto el problema debe de quedar resuelto, de esta forma también podemos solucionar el mismo inconveniente en ISA Server.

    Read Full Post »

    Hace unos días hice la publicación de la solución al error 0xc0040014 en ISA Server 2004, después de esto alguien me comento que le seguía apareciendo este problema, después de revisar su configuración, vimos que tenia configurado IPSec, y pues bueno también le estaba ocasionando y mandando este error al hacer la configuración, esto por la forma en que IPSec trabaja hace que el tiempo de espera llegue a su limite y, lo que tendremos que hacer es aumentar este tiempo de espera.

    La solución, al igual que en la entrada anterior, es generar unos cambios en el Registro, como siempre les recomiendo hacer un respaldo de su Registro antes de hacer cualquier cambio.

    Lo que tenemos que hacer para solucionar esto es:

    • Damos clic en Inicio – Ejecutar, escribimos Regedit y damos Enter
    • Buscamos la siguiente subclave del Registro:

      HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Serviecs\IPsec

    • Aquí tenemos que agregar la siguiente entrada de registro SAIdleTime . Si esta entrada ya existe, modificamos el valor. Para ello, hacemos lo siguiente:
      • Damos clic con el botón secundario en la clave del registro de IPSec, seleccionamos nuevo y, a continuación, damos clic en Valor DWORD .
      • Escribimos SAIdleTime y, damos clic en Enter.
      • Damos clic derecho en la entrada del registro de SAIdleTime y, a continuación, seleccionamos Modificar .
      • Seleccionamos decimal , escribimos 3600 en el cuadro de datos de valor y, a continuación, damos clic en Aceptar .
        Nota El valor predeterminado para la entrada de registro SAIdleTime es 300 segundos. El valor máximo que puede establecer para la entrada es 3.600 segundos. Debe establecer el valor en 3.600.
    • Cerramos el Editor de Registro.
    • Reiniciamos el equipo.

    Espero les sea de utilidad esta modificación.

    Read Full Post »

    Hace unos días que estaba declarando una regla en el ISA para que una maquina saliera por el puerto 3389 RDP (Terminal Services), me encontré con que no estaba haciendo la conexión al equipo que quería administrar de forma remota, por lo que me metí a revisar el log de ISA.

    Ahí me encontré con que la maquina me ponía un estado de Conexión Denegada, pero en la columna de la Regla que estaba afectando esta, no me aparecía nada, estaba en blanco.

    Pues bueno lo primero que hice fue a la ventana de Logeo de ISA Server le agregue la columna de Status Code, Error Information y Result Code, por lo que me di cuenta del código de error, el error era 0xc0040014 FWX_E_FWE_SPOOFING_PACKET_DROPPED.

    Esto pasa porque la característica de IP Spoof Detection esta habilitada por default en ISA Server 2004 y 2006, tengo entendido que también en TMG y como no hay una forma de deshabilitarlo manualmente, esta característica se tiene que deshabilitar manualmente desde el Regedit.

    Bueno pues para hacer esto tenemos que seguir estos sencillos pasos, como siempre antes de hacer cualquier cambio en el Registro, les recomiendo hacer el respectivo respaldo.

    • Le damos clic en Inicio (Start) – Ejecutar (Run) y escribimos REGEDIT posteriormente presionamos OK.
    • Localizamos la siguiente llave 
    • HKEY_LOCAL_MACHINE/SYSTEM/CurrentControlSet/Services/FwEng/Parameters.

    Ojo puede ser que no este la llave de Parameters, por lo que tendremos que crearla para hacer esto le damos clic derecho sobre la llave FwEng, y seleccionamos Nuevo (New) – Llave (Key). En el nombre de la llave escribimos Parameters.

    • Una vez que ya tenemos la llave de Parameters, le damos clic derecho y seleccionamos Nueva (New), Valor DWORD (DWORD Value).
    • En el nombre escribimos DisableSpoofDetection y presionamos Enter
    • Damos clic derecho sobre DisableSpoofDetection y seleccionamos la opción Modificar (Modify) en el Valor de Dato (Value data) escribimos 1 y presionamos OK.

    Ojo, esto deshabilita la opción de IP Spoof Detection si quisiéramos activarla de nuevo cambiamos el Valor de DisableSpoofDetection a 0, que es el valor por Default.

    Nos salimos del Editor de Registro y reiniciamos el ISA Server, con esto ya podemos estar saliendo por el puerto deseado.

    Read Full Post »

    Ahora con tantos virus es necesario tener actualizado nuestro Antivirus, pero en muchas ocasiones, me han preguntado, porque cuando una persona llega con su lap de visita a una empresa que cuenta con ISA Server o TMG como Firewall, no pueden actualizar su antivirus Security Essentials, bueno pues aquí les dejo los pasos para configurar la regla y permitir la actualización de este Antivirus por medio de ISA Server o TMG.

    En el Caso de ISA Server 2004 o 2006 lo que tenemos que hacer es lo siguiente:

    Sobre la barra de navegación de la Izquierda le damos clic derecho sobre Políticas del Firewall (Firewall Policy) y seleccionamos la opción Editar Políticas del Sistema (Edit System Policy).

    30A7740B52195EC6_792_0[1]

    Cuando estemos dentro de la ventana Editor de Políticas de Sistema (System Policy Editor) debajo de la opción de Grupos de configuración (Configuration Groups), nos vamos a la opción de Varios (Various) y seleccionamos Descargas Programadas (Scheduled Downloads) y verificamos que la opción de Habilitado (Enable) este seleccionada.

    30A7740B52195EC6_792_1[1]

    Posteriormente seleccionamos la opción de Sitios Permitidos (Allowed Sites) verificamos que la opción en la pestaña de General este Habilitada (Enable) que hace esta opción, aquí lo que le estamos diciendo al ISA es que permita la salida hacia los sitios que en un momento vamos a configurar, sin solicitar credenciales o aun si se le esta bloqueando la salida al usuario hacia ciertos sitios, y en la pestaña de Hacia (To), vamos a ver los sitios a donde esta permitida la salida que hace un momento comentamos, dado que el sitio de actualización de Security Essentials, es una dirección IP, no la podremos agregar al grupo de System Policy Allowed Sites, por lo que, tendremos que generar un conjunto de URL’s.

    30A7740B52195EC6_792_2[1] 30A7740B52195EC6_792_3[1]

    30A7740B52195EC6_792_4[1] 30A7740B52195EC6_792_5[1]

    Lo que tendremos que hacer es darle clic al botón de Agregar (Add), y seleccionamos la opción de Conjunto de URL (URL Set), tendemos que declararle algún Nombre, ahora le daremos clic en el botón de Nuevo (New) y agregamos la dirección http://189.254.81.152/* que es en la que se actualiza el Security Essentials, posteriormente le damos clic en Ok para que se quede guardada este conjunto y lo podamos agregar

    30A7740B52195EC6_792_6[1] 30A7740B52195EC6_792_7[1] 30A7740B52195EC6_792_8[1]

    Una vez que lo agregamos le damos clic en la ventana de Editor de Políticas de Sistemas (System Policy Editor) y aplicamos los cambios al ISA Server.

    30A7740B52195EC6_792_9[1] 30A7740B52195EC6_792_10[1]

    Ahora bien los cambios en TMG son muy parecidos lo que cambiaria aquí es que ahora en la barra de navegación del lado izquierdo y daremos clic en Políticas del Firewall (Firewall Policy)

    30A7740B52195EC6_792_11[1] 30A7740B52195EC6_792_12[1]

    Ahora en la barra del lado derecho en el tab de Tareas (Task) seleccionamos la opción Editar Políticas de Sistema (Edit System Policy), de ahí en fuera la configuración continua como si estuviéramos en ISA Server, les dejo las imágenes de la configuración.

    30A7740B52195EC6_792_13[1] 30A7740B52195EC6_792_14[1] 30A7740B52195EC6_792_15[1]

    30A7740B52195EC6_792_16[1] 30A7740B52195EC6_792_17[1] 30A7740B52195EC6_792_18[1]

    30A7740B52195EC6_792_19[1] 30A7740B52195EC6_792_20[1]

    Espero les sirva esta configuración para poder actualizar 30A7740B52195EC6_792_21[1]

    Read Full Post »