Sesión de Forefront Unified Access Gateway UAG 2010 impartida por Chema Alonso y Alejandro Martín Bailón, de Informática64 [http://www.informatica64.com] durante el evento Asegúr@IT 7 que tuvo lugar en Barcelona, el día 24 de Marzo de 2010.

1. Chema Alonso chema@informatica64.com

2. ¿Qué es MS Forefront UAG? Control de acceso Salvaguarda de la información Protección de activos Bloqueo de ataques y tráfico malicioso para garantizar la integridad de las aplicaciones y la red Basado en explorador, desde cualquier sitio y cualquier dispositivo sin necesidad de instalación en cliente Imposición de políticas para acceder a información sensible UAG es una solución de acceso seguro a aplicaciones a través de SSL que permite el control de acceso, autorización e inspección de contenidos para una amplia variedad de aplicaciones, gestionando además la seguridad del punto desde el que se accede.

3. Evolución Forefront Edge Security Los productos Forefront Edge Security and Access proporcionan protección mejorada a nivel de perímetro, y acceso orientado a aplicaciones y basado en políticas a la infraestructura corporativa de IT Windows Server 2008 Wave Secure Remote Access IAG 2007SSL VPN based remote access “Unified Access Gateway” ISA Server 2006 Remote access & Exchange, SharePoint publishing Unified secure remote access from anywhere Internet Access Protection “Threat Management Gateway” Firewall and proxy based protection Simplified, integrated package for Edge protection

4. Evolución “UAG" IAG 2007   Application Intelligence and Publishing   End Point Security   SSL Tunneling   Information Leakage Prevention   Robust Authentication Support (KCD, ADFS, OTP)  Product Certification (Common Criteria, ICSA) New  NAP Integration New  New Terminal Services Integration Array Management  New Enhanced Management and Monitoring (MOM Pack)  New New Enhanced Mobile Solutions  New New and Customizable User Portal   New Wizard Driven Configuration

5. Forefront UAG: Características Protegido mediante MS Forefront TMG 2010. Integración con las políticas de NAP. Integración con Remote Desktop y RemoteApp. Despliegue extendido de escenarios de DirectAccess. Creado para soporte nativo en balanceo de carga. Capacidad de gestión de Array. Monitorización y gestión avanzada con SCOM.

6. Arquitectura UAG Detección del punto de acceso Políticas de clienteparamedir el nivel de seguridad Inteligencia de Aplicación Optimizadoresparaescenarioscomunes, habilitandoseguridad y funcionalidad SSL VPN Tunneling Múltiplestúnelesqueproporcionanaccesoparaaplicaciones no web Proxy Inverso Motor parareescritura y manipulación de URLs parasimplificar la publicación Acceso a Aplicaciones Políticas y Seguridad Gestión Configuraciónbasada en asistentepara los escenariosbásicos, permitiendounasencillagestión de laspolíticas. Monitorizaciónbasada en Web y control de arrays. Gateways consolidadosTS Gateway, ADFS Proxy, RRAS

8. No existe SSO de cara a las aplicaciones

9. Se necesita un firewall de aplicación y/o cliente adicional

10. No llega tráfico de dispositivos no autorizados

11. Cada aplicación se maneja de manera independiente

12. SSO

14. Home PCs

15. Smart phones

16. PDAs

18. Consultants

19. Branch office employees

20. Telecommuters

21. Mobile employees

23. Cliente-Servidor

24. Web-based

26. Microsoft Forefront UAG 2010 Soporta VPNS mediante SSL para cualquier aplicación Web-Cliente Servidor-Acceso a Ficheros Desarrollos personales De terceros (IBM, Lotus, Sap, PeopleSoft, etc…) Diseñado para dispositivos Gestionados y No Gestionados Detección automática del sistema del usuario, software y configuraciones Políticas de acceso dependientes del estado de seguridad del Cliente Elimina ficheros temporales y todos los rastros en equipos no gestionados

27. Microsoft Forefront UAG 2010 Mejora la productividad mediante empleando las aplicaciones de manera Inteligente Aplica políticas de aplicación granularmente según las funcionalidades del cliente y la política de seguridad. Controla dinámicamente los datos de la aplicación para la funcionalidad deseada. SSO con múltiples directorios, protocolos y formatos. Portal e interfaz de usuario totalmente configurable.

28. Opciones de conectividad Web proxy Soporte aplicaciones web Acceso navegador. Motor de traslación de contenidos Client/Server Connector Aplicaciones no web (Outlook, FTP, Telnet) Basado en el conocimiento de la aplicación Java Applet/ActiveX para encapsulado SSL Port Forwarding Socket Forwarding Network Connector Similar a VPN IPSec. Puntos de acceso de confianza Cualquier aplicación/protocolo Adaptador virtual en el cliente

29. Integración y soporte a “Terceros” Soporta acceso desde sistemas Linux, Apple y dispositivos móviles a través de diferentes navegadores.

30. MS Forefront UAG:Acceso y detección Se accede mediante la dirección del portal Se descarga un control Active-X o un Applet Java que contiene: Por defecto: Component manager Endpointdetection AttachmentWiper Client trace Bajo demanda: SSL Wrapper Socket Forwarder Network Connector

31. MS Forefront UAG: Políticas Acceso basado en política -> Acceso condicionado a la ubicación Control de acceso al portal Punto de acceso estándar Punto de acceso privilegiado Punto de acceso certificado Control de acceso a aplicaciones Control de acceso a funciones (sólo web) Upload/Download Check-in/Check-out Zonas privadas/restringidas Trabaja tanto en el lado del cliente como del servidor En cliente notifica al usuario la causa del bloqueo En servidor impone restricciones si el cliente se las saltara

32. Portal de Acceso personalizado

33. Demo Configuración de publicación de aplicaciones en Forefront UAG y gestión de políticas de acceso

34. nAppliance Net-Gateway nUAG La plataforma de UAG se encuentra también disponible en versión Appliance. La empresa nAppliance proporciona una gama de productos de UAG para dar soporte a diferentes tipos de organizaciones, Se denomina Net-Gateway nUAG

35. Gama de AppliancesnUAG (I) http://www.nappliance.com/products/NetGateway-nUAG.asp

36. Gama de AppliancesnUAG (I) http://www.nappliance.com/products/NetGateway-nUAG.asp

37. AppliancesnUAG Soporte y garantía de reposición. Configuración OOB. HW Testado y optimizado. SO optimizado y configurado correctamente. Actualizaciones testadas (doublecheck). Administración Web. Distribuido desde Barcelona.

38. Autenticación: One-Time Code [OTC] OTC esdiferente en cada login: Protección contra: Key-Loggers Phishing MITM Usuarionunca introduce su PIN: Protección contra: Key-Loggers Phishing MITM Security-String puede ser enviadoporotro canal Protección contra MITM La entrega del Security-String se puedeasociar a un número de teléfono, con lo que se puedeobtenerunaautenticación de doble factor.

39. Autenticación: One-Time Code [OTC]

40. Autenticación: One-Time Code [OTC]

41. MS Forefront UAG: Configuración PinSafe

42. Demo: Autenticación OTC http://demo.swivelsecure.com/

43. Seguros con Forefront http://www.forefront-es.com/

44. HandsOnLab Forefront Barcelona Del 19 al 23 de abril de 2010 HOL-FOR03 MS Forefront Client Security SP1 HOL-FOR09 MS Forefront Protection Exchange/SharePoint HOL-FOR05 MS Forefront TMG: Implementing HOL-FOR06 MS Forefront TMG: Firewalling & NIDS HOL-FOR07 MS Forefront TMG: VPN y Branch Office HOL-FOR10 MS Forefront Unified Access Gateway 2010 http://www.informatica64.com/mainhols.aspx?ciudad=Barcelona

45. ¿Preguntas? Chema Alonso chema@informatica64.com http://elladodelmal.blogspot.com http://twitter.com/chemaalonso http://www.informatica64.com