MS FOREFRONT TMG (THREAT MANAGEMENT GATEWAY)

PROTECCIÓN FRENTE A AMENAZAS

Juan Luis García RamblaMVP Windows Security

jlrambla@informatica64.com

HOL – FOR06

Agenda

►Introducción.

►Configuración de Forefront.

►Amenazas web: Solución Antimalware

►Amenazas de correo electrónico. Malware y Spam

►Protección de redes.

Introducción

Potenciando la seguridad

►TMG presenta nuevas características para la lucha contra las amenazas.

►Presenta funcionalidad para la defensa tanto perimetral como en la segmentación y protección de las redes interna.

►Las nuevas características se suman a las funciones que contaba ISA Server 2006.

Nuevas funcionalidades Protección frente a amenazas

►Defensa antimalware.

►Filtrado URL por categorías.

►Funcionalidades Antispam.

►IPS.

ConfiguraciónForefront

Configuración del entorno

►Las nuevas características implican un diseño coherente del entorno en función de las necesidades.

►La prevención de ataques entre redes requiere la segmentación de las mismas.

►Aprovechar las características multired de TMG permiten múltiples configuraciones adaptables.

Configuración de opciones

►Cada elemento dentro de las nuevas características de Forefront, puede ser administrada y/o habilitada o deshabilitada.

►Determinados componentes requieren de la actualización de las definiciones.

►Otros elementos requieren de la integración con otros servicios en la organización.

Amenazas Web

Funcionalidades

►TMG proporciona diferentes funcionalidades para la lucha contra las amenazas de Internet.

Solución antimalware.

Aplicación de filtros.

Inspección de tráfico.

Configuración antimalware

►Definido a través de las reglas HTTP, permite el uso del motor antimalware ya integrado en TMG.

►Es posible la detección de malware en tráfico HTTPS en escenarios de inspección HTTPS con TMG.

►Adicionalmente a la configuración global, puede ser definido específicamente a través de las reglas.

►Es necesario la actualización de las definiciones para una defensa eficiente.

Detección de malware

Los mensajes pueden ser personalizados en base a variables

Aplicación de filtros

►Adicionalmente a la aplicación del filtro de aplicación HTTP de ISA server, TMG presenta un nuevo filtrado de categorías Web.

►Permite de una forma rápida el bloqueo de diferentes URL con contenido inadecuado o dañido.

►Las categorías aunque previamente diseñadas pueden ser modificadas.

Inspección HTTPS

La problemática del trafico cifrado

►Aunque una necesidad, el tráfico HTTP-S constituye un mecanismo para la entrada de amenazas a una organización.

►Malware o accesos no deseados, llegan enmascarados a través de un tráfico cifrado.

HTTP-S Inspection

►Ofreciendo una conectividad seguridad TMG garantiza el análisis del tráfico cifrado.

►Los módulos de protección web son aplicados también sobre el tráfico HTTPS si se implementa esta característica.

Implementación inspección HTTPS

¿Como trabaja?

►Establece una conexión segura al sitio web requerido y copia los detalles del certificado del sitio web.

►Crea un nuevo certificado SSL con los detalles y con un nuevo certificado llamado inspección de HTTPS.

►Presente el nuevo certificado al cliente y establece un túnel SSL con él.

El certificado de inspección

►El certificado generado para la impersonalización del sitio web puede ser generado mediante dos métodos:

Usando el propio Forefront TMG.

Usando una entidad certificadora local.

Despliegue del certificado

►Realizado manualmente.

►Creación manual de GPO.

►A través del asistente en TMG para desplegar y aplicar el certificado.

Excepciones

►En determinadas circunstancias puede ser requerido la no inspección de tráfico HTTPS.

►TMG proporciona funcionalidades para la aplicación de excepciones.

Notificación de la inspección HTTPS

Configuración

►Los usuarios pueden ser notificados del proceso de inspección HTTPS.

►Es necesario tener habilitado y configurado el cliente firewall de TMG.

►Los binarios del cliente firewall para TMG se encuentran en el instalador de TMG.

Puerto 1745

►El procedimiento de notificación de TMG a los clientes se realiza a través del puerto UDP 1745.

►Para permitir dicha conexión hay que crear una regla de acceso permitiendo dicho tráfico entre localhost y la/s red/es de clientes.

Protección del correo electrónico

Configuración antispam

►TMG se integra con Exchange Server y Forefront Security for Exchange / Forefront Protection.

►Permite el control de tráfico de EdgeSync entre en servidor perimetral de Exchange (EDGE Transport Server) y el servidor cocentrador de transporte (HUB Transport Server).

►Permite la configuración de caraterísticas antimalware y antispam de Forefront Protection y Exchange Server.

Escenario

►Requiere de un escenario específico para el uso de dicha característica.

http://technet.microsoft.com/es-es/library/ee338733(en-us).aspx

Protección de redes

Introducción

►Adicionalmente a las funcionalidades de Inspección HTTPS, TMG cuenta con características para paliar amenazas en las redes.

►Diferenciado entre dos funcionalidades:NIS.

Características tradicionales de ISA Server.

Configuración IPS

►Permite el filtrado y la detención de ataques de vulnerabilidades basados en firmas.

►Ataques de Buffer overflows, ejecución remota de código, XSS, etc., pueden ser prevenidas a través de esta característica.

►Permite la actualización de las firmas a través del servicios de Update Center.

Suscripción gratuita en http://www.informatica64.com/technews.aspx

TechNews de Informática 64

Informática 64

http://www.informatica64.com

i64@informatica64.com

+34 91 146 20 00

Juan Luis García Rambla

jlrambla@informatica64.com

Contactos