josé parada gimeno it pro evangelist jparada@microsoft.com david rodriguez especialista seguridad...

Protección de una infraestructura IT con

ForefrontJosé Parada GimenoIT Pro Evangelistjparada@microsoft.com

David RodriguezEspecialista Seguridaddavidrg@microsoft.com

Agenda

ForefrontProtección puesto clienteProtección aplicaciones de servidorProtección de accesos al perimetro.

Guias

Herramientas de desarrollo

Gestión de Sistemas

Active Directory Federation Services

(ADFS)

Gestión de Identidad

3

Servicios

Protección de la Información

Encrypting File System (EFS)

BitLocker™Network Access Protection (NAP)

Cliente y Sistema

Operativo

Aplicacines de Servidor

Perímetro

Pórtfolio de Seguridad

Protección del Puesto Cliente

Protección unificada contra malware para

puestos, portátiles, y SO servidor

de fácil gestión y control

5

Confiable

Eficiente

Control

Protección Unificada

Administración

SimplificadaVisibilidad y Control

Que es Forefront Client Security

6

Como Funciona

Controlador de Dominio133 Mhz

128 MB RAM2GB espacio libre en

disco

Servidor FCSMinimo750 Mhz

512 MB RAM80GB espacio libre

en discoDVD-ROM

Cliente FCS500 Mhz

256 MB RAM350MB espacio libre

en disco

Prerrequisitos Hardware

SQL Server 2005 + Reporting ServicesWindows Software Update ServicesGroup Policy Management Console.NET Framework 2.0 MMC 3.0IIS 6.0

Instalado con FCSHotfixes para MOM y SQLMicrosoft Operations Manager 2005 SP1Microsoft Operations Manager Reporting

Prerrequisitos Software

Consola de Forefront Client Security

El Administrador crea & despliega la

política

Group Policy Management Console Clientes

Políticas

Cliente(Host)

Servidor de MOM

SQL Server ReportingServices

Log de sistema

Agente MOM

• Tabla de Eventos• Tabla de Alertas• Tabla de Estado

Informes y Alertas

DEMO

12

Entorno

DC

ClienteVista

Madrid BarcelonaExchange SharePoint

SevillaFCS

ClienteExterno

Protección de Aplicaciones Servidor

Múltiples motores (hasta 9) de análisis a distintos niveles a través de la infraestructura de correo mejoran el nivel de protección frente a las amenazas.

Protege sus servidores de correo frente a virus, gusanos, spam y contenido inadecuado.

Protección avanzada

Disponibilidad y control

Protección del contenido

Una estrecha integración con Microsoft Exchange, Sharepoint y Live Communication y los servidores SMTP basados en Windows maximiza la disponibilidad y el nivel de control.

Permite proteger y limitar el lenguaje inadecuado y adjuntos peligrosos o no deseados en el flujo de las aplicaciones de colaboración.

Seguridad en Colaboración

VirusGusanos

Problema Punto Único de FalloProblema Costo de Gestión

Multi-FabricanteMulti-Motor

Exchange

ISA ServerSMTP Server

VirusGusanosSpam

Exchange Exchange Fabricante-ÚnicoMotor-Único

A A

A A A

A

AA

Exchange

ISA ServerSMTP Server

Spam

Exchange Exchange

AB

C

D E

A

CB

Escaneo Multimotor

DE E

A

D

Enterprise NetworkOtherSMTP

Servers

Buzones

Buzones

Enrutado

HigienePolítica

Enrutado

Voice Messagin

g

AccesoCliente

PBX o VoIP

CarpetasPúblicas

Fax

Aplicaciones:OWAProtocolos:

ActiveSync, POP, IMAP, RPC / HTTP …

Programación:Web Services,

Web Parts

MensajeríaUnificada

TransportePerímetro

TransporteINTERNET

Topología

Libreria de Documentos enSQL Server

SharePoint Portal Site

Usuario Infectado

Problemática de Virus en Sharepoint

Forefront Server Security Administrator

Forefront ServerSecurity ManagementConsole

Gestión Centralizada

Simplicidad

Maxima Seguridad

C

D

A

B

BalanceoMaximo Rendimiento

Balanceo Seguridad-Rendimiento

ActualizaciónRapida

Forefront Security for Exchange

Fabricantes de Motores Antivirus

Proceso rápido de Actualización

Tiempo Real Programado Manual

Opciones de Escaneo

Transporte

Exchange

Exchange y Sharepoint

Peligroso

No Deseado

ConfidencialInapropiado

Razones para Filtrar Contenido

DEMO

24

Entorno

DC

ClienteVista

Madrid BarcelonaExchange SharePoint

SevillaFCS

ClienteExterno

BC

E D

ABC

E D

A

Protección de los accesos al Perimetro

Breve HistoriaEl ProblemaNecesidad creciente de tener acceso desde cualquier sitio al contenido y aplicaciones de nuestra red interna

Soluciones• Conexiones de Acceso Telefónico (Nivel de

Enlace)

• Túneles VPN con IPSec (Nivel IP)

• Proxys inversos o publicación de Aplicaciones

• Servicios de Terminal

Ninguna de las soluciones carece de inconvenientes y surge la necesidad de crear un tipo mas “inteligente” de VPN

Cualquier escenario, cualquier lugar, acceso seguro y fácil

Acceso remoto SSL VPN

Garantizar la integridad y fortificación de

infraestructura de redes y aplicaciones

bloqueando ataques y tráfico malicioso

Políticas adecuadas a las bases legales y

guías de negocio para la utilización de datos

sensibles

IAG provee acceso y protección SSL a aplicaciones y gestión segura del puesto final, activando control de acceso granular e inspección de

contenidos para un grupo de dispositivos o grupos de negocio, intranet y recursos cliente/servidor.

Control de Acceso Defensa de la Información

Protección de activos

Seguro, basado en navegación a las

aplicaciones corporativas y datos

desde otros lugares y dispositivos

Intelligent Application Gateway

VPNs mediante túneles SSL

Cliente Gestión

Autenticación

Autorización

Experiencia Usuario

Tunelizado

Seguridad

Web

Aplicaciones

TCP Simple

Otras no WEB

SSL VPN Gateway

Tunel: Transferir Trafico de aplicaciones con SSL

Seguridad en el Cliente: Chequeo de Salud, borrado caches, etc..

Autenticación: Segura contra directorio Activo, SSO.

Autorización: Permitir o denegar el acceso de los usuarios a las aplicaciones

Experiencia de Usuario: Facilidad, portal de conexión, GUI..

IAG 2007Soporta VPNS mediante SSL para cualquier aplicación

Web-Cliente Servidor-Acceso a FicherosDesarrolos personalesDe terceros (IBM, Lotus, Sap, PeopleSoft, etc…)

Diseñado para dispositivos Gestionados y No GestionadosDetección automática del sistema del usuario, software y configuracionesPolíticas de acceso dependientes del estado de seguridad del ClienteElimina ficheros temporales y todos los rastros en equipos no gestionados

Mejora la productividad mediante empleando las aplicaciones de manera InteligenteAplica políticas de aplicación granularmente según las funcionalidades de estaControla dinámicamente los datos de la aplicación para la funcionalidad deseadaSSO con múltiples directorios, protocolos y formatosPortal e interfaz de usuario totalmente configurable.

Cliente Alta Disponibilidad, Gestión, Logging, Informes, Portales Multiples

Autenticación

Autorización

Experiencia Usuario

Tunelizado

Seguridad

Aplicaciones específicas

Web

Cliente/Servidor

Java/Browser Embedded

Exchange/ Outlook

OWA

Portales SharePoint

Citrix

Aplicación Generica

Modulos

para la indentificación

de aplicaciónes

SSL VPN Gateway

Identificación de aplicaciones

OWA …………...

Citrix……..

Sharepoint. ………....

Identifiación plataforma

PDA….... Linux

……..Windows. ………...

MAC….....

ISO7799Corporate Governance

SarbOx Basel2

Regulaciones y políticas

¿QUIE

N?

¿QUE?

¿DONDE?

¿CUM

PLE?

Intelligent Application Gateway

DEMO

33

Entorno

DC

ClienteVista

Madrid BarcelonaExchange SharePoint

SevillaFCS

ClienteExterno

BC

E D

ABC

E D

A

IAG2007ISA 2006

RecursosGenerales

http://www.microsoft.es/todocontrolado

http://www.microsoft.com/forefront/default.mspx

Técnicos

http://www.microsoft.com/technet/clientsecurity/default.mspx

http://www.microsoft.com/technet/forefront/serversecurity/exchange/

http://www.microsoft.com/technet/forefront/serversecurity/sharepoint/

http://www.microsoft.com/technet/forefront/edgesecurity/iag/default.mspx

Laboratorios Virtuales

http://www.microsoft.com/technet/traincert/virtuallab/forefront.mspx