asegúr@it 7 - forefront uag 2010
DESCRIPTION
Sesión de Forefront Unified Access Gateway UAG 2010 impartida por Chema Alonso y Alejandro Martín Bailón, de Informática64 [http://www.informatica64.com] durante el evento Asegúr@IT 7 que tuvo lugar en Barcelona, el día 24 de Marzo de 2010.TRANSCRIPT
¿Qué es MS Forefront UAG?
Bloqueo de ataques y tráfico malicioso para garantizar la
integridad de las aplicaciones y la
red
Imposición de políticas para
acceder a información
sensible
UAG es una solución de acceso seguro a aplicaciones a través de SSL que permite el control de acceso, autorización e inspección de contenidos para una amplia variedad de aplicaciones, gestionando además la seguridad del punto desde el que se accede.
Controlde
acceso
Salvaguardade la
información
Protecciónde
activos
Basado en explorador,
desde cualquier sitio y cualquier dispositivo sin necesidad de instalación en
cliente
Evolución Forefront Edge SecurityLos productos Forefront Edge Security and Access proporcionan protección mejorada a nivel de perímetro, y acceso orientado a aplicaciones y basado en políticas a la infraestructura corporativa de IT
IAG 2007SSL VPN based remote access
“Unified Access Gateway”
Unified secure remote access from anywhere
“Threat Management Gateway”
Simplified, integrated package for Edge protection
ISA Server 2006
Remote access & Exchange,
SharePoint publishing
Firewall and proxy based protection
Windows Server 2008 Wave
Secure Remote Access
Internet Access
Protection
EvoluciónApplication Intelligence and Publishing
End Point Security
SSL Tunneling
Information Leakage Prevention
Robust Authentication Support (KCD, ADFS, OTP)
Product Certification (Common Criteria, ICSA)
NAP Integration
Terminal Services Integration
Array Management
Enhanced Management and Monitoring (MOM Pack)
IAG 2007 “UAG"
New
New
New
New
New
New
New
Enhanced Mobile Solutions
New and Customizable User Portal
Wizard Driven Configuration
New
Forefront UAG: Características• Protegido mediante MS Forefront TMG 2010.• Integración con las políticas de NAP.• Integración con Remote Desktop y RemoteApp.• Despliegue extendido de escenarios de
DirectAccess.• Creado para soporte nativo en balanceo de carga.• Capacidad de gestión de Array.• Monitorización y gestión avanzada con SCOM.
Arquitectura UAG
Acceso a Aplicaciones Gestión
Configuración basada en asistente para los escenarios
básicos, permitiendo una sencilla gestión de las políticas. Monitorización basada en Web
y control de arrays.
Proxy InversoMotor para reescritura y
manipulación de URLs para
simplificar la publicación
SSL VPN Tunneling
Múltiples túneles que proporcionan
acceso para aplicaciones no
web
Políticas y Seguridad
Inteligencia de Aplicación
Optimizadores para escenarios
comunes, habilitando seguridad y
funcionalidad
Detección del punto de accesoPolíticas de cliente para medir el nivel
de seguridad
Gateways consolidadosTS Gateway, ADFS Proxy,
RRAS
MS Forefront UAG vs VPN-SSL (SSTP)
• No llega tráfico de dispositivos no autorizados• Cada aplicación se maneja de manera
independiente• SSO • Acceso granular a aplicación, incluso a
características de la misma. Firewall de aplicación
• Todos los datos llegan a la red privada• No existe SSO de cara a las aplicaciones• Se necesita un firewall de aplicación y/o cliente
adicional
Acceso seguro con MS Forefront UAGOutlook Web
AccessiNotes
Web-based CRMHR Data
Internet
Servers, applications,
intranet servers
Cualquier usuario• Suppliers• Consultants• Branch office employees• Telecommuters• Mobile employees• Partners
Cualquier dispositivo• Laptops• Home PCs• Smart phones• PDAs• Wi-Fi access
Cualquier Aplicación• Mainframe• Cliente-Servidor• Web-based• Web Services
Unified Access Gateway
VPNs mediante túneles SSL
Cliente Gestión
Autenticación
Autorización
Experiencia Usuario
Tunelizado
Seguridad
Web
Aplicaciones
TCP Simple
Otras no WEB
SSL VPN Gateway
Túnel: Transferir Trafico de aplicaciones con SSL
Seguridad en el Cliente: Chequeo de Salud, borrado caches, etc..
Autenticación: Segura contra Directorio Activo, SSO, RADIUS, etcétera.
Autorización: Permitir o denegar el acceso de los usuarios a las aplicaciones.
Experiencia de Usuario: Facilidad, portal de conexión, GUI…
Microsoft Forefront UAG 2010• Soporta VPNS mediante SSL para cualquier aplicación
– Web-Cliente Servidor-Acceso a Ficheros– Desarrollos personales– De terceros (IBM, Lotus, Sap, PeopleSoft, etc…)
• Diseñado para dispositivos Gestionados y No Gestionados– Detección automática del sistema del usuario, software y
configuraciones– Políticas de acceso dependientes del estado de seguridad
del Cliente– Elimina ficheros temporales y todos los rastros en equipos
no gestionados
Microsoft Forefront UAG 2010
• Mejora la productividad mediante empleando las aplicaciones de manera Inteligente– Aplica políticas de aplicación granularmente según las
funcionalidades del cliente y la política de seguridad.– Controla dinámicamente los datos de la aplicación para la
funcionalidad deseada.– SSO con múltiples directorios, protocolos y formatos.– Portal e interfaz de usuario totalmente configurable.
Opciones de conectividad• Web proxy
– Soporte aplicaciones web– Acceso navegador.– Motor de traslación de contenidos
• Client/Server Connector– Aplicaciones no web (Outlook, FTP, Telnet)– Basado en el conocimiento de la aplicación– Java Applet/ActiveX para encapsulado SSL– Port Forwarding– Socket Forwarding
• Network Connector– Similar a VPN IPSec.– Puntos de acceso de confianza– Cualquier aplicación/protocolo– Adaptador virtual en el cliente
Breadth of Locations“Anywhere” level
Web Proxy
Port/Socket Forwarder
Corporate laptop
Home PC
Customer/Partner PC
Internet kiosk
Network Connection
Breadth of Locations“Anywhere” level
Web Proxy
Port/Socket Forwarder
Corporate laptop
Home PC
Customer/Partner PC
Internet kiosk
Network Connection
Integración y soporte a “Terceros”Soporta acceso desde sistemas Linux, Apple y dispositivos
móviles a través de diferentes navegadores.
MS Forefront UAG:Acceso y detección• Se accede mediante la dirección del portal• Se descarga un control Active-X o un Applet Java que
contiene:
– Por defecto:• Component manager• Endpoint detection• Attachment Wiper• Client trace
– Bajo demanda:• SSL Wrapper• Socket Forwarder• Network Connector
MS Forefront UAG: Políticas• Acceso basado en política -> Acceso
condicionado a la ubicación• Control de acceso al portal
– Punto de acceso estándar– Punto de acceso privilegiado– Punto de acceso certificado
• Control de acceso a aplicaciones• Control de acceso a funciones (sólo web)
– Upload/Download– Check-in/Check-out– Zonas privadas/restringidas
• Trabaja tanto en el lado del cliente como del servidor– En cliente notifica al usuario la causa
del bloqueo– En servidor impone restricciones si el
cliente se las saltara
Portal de Acceso personalizado
Demo
Configuración de publicación de aplicaciones en Forefront UAG y
gestión de políticas de acceso
nAppliance Net-Gateway nUAG• La plataforma de UAG se encuentra también
disponible en versión Appliance.• La empresa nAppliance proporciona una gama de
productos de UAG para dar soporte a diferentes tipos de organizaciones,
• Se denomina Net-Gateway nUAG
Gama de Appliances nUAG (I)
http://www.nappliance.com/products/NetGateway-nUAG.asp
Gama de Appliances nUAG (I)
http://www.nappliance.com/products/NetGateway-nUAG.asp
Appliances nUAG
• Soporte y garantía de reposición.• Configuración OOB.• HW Testado y optimizado.• SO optimizado y configurado correctamente.• Actualizaciones testadas (double check).• Administración Web.• Distribuido desde Barcelona.
• OTC es diferente en cada login:– Protección contra:
• Key-Loggers• Phishing• MITM
• Usuario nunca introduce su PIN:– Protección contra:
• Key-Loggers• Phishing• MITM
• Security-String puede ser enviado por otro canal– Protección contra MITM
• La entrega del Security-String se puede asociar a un número de teléfono, con lo que se puede obtener una autenticación de doble factor.
Autenticación: One-Time Code [OTC]
Autenticación: One-Time Code [OTC]
Autenticación: One-Time Code [OTC]
MS Forefront UAG: Configuración PinSafe
Demo: Autenticación OTC
http://demo.swivelsecure.com/
Hands On Lab Forefront BarcelonaDel 19 al 23 de abril de 2010
HOL-FOR03 MS Forefront Client Security SP1 HOL-FOR09 MS Forefront Protection Exchange/SharePointHOL-FOR05 MS Forefront TMG: ImplementingHOL-FOR06 MS Forefront TMG: Firewalling & NIDSHOL-FOR07 MS Forefront TMG: VPN y Branch Office HOL-FOR10 MS Forefront Unified Access Gateway 2010
http://www.informatica64.com/mainhols.aspx?ciudad=Barcelona
¿Preguntas?
Chema [email protected]://elladodelmal.blogspot.comhttp://twitter.com/chemaalonsohttp://www.informatica64.com