Cambios en la Suite de #Forefront.

¿Que tal cómo están?

La semana pasada salió la nueva edición de la revista LATAM Technology en donde esta publicado mi articulo sobre los cambios en la Suite de Forefront, aquí les dejo el articulo y la liga para que puedan leer todos los artículos de la revista.

Cambios en la Suite de Forefront.

Desde hace unos meses, como resultado de una mejor alineación en las soluciones de seguridad y protección, Microsoft anuncio cambios en el Roadmap de algunas soluciones de productos que pertenecen a la Suite de Forefront.

¿Cuáles son esos cambios?

• Forefront Online Protection for Exchange (FOPE): La siguiente versión de este producto que es de suscripción y que podemos encontrar en Office 365, ahora se llamara Exchange Online Protection.
• Forefront Protection 2010 for Exchange Server (FPE): Solución que nos ayudaba a tener protección en nuestro servidor de Exchange, este producto desaparecerá y la protección antimalware ahora se añadirá una protección básica de malware en la solución de Exchange Server 2013, esta protección podrá ser deshabilitada fácilmente, remplazada o trabajar en conjunto con otros servicios como podría ser el nuevo Exchange Online Protection, para tener una capa más de protección.
• Se descontinuaran algunos productos y en algunos casos nuevas versiones de productos que pertenecen a la Suite de Forefront, como lo son:
• Forefront Protection 2010 for Exchange Server (FPE).
• Forefront Protection 2010 for SharePoint (FPSP).
• Forefront Security for Office Communications Server (FSOCS).
• Forefront Threat Management Gateway 2010 (TMG).
• Forefront Threat Management Gateway Web Protection Services (TMG WPS).

Para las soluciones de SharePoint y Lync, se seguirá manteniendo los complementos de seguridad con los que cuentan estas soluciones para mantener seguros los documentos que comparten por estos medios.

Para las cuestiones de acceso remoto, se podrán utilizar ahora soluciones como lo son Direct Access y Remote Access Server (RRAS), soluciones que son características ahora que podemos habilitar de una forma más sencilla en nuestro servidor con Windows Server 2008 R2 y Windows Server 2012, conservando los temas de seguridad.

Cabe mencionar que Forefront Unified Access Gateway (UAG) 2010, continúa y seguirá otorgando seguridad en la publicación de aplicaciones y SSL VPN para dispositivos móviles.

Los productos que no sufrirán cambios en su Roadmap son Forefront Identity Manager 2010 (FIM) y como lo mencione anteriormente Forefront Unified Access Gateway 2010 (UAG), un ejemplo de esto que el SP2 de UAG fue liberado en Agosto del 2012 y el R2 de FIM se liberó en Junio 2012.

 

Si desean leer todos los artículos de la revista LATAM Technology pueden ingresar a esta liga. http://bit.ly/RevistaLT9

Saludos

Read Full Post »

Soluciones de la Suite de #Forefront.

Como vimos en el post anterior, dentro de la suite de Forefront podemos encontrar soluciones que nos permiten tener protegida nuestra infraestructura desde la capa de seguridad en el cliente y servers, seguridad en las aplicaciones y seguridad en la capa perimetral.

Ahora describiremos cada una de las soluciones de Forefront 2010, para que sepamos cómo nos permiten proteger nuestra infraestructura.

Capa Seguridad en el cliente y servidores.

Forefront Endpoint Protection 2010 (FEP) o ahora System Center Endpoint Protection (SCEP) 2012.

• Provee protección contra malware como lo puede ser algún Spyware, Virus y otros.
• Actualización automática.
• Integración con las políticas existentes en el directorio activo.
• Mejora el performance al momento del escaneo.
• Puede ser instalado en equipos que tengan Windows XP SP2, Windows Vista, Windows 7, Windows Server 2003, Windows Server 2008, equipos virtual izados.
• Administración del Firewall desde sus políticas.
• Escaneo Selectivo.
• Integración con SCCM 2007R3.

Capa Seguridad en los servidores de aplicaciones.

• Forefront Protection for Exchange Server 2010 (FPE).
• Provee protección en el tráfico del correo, contra amenazas tipo Virus, SPAM y archivos.
• Contiene 5 motores de búsqueda, con lo que en una sola solución de antivirus contamos con protección de 5 motores de antivirus.
• Integración con Exchange Server.
• Escaneo selectivo por roles del servidor de Exchange y buzones.
• Se puede generar políticas de filtrado de contenido para mantener evitar que los usuarios manden correos con palabras o documentos no autorizados.

• Forefront Online Protection for Exchange (FOPE).
• Servicio de suscripción en la nube.
• Nos ayuda a tener protección en los buzones de correo antes de que lleguen a nuestro servidor de Exchange.
• Cuenta con políticas de protección a nivel global y personalizadas.
• Tiene una consola de administración web donde se pueden administrar el servicio.
• Incluido en la suscripción E3 de Office 365.

• Forefront Protection for SharePoint Server 2010 (FPSP).
• Provee protección a la documentación contenida en nuestro SharePoint, contra virus y tipo de archivos.
• Cuenta con los mismos 5 motores de antivirus que FPE.
• Integración con SharePoint Server 2010.
• Se puede generar políticas de filtrado de contenido para evitar que los usuarios generen o descarguen documentos con palabras o extensiones no permitidas.

• Microsoft Forefront Security for Office Communications Server (FSOCS).
• Aunque sigue siendo la versión 2007 puede ser integrado a OCS y a Lync.
• Provee protección a los mensajes instantáneos que son enviados desde OCS y Lync contra virus, tipos de archivos y palabras.
• Cuenta con los mismos 5 motores de antivirus que FPE y FPSP.
• Se pueden generar políticas de filtrado de contenido para evitar que los usuarios envíen mensajes con palabras y archivos no permitidos.

• Microsoft Forefront Protection Server Management Console 2010 (FPSMC).
• Esta consola nos permite administrar de una forma centralizada las consolas de FPE, FPSP y FSOCS.
• Con ella podemos centralizar las actualizaciones de los motores de antivirus y distribuirlas a los demás servidores.
• Consola de tipo web.
• Generación de perfiles de usuarios.

Capa Seguridad Perimetral.

• Forefront Threat Management Gateway 2010 (TMG).
• Firewall de tipo software.
• Control de acceso a internet.
• Contiene políticas de antivirus lo que nos permite evitar que los usuarios ingresen a sitios o descarguen archivos que se encuentran infectados.
• Permite generar reglas para conexiones tipo VPN.

• Forefront Unified Access Gateway 2010 (UAG).
• Control de acceso a recursos que se encuentran dentro de nuestra red corporativa.
• Podemos generar políticas de acceso por Direct Access.
• Nos permite controlar el acceso remoto.

• Forefront Identity Manager 2010 (FIM).
• Administrador de identidad y acceso.
• Nos permite administrar el ciclo de vida de las credenciales, desde que son creadas hasta que son desactivadas.
• Portal de autoservicio para el usuario, donde puede resetear su contraseña en caso de ser olvidada, o bien inscribirse a los grupos de seguridad o de distribución a los que deba de tener acceso de acuerdo a su rol.
• Compatible con otras soluciones de terceros como Oracle, SAP, soluciones generadas en casa y soluciones Microsoft.

Read Full Post »

Historia de #Microsoft #Forefront.

Microsoft Forefront es una suite de productos de seguridad empresariales que nos provee de seguridad, protección y control de nuestra infraestructura de red, ayudándonos a tener una administración simplificada e integración con la infraestructura existente en nuestra empresa.

La Suite de Forefront cuenta con soluciones que pueden ser integradas fácilmente a otras soluciones de Microsoft y en algunos casos con soluciones de terceros.

Algunas de las características que nos ofrece la Suite de Forefront, son:

• Defensa en profundidad.
• Simplificación de la administración.
• Integración con soluciones Microsoft y en algunos casos con soluciones de terceros.
• Integración con la infraestructura existente.

La primer Suite de Forefront que se libero fue en el año 2007 en donde la integraban las siguientes soluciones:

• Microsoft Forefront Client Security (FCS): En algunas ocasiones lo pudimos haber encontrado con el nombre de Microsoft Client Protection.
• Microsoft Forefront Security for Exchange Server (FSES): Anteriormente llamado Antigen for Exchange.
• Microsoft Forefront Security for SharePoint Server (FSSPS): Anteriormente llamado Antigen for SharePoint.
• Microsoft Forefront Security for Office Communications Server (FSOCS): Anteriormente llamado Antigen for Instant Messaging.
• Microsoft Forefront Server Security Management Console (FSSMC).
• Microsoft Internet Security and Acceleration (ISA) Server 2004.
• Internet Application Gateway (IAG) 2007: Línea de producto adquirida de Whale.

En el caso de las soluciones para Exchange, SharePoint y Office Communications Server, Microsoft adquirió la línea de productos de Antigen que estaba certificada para trabajar con las soluciones de Microsoft e integrarlos a la Suite de Forefront; en el caso de Internet Application Gateway (IAG) la línea de productos es adquirida de Whale.

Posteriormente se realiza la liberación de la versión 2010 en el año de 2009, en donde algunos productos que la integraban en la primera versión como las soluciones de ISA Server y UAG cambian su nombre y toman y se integran soluciones como Microsoft Identity Integration Server (MIIS) e Identity Lifecycle Manager (ILM), para trabajar como un solo producto, Forefront Online Protection for Exchange, como un servicio de suscripción en la nube, quedando de la siguiente forma.

Forefront Endpoint Protection 2010 (FEP).

Forefront Protection for Exchange 2010 (FPE).

Forefront Online Protection for Exchange 2010 (FOPE).

Forefront Protection for SharePoint 2010 (FPSP).

Threat Management Gateway 2010 (TMG): Anteriormente ISA Server.

Unified Access Gateway 2010 (UAG): Anteriormente IAS 2007.

Forefront Identity Management 2010 (FIM): Anteriormente Microsoft Identity Integration Server (MIIS) e Identity Lifecycle Manager (ILM).

Microsoft Forefront Protection Server Management Console 2010 (FPSMC): Anteriormente Microsoft Forefront Server Security Management Console (FSSMC).

Con la liberación de System Center Configuracion Manager 2012 (SCCM), aparece System Center Endpoint Portection 2012 (SCEP), la nueva versión del antivirus pero ahora ya cambiando formando parte de la Suite de System Center y dejando de formar parte de la familia de Forefront.

Como podemos ver la suite de Forefront, nos ayuda a tener la protección en las tres capas de nuestra infraestructura, Escritorio / Laptops, Servidores y Aplicaciones, y la capa Perimetral y dado que un gran porcentaje de compañías tienen infraestructura Microsoft la Suite de Forefront puede integrarse con esta infraestructura existente.

           

Read Full Post »

Icono sin conexión a internet con #TMG.

¿Que tal como están?

Hace unos días estaba liberando TMG en producción en la empresa, todo iba bien hice la configuración para que el DHCP mandara como Default Gateway la dirección IP de TMG.

Hice la prueba con mi equipo y me apareció el mensaje de que No tenia acceso a internet, pero lo raro es que si salía a internet, por lo que me puse a revisar la configuración del TMG para ver por donde se encontraba la falla.

Después de un rato de revisar la configuración de TMG y del DHCP, me encontré con lo siguiente:

Anteriormente el ISA Server 2004 estaba configurado en el DHCP en la opción del WPAD (Web Proxy Autodiscovery Protocol).

  

Lo único que hice fue quitar esta configuración, dar un ipconfig /release y un ipconfig /renew y con esto se soluciono el inconveniente.

Con esto quedo solucionada la conexión, espero esto les sea de utilidad.

Read Full Post »

Solución EventID #2536 #SPN no registrado en #TMG

¿Que tal su día, como están?

Bueno pues siguiendo con esta revisión del ambiente de TMG, me he encontrado con otra Alerta, esta alerta me indica que el Service Principal Names (SPN’s) no esta registrada para la configuración de almacenamiento en el servidor de TMG (The Service Principal Names (SPN’s) for the configuration storage server are not registere).

Cuando el SPN no esta registrado, esto causa perdida de conectividad, pero de hecho cuando instalamos Forefront TMG el SPN es registrado automáticamente y se vuelve a registrar automáticamente por el servicio de ADAM_ISASTGICTRL si es eliminado.

Si quisiéramos saber por que no esta registrada podemos revisar los eventos de AD DS (ISASTGCTRL) buscando el evento 2536.

Para solucionar esto podríamos correr el siguiente comando:

• Abrimos una ventana de Command Prompt.
• Dentro de esta ventana escribimos el siguiente comando:
  • setspn –Q ldap/nombreserver.dominio.xxx.xx:2171.
• O podrían ejecutar el comando:
  • setspn –X.
• Con este ultimo comando podemos revisar cuales son los SPN’s duplicados.

Podemos encontrar mas información aquí.

Espero que esta información les ayude a solucionar el inconveniente.

Read Full Post »

Solución de error al iniciar el Cache en #TMG

¿Como están?

Continuando con la revisión de un TMG, me he encontrado con otra alerta, esta indica un problema al tratar de iniciar el Contenedor del Cache, el código interno de este error es 503.7472.7.0.9027.450.

Este inconveniente se puede presentar por alguno de estos motivos:

• Se agota el tiempo disponible para completar las operaciones con el Cache.
• Problemas con el disco duro, posiblemente algún daño o esta corrupto.

Bien para el tema del tiempo la solución que les recomiendo es cambiar el tiempo de espera, para realizar esto tendremos que hacer lo siguiente:

• En el menú de Inicio (Start) – Ejecutar (Run) escribimos Regedit y Aceptamos.

• Una vez dentro del Editor de Registro (Registry Editor), nos vamos a la siguiente ruta:
  • HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\ WaitToKillServiceTimeout

• Modificamos este atributo normalmente tiene 12000 como valor predefinido, para modificarlo damos clic derecho sobre la llave y presionamos la opción Modificar (Modify) y cambiamos el valor a 24000, Aceptamos.

Con esto esta Alerta ya no debe de aparecernos en caso de que continuara le podemos aumentar mas el tiempo o revisar el estado del disco.

Espero que esto les ayude a evitar esta alerta.

Read Full Post »

Cambiar la ruta donde se guardan los Logs en #TMG

¿Que tal, cómo están?

Hace uno minutos estuve revisando las alertas de una persona que tiene instalado TMG y entre sus alertas existía una que le indicaba que la capacidad se estaba viendo afectada por la configuración de los Logs en cuanto a capacidad.

Lo único que hay que realizar para que estas alertas no nos aparezcan de nuevo, es como buena practica, cambiar la ubicación de los Logs, no les recomiendo dejarlos en la misma unidad del Sistema Operativo, si llegan a tener una partición adicional o una unidad física adicional, les recomiendo mejor enviar los Logs hacia allá.

Pero como cambiamos esta ubicación de los Logs, para realizar esta configuración debemos de hacer lo siguiente:

• Dentro de la Consola de Administración de TMG (Forefront TMG Management Console), damos clic en Logs y Reportes (Logs & Reports).

• Una vez estando ahí, en el panel de Tareas (Task Panel), por debajo de Configuración de Logeo (Configure Logging), seleccionamos Configurar Log Queue (Configure Log Queue).

  

Una vez realizadas estas configuraciones, esta alerta no aparecerá de nuevo.

Solo como dado, es importante verificar que el servidor tenga acceso a esa unidad y bloquearla para que nadie elimine los datos, ya que los Logs son importantes para cualquier detalle de recuperación.

Read Full Post »

Update 1 Rollup 3 (#KB2498770) para #TMG SP1.

Hace unos días el equipo donde tengo instalado el TMG estaba presentado este error, al intentar hacer una conexión RDP hacia el, este problema documente hace tiempo con ISA Server 2006 y en ocasiones me había resultado con TMG, pero desde hace unos días para acá no me dejaba establecer la conexión remota ni la administración por la consola de cliente.

Bien, pues por mas que hacia la configuración que comentaba en ese articulo no se solucionaba, por lo que me puse a buscar en el sitio de Microsoft y encontré que había una actualización la cual solucionaba este inconveniente, el KB2498770 que pueden descargar es un Rollup 3 que esta disponible para TMG SP1, siempre y cuando tengamos instalada la actualización 1 para SP1.

Les recomiendo que antes de instalar este Rollup hagan un respaldo de toda la configuración de TMG, como hacemos esto?

• Lo primero será ingresar a la consola de TMG.

  

• En Forefront TMG (Nombre de nuestro servidor) en la sección de Tareas (Task), seleccionamos Exportar (Respaldo) – Export (Back Up).

• Le damos Siguiente (Next) en la ventana de Bienvenida.

• En la pestaña de Preferencias de Exportación (Export Preferences), les recomiendo colocarle una contraseña al documento y exportar también la configuración de permisos.

 

• Tendremos que seleccionar una ubicación para guardar este archivo de respaldo.

Una vez esto hecho solo esperamos a que termine de realizarse el respaldo y ahora podremos continuar con la instalación del Rollup 3.

Uno de los prerrequisitos para instalar el Rollup 3 es tener instalado Software Update 1 para TMG SP1, este lo pueden descargar de aquí.

Para saber que otros inconvenientes nos puede ayudar a resolver el Rollup 3 pueden presionar aquí.

Ahora bien la instalación del Rollup 3 es muy sencilla, otra cosa que debemos de tener en cuenta adicional a realizar el respaldo es que no habrá acceso a internet por unos minutos, mientras se realiza la instalación del Rollup 3.

• Lo que tendremos que hacer es ejecutar el setup de instalación.

• En la pantalla de Bienvenida le damos clic en Siguiente (Next).

• Aceptamos la Licencia Comercial y damos clic en Siguiente (Next).

• En la configuración de algún Storage Server tendríamos que colocar las credenciales y el servidor que este jugando ese rol y damos Siguiente (Next).

• Ahora podemos presionar el botón de Instalar (Install).

• Comenzara el proceso de instalación, es aquí cuando se empezaran a detener los servicios de TMG y no habrá acceso a internet, esperemos a que termine y podemos presionar Finalizar.

 

Espero que esta guía les ayude a la revisión y solución de sus inconvenientes.

Read Full Post »

El Documento Informativo de Seguridad #KB2524375 de #Microsoft ha sido liberado

Microsoft liberó el Documento Informativo de Seguridad 2524375 – Certificados digitales fraudulentos podrían habilitar la suplantación de identidad, el 23 de marzo del 2011.

Resumen

Microsoft conoce nueve certificados digitales fraudulentos emitidos por Comodo, una entidad autorizada que emite certificados, y que está presente en la Tienda de Entidades Emisoras de Certificados Raíz de Confianza en todas las versiones con soporte de Microsoft Windows. Comodo notificó a Microsoft el 16 de marzo del 2011 que se firmaron nueve certificados en nombre de un tercero sin una validación suficiente de su identidad. Estos certificados pueden utilizarse para suplantar contenido, realizar ataques de suplantación de identidad, o llevar a cabo ataques "hombre en el medio" contra todos los usuarios del explorador, incluyendo los usuarios de Internet Explorer.

Se ven afectados los certificados de las siguientes propiedades Web:

· login.live.com

· mail.google.com

· http://www.google.com

· login.yahoo.com (3 certificados)

· login.skype.com

· addons.mozilla.org

· "Fideicomisario global"

Comodo revocó estos certificados, y se incluyen en la Lista de revocación de certificados (CRL) actual de Comodo. Además, los exploradores que se habilitaron en el Protocolo de estado de certificados en línea (OCSP) validarán interactivamente estos certificados y los bloquearán para impedir que se utilicen.

Mas información de este Documento la podrán encontrar aquí.

Si contamos con TMG como Firewall podemos habilitar HTTPS Inspection, para tener mas protección en nuestra red.

Read Full Post »

Publicar un sitio de #SharePoint 2010 en #TMG

Que tal ahora que estoy terminando la configuración del sitio de SharePoint de la empresa, ha llegado el momento de hacer la publicación de este, por medio de TMG.

Aquí les dejo los pasos para hacer la configuración de la publicación del sitio.

• Lo primero que tenemos que hacer es ejecutar el Asistente para la configuración de una política para publicar sitios web, este lo podemos ejecutar en el panel de tareas de Firewall en Publicar de Sitios Web (Publish Web Sites).

• Nos aparecerá el Asistente de Configuración, donde tendremos que ponerle un nombre a esta Regla para identificarlo.

• Seleccionamos la Acción de Permitir (Allow).

• En la ventana siguiente tendremos que seleccionar entre las opciones de Publicar un solo sitio, una granja o múltiples sitios, para esta ocasión, seleccionamos Publicar un solo Sitio Web.

• En la ventana de Seguridad, seleccionamos conexiones no seguras HTTP para esta ocasión.

• Aquí tendremos que declarar el nombre interno del sitio web y la IP del servidor donde esta el sitio de SharePoint.

• En la siguiente ventana activamos la casilla correspondiente al Host Header.

• Aquí es donde tendremos que declarar el nombre publico que tendrá este sitio, puede ser igual al que declaramos anteriormente.

• Seleccionamos el Web Linstener, que ya existe HTML o pueden generar uno adicional en caso de que quieran hacer alguna configuración personal.
• En la ventana de Delegación, seleccionamos No delegation, but client may authenticate direclty.

• En usuarios dejamos All Authenticated Users y finalizamos el asistente.

 

Ahora bien les recomiendo hacer unos pequeños cambios

 

• Entramos a las propiedades de la regla que acabamos de generar y en la pestaña de Hacia (To), le indicamos la IP del servidor donde esta el sitio, solo en caso de que no lo hubiéramos declarado anteriormente en el paso.

• En la pestaña de Web Listener, seleccionamos el Web Listener y le damos clic al botón de Editar (Edit), en la pestaña de Autenticación (Authentication) seleccionamos HTTP Authentication y habilitamos las casillas de Basic, Digest e Integrated, presionamos el botón de Avanzadas (Advanced) y seleccionamos Permitir autenticación del cliente sobre HTTP (Allow client authentication over HTTP) y aceptamos el mensaje que nos aparece.

 

Una vez hechos estos pasos, aplicamos el cambio de la configuración en TMG y podremos acceder a nuestro sitio desde cualquier lado.

Un tema que hay que tener en cuenta es que podemos tener diferentes direcciones para entrar de manera interna (LAN) como de manera externa (Internet), si lo tenemos así tenemos que habilitar la configuración de Mapeo Alterno en el SharePoint para poder hacer uso de esta regla de una mejor forma.

Read Full Post »