2. Microsoft Forefront Threat Management Gateway (TMG)
Es un completo Gateway de seguridad web desarrollado por Microsoft que
ayuda a proteger a las empresas de las amenazas que existen actualmente
en internet. Simple manejo e interfaz con la que se puede habilitar una
seguridad perimetral perfecta a prueba de ataques gracias al firewall
integrado, VPN, prevención de accesos no autorizados, antivirus y anti-
spam.
Microsoft Forefront TMG estará también integrado en la nueva suite
completa de Forefront conocida con el nombre en clave de Microsoft
Forefront STIRLING.
Microsoft Forefront Threat Management Gateway TMG - Jorge Luis Constantino Salas 2
3. Características
Protección ante múltiples de ataques gracias a tener integrado un anti-
malware y antivirus, protecciones contra ataques de nivel de red y nivel de
aplicación y firewall multicapa.
Altamente seguro gracias a la protección contra ataques de usuarios web,
un sistema altamente fiable y seguro para la publicación por parte de
usuarios remotos y un sistema avanzado para VPN.
Gestión simplificada gracias a wizards que le ayudarán a configurarlo, un
servicio centralizado y un sistema de envío de e-mails integrado.
Inspección HTTPS. Inspecciones paquetes cifrados con SSL para descubrir
malware, limitar el acceso a ciertas webs a sus empleados e incluso
pudiendo creando exclusiones a webs sensibles, como las bancarias,
evitando la inspección por parte de Forefront TMG.
Entre otras novedades ISP redundancia, sistema de inspección de red, 64
bit, gestión centralizada de versiones Standard y Enterprise
Microsoft Forefront Threat Management Gateway TMG - Jorge Luis Constantino Salas 3
4. HARDWARE
Procesador : 1,86 GHz de 64 bits, procesador dual básico
Memoria: 4 GB, 800 MHz RAM
Disco duro : Espacio disponible de 2,5 GB., con el formato NTFS.
Adaptadores de red: Un adaptador de red compatible con el sistema operativo
del equipo para las comunicaciones con la red interna Un adaptador de red
adicional para cada red conectada al equipo de Forefront TMG.
SOFTWARE
Sistema Operativos: Ms Windows 2008 64 bits
Roles: Servidor de directivas de redes, Servicios de enrutamiento y acceso
remoto, Herramientas de Active Directory Lightweight Directory Services,
Herramientas de equilibrio de carga en la red y Windows Power Shell. En
el caso de no estar instalados, el mismo Forefront TMG instalará estos
roles. En el caso de desinstalar el TMG, deberá remover manualmente los
roles.
Aplicaciones: .NET 3.5 Framework SP1 y API de Windows Web Services.
Microsoft Forefront Threat Management Gateway TMG - Jorge Luis Constantino Salas 4
5. Potenciando la seguridad
TMG presenta nuevas características para la lucha contra las amenazas.
Presenta funcionalidad para la defensa tanto perimetral como en la
segmentación y protección de las redes interna.
Las nuevas características se suman a las funciones que contaba ISA Server
2006.
Nuevas funcionalidades Protección frente a amenazas
Defensa antimalware.
Filtrado URL por categorías.
Funcionalidades Antispam.
IPS.
Microsoft Forefront Threat Management Gateway TMG - Jorge Luis Constantino Salas 5
6. Tipos de Reglas:
Reglas de Acceso: Controlan el acceso entre las redes que tengamos definidas
en el servidor TMG y en conjunto con las reglas de red. Forefront TMG sirve
de conexión entre las redes de origen y de destino , al tiempo que las protege
de accesos malintencionados
Reglas de Publicación: Controlan el acceso de tráfico entrante a los servidores
publicados.
Forefront TMG hace que los servidores sean accesibles para los clientes de
otra red de forma segura. Estas reglas se subdividen en:
Publicaciones web, publicaciones Exchange, publicaciones SharePoint o
publicaciones de servidores no web.
Reglas del Sistema: Conjunto de reglas predeterminadas que se encargan de
controlar el acceso desde y hacia el servidor Forefront TMG.
Reglas de Red: Se establece la relación entre dos redes que pertenezcan a
Forefront TMG. Como por ejemplo NAT.
Microsoft Forefront Threat Management Gateway TMG - Jorge Luis Constantino Salas 6
7. Instalación de Forefront TMG 2010
• Nos muestra el asistente de
Forefront TMG • En la siguiente pantalla nos
muestra la herramienta de
preparación para Forefront Threat
Management Gateway (TMG).
Microsoft Forefront Threat Management Gateway TMG - Jorge Luis Constantino Salas 7
8. • Una vez finalizada la preparación, • En la siguiente pantalla nos muestra el
Asistente de Microsoft Forefront TMG
comienza la instalación y deberá Empresa
aparecer en pantalla la siguiente
ventana
Microsoft Forefront Threat Management Gateway TMG - Jorge Luis Constantino Salas 8
9. • En la siguiente Ventana nos muestra • En la siguiente pantalla donde
la Licencia de Software de vamos a poner el Nombre del
Microsoft Forefront Threat Usuario, la Organización y en
Management Gateway 2010. Numero de serial del Producto
Microsoft Forefront Threat Management Gateway TMG - Jorge Luis Constantino Salas 9
10. • En la siguiente pantalla vamos a • Una vez que hemos indicado la
poner la ruta en donde vamos a ruta de instalación del software,
instalar el Programa Microsoft
Forefront Threat Management en la próxima ventana nos
Gateway 2010. preguntará cual es la red que
deseamos proteger, para ello
debemos seleccionar la placa de la
red LAN.
Microsoft Forefront Threat Management Gateway TMG - Jorge Luis Constantino Salas 10
11. • Seleccionando la Opción "AGREGAR",
• Seleccionada la placa de la red LAN,
luego "AGREGAR ADAPTADOR" y por
al presionar el botón de SIGUIENTE
último seleccionamos la placa de la red
configurará las directivas para que
LAN. Es recomendado identificar las
pueda administrar remotamente el
placas antes de comenzar la instalación,
equipo.
para ello en la configuración de red del
equipo, renombre las placas una vez
identificadas.
Microsoft Forefront Threat Management Gateway TMG - Jorge Luis Constantino Salas 11
12. • Antes de comenzar, el asistente • Este paso, observará que van
mostrará en la ventana una alerta cambiando las leyendas, ya que
por detección de servicios, ya que necesita instalar los repositorios,
requiere para algunos de ellos configuración, registro de filtros y
para proceder la instalación. Luego otros elementos requeridos.
el instalador realizará la
instalación del Forefront TMG
2010.
• Una vez finalizado, el instalador
procede a subir los servicios
requeridos..
Microsoft Forefront Threat Management Gateway TMG - Jorge Luis Constantino Salas 12
13. • Al entrar a la consola aparece una Topología del TMG
ventana con tres ítems que es • Aquí debemos definir la topología
requerido completar: del TMG, indicando a su vez, cual
es la RED LAN y el asistente
seleccionará automáticamente la
que se define como WAN o
Internet si la topología
seleccionada incluye la misma.
Microsoft Forefront Threat Management Gateway TMG - Jorge Luis Constantino Salas 13
14. • En esta pantalla vamos a
• En esta pantalla vamos a Configurar Configurar la red WAN
la red LAN
• En la siguiente
pantalla nos muestra
la Finalización del
Asistente pata
configuración de Red
Microsoft Forefront Threat Management Gateway TMG - Jorge Luis Constantino Salas 14
15. • Identificación en la red • Actualización y servicios adicionales
Aquí se puede modificar la En este último paso, podrá
identificación del equipo en la seleccionar si desea actualizar el
red y como es el sufijo en el DNS mismo mediante Windows Update y
para que pueda ser ubicado por que servicios agregará a la
el resto de los equipos en la red. funcionalidad del TMG 2010.
Microsoft Forefront Threat Management Gateway TMG - Jorge Luis Constantino Salas 15
16. • Como todo producto de seguridad,
• Luego aparecerá la de suscripción requiere de actualización, por lo
al NIST cual podremos configurar el
período de chequeo y
actualización:
Microsoft Forefront Threat Management Gateway TMG - Jorge Luis Constantino Salas 16
17. • Si todo el proceso ha sido exitoso, • ahora solo resta configurar la
debemos observar la pantalla de plataforma para las necesidades de
los pasos como la que figura a su infraestructura. Debe aparecer
continuación: un asistente permitiéndole definir
la configuración, si lo cancela,
podrá luego definirlas
paulatinamente.
Microsoft Forefront Threat Management Gateway TMG - Jorge Luis Constantino Salas 17
18. Configuración Forefront
Configuración del entorno
Las nuevas características implican un diseño coherente del entorno en
función de las necesidades.
La prevención de ataques entre redes requiere la segmentación de las
mismas.
Aprovechar las características multired de TMG permiten múltiples
configuraciones adaptables.
Configuración de opciones
Cada elemento dentro de las
nuevas características de Forefront, puede ser administrada y/o habilitada
o deshabilitada.
Determinados componentes requieren de la actualización de las
definiciones.
Otros elementos requieren de la integración con otros servicios en la
organización.
Microsoft Forefront Threat Management Gateway TMG - Jorge Luis Constantino Salas 18
19. Amenazas Web
Configuración antimalware
Definido a través de las reglas HTTP, permite el uso del motor antimalware
ya integrado en TMG.
Es posible la detección de malware en tráfico HTTPS en escenarios de
inspección HTTPS con TMG.
Adicionalmente a la configuración global, puede ser definido
específicamente a través de las reglas.
Es necesario la actualización de las definiciones para una defensa eficiente.
Funcionalidades
TMG proporciona diferentes funcionalidades para la lucha contra las
amenazas de Internet.
Solución antimalware.
Aplicación de filtros.
Inspección de tráfico.
Microsoft Forefront Threat Management Gateway TMG - Jorge Luis Constantino Salas 19
21. Detección de malware
Los mensajes pueden ser personalizados en base a variables
Microsoft Forefront Threat Management Gateway TMG - Jorge Luis Constantino Salas 21
22. Aplicación de filtros
Adicionalmente a la aplicación del filtro de aplicación HTTP de ISA server,
TMG presenta un nuevo filtrado de categorías Web.
Permite de una forma rápida el bloqueo de diferentes URL con contenido
inadecuado o dañido.
Las categorías aunque previamente diseñadas pueden ser modificadas.
Microsoft Forefront Threat Management Gateway TMG - Jorge Luis Constantino Salas 22
23. HTTP-S Inspección
La problemática del trafico cifrado
Aunque una necesidad, el tráfico HTTP-S constituye un mecanismo para la
entrada de amenazas a una organización.
Malware o accesos no deseados, llegan enmascarados a través de un
tráfico cifrado.
Inspección HTTPS
Ofreciendo una conectividad seguridad TMG garantiza el análisis del tráfico
cifrado.
Los módulos de protección web son aplicados también sobre el tráfico HTTPS si
se implementa esta característica.
Microsoft Forefront Threat Management Gateway TMG - Jorge Luis Constantino Salas 23
25. Implementación inspección HTTPS
¿Como trabaja?
Establece una conexión segura al sitio web requerido y copia los detalles
del certificado del sitio web.
Crea un nuevo certificado SSL con los detalles y con un nuevo certificado
llamado inspección de HTTPS.
Presente el nuevo certificado al cliente y establece un túnel SSL con él.
Microsoft Forefront Threat Management Gateway TMG - Jorge Luis Constantino Salas 25
26. El certificado de inspección
El certificado generado para la impersonalizarían del sitio web puede ser
generado mediante dos métodos:
Usando el propio Forefront TMG.
Usando una entidad certificadora local.
Despliegue del certificado
Realizado manualmente.
Creación manual de GPO.
A través del asistente en TMG para desplegar y aplicar el certificado.
Microsoft Forefront Threat Management Gateway TMG - Jorge Luis Constantino Salas 26
27. Despliegue del certificado
Realizado manualmente.
Creación manual de GPO.
A través del asistente en TMG para desplegar y aplicar el certificado.
Excepciones
En determinadas circunstancias puede ser requerido la no inspección de tráfico
HTTPS.
TMG proporciona funcionalidades para la aplicación de excepciones.
Microsoft Forefront Threat Management Gateway TMG - Jorge Luis Constantino Salas 27
28. Notificación de la inspección HTTPS
Configuración
Los usuarios pueden ser notificados del proceso de inspección HTTPS.
Es necesario tener habilitado y configurado el cliente firewall de TMG.
Los binarios del cliente firewall para TMG se encuentran en el instalador
de TMG.
Puerto 1745
El procedimiento de notificación de TMG a los clientes se realiza a
través del puerto UDP 1745.
Para permitir dicha conexión hay que crear una regla de acceso
permitiendo dicho tráfico entre localhost y la/s red/es de clientes.
Microsoft Forefront Threat Management Gateway TMG - Jorge Luis Constantino Salas 28
30. Protección del correo electrónico
Configuración antispam
TMG se integra con Exchange Server y Forefront Security for Exchange /
Forefront Protection.
Permite el control de tráfico de EdgeSync entre en servidor perimetral de
Exchange (EDGE Transport Server) y el servidor cocentrador de transporte
(HUB Transport Server).
Permite la configuración de caraterísticas antimalware y antispam de
Forefront Protection y Exchange Server.
Escenario
Requiere de un escenario específico para el uso de dicha característica.
http://technet.microsoft.com/es-es/library/ee338733(en-us).aspx
Microsoft Forefront Threat Management Gateway TMG - Jorge Luis Constantino Salas 30
32. Protección de redes
Introducción
Adicionalmente a las funcionalidades de Inspección HTTPS, TMG cuenta
con características para paliar amenazas en las redes.
Diferenciado entre dos funcionalidades:
NIS.
Características tradicionales de ISA Server.
Configuración IPS
Permite el filtrado y la detención de ataques de vulnerabilidades
basados en firmas.
Ataques de Buffer overflows, ejecución remota de código, XSS, etc.,
pueden ser prevenidas a través de esta característica.
Permite la actualización de las firmas a través del servicios de Update
Center.
Microsoft Forefront Threat Management Gateway TMG - Jorge Luis Constantino Salas 32