Freigeben über


Bye Bye ISA! Welcome TMG!

Con un dejo de nostalgia asisto a la natural evolución y maduración de un servicio que de alguna genero en mi cierta simpatía.

Recuerdo cerca del 2000, estudiando las primeras betas, recibir comentarios del estilo: “¿Microsoft? ¿Un Firewall? je!

Ya ni recuerdo cuantos cursos de ISA Server he dado! como me gustaba plantear desafíos y participar activamente disfrutando de las resoluciones.

Ese Firewall que fue a su vez la evolución de Microsoft Proxy, marcó como ahora un hito en la relación de Microsoft con la Seguridad Informática.

Miles y miles de redes protegidas por ISA y tres evoluciones (ISA Server 2000, 2004 y 2006) sirvieron para demostrar la solidez y confiablidad de un servicio que desmitifico que la seguridad de borde debía pagarse a precio de oro y que ser para unos pocos.

Por estas horas ISA Server esta por despedirse, reencarnándose en Forefront TMG, y ya no estará solo, tendrá familia! ya que Forefront en si mismo a su vez alberga a servicios de seguridad para borde, para mail, para Sharepoint y para PCs clientes entre otros.

Entrando de lleno en TMG tenemos alguna novedades.

La primera y en línea con el resto de los servicios de server, no tendrá build de 32 bits, otra es que esta soportado por Microsoft el  correr virtualizado. Tema que siempre ha generado controversias, ¿puede un Firewall correr virtualizado?

Otra gran novedad es que incorpora un IDS, una deuda pendiente que por suerte empieza a saldarse.

Si revisamos las nuevas características podemos encontrar:

Característica

Descripción

clip_image002

clip_image002[1]

Filtrado de URL

Las URLs de destino son examinadas para asegurar el cumplimiento con las políticas corporativas y contenido maligno en el sitio de destino. Forefront TMG usa Microsoft Reputation Services para le filtrado de URLs combinando múltiples Fuentes para incrementar la cobertura de URLS y su categorización.

Las URLs y categorías vana incrementarse conforme Forefront TMG Beta 3 continúe evolucionando hacia RTM.

Protección Web antivirus/anti-malware

El trafico Web entrante y saliente es inspeccionado en busca de virus y malware, Archivos encriptados (que no pueden ser inspeccionados) pueden ser bloqueados, En archivos grandes el usuario tiene la sensación que su archivo está siendo descargado mientras TMG lo recibe primero, lo analiza y luego se lo pone como disponible.

Seguridad para E-mail

Forefront TMG proporciona administración centralizada para Exchange y Forefront Security for Exchange cuando están localizados en el mismo server. Forefront TMG no incluye ni Exchange ni Forefront Security for Exchange. Ambos deben ser comprados de manera separada.

Inspección HTTPS

Las sesiones HTTPS pueden ahora ser inspeccionadas en busca de malware o exploits. Grupos específicos de sitios –tales como Bancos - pueden ser excluidos de la inspección por razones de privacidad, Usuarios de TMG Firewall Client pueden ser notificados de tal inspección.

Network Inspection System (NIS)

El tráfico puede ser inspeccionado para detector exploits de vulnerabilidades Microsoft. Basado en análisis de protocolo, NIS habilita el bloqueo de distintos tipos de ataques reduciendo al mínimo los falsos positivos. Las protecciones pueden ser actualizadas cuando sea necesario.

Enhanced Network Address Translation (NAT)

Forefront TMG habilita ahora publicar e-mail servers específicos con NAT 1-to-1.

Soporte mejorado para Voice sobre IP

Forefront TMG Beta 3 incluye SIP traversal, permitiendo la implementación de manera sencilla de Voz sobre IP dentro de la red.

Integración con "Stirling"

Forefront TMG Beta 3 se integra con Forefront codename “Stirling” proporcionando protección coordinada.

Soporte para Windows Server 64-bit

Forefront TMG Beta 3 se instala en Windows Server 2008 with 64-bit support.

clip_image003

Firewall Protections

Característica

Descripción

clip_image002[2]

clip_image002[3]

Multi-layer firewall

Forefront TMG proporciona control de acceso y protección en tres capas: packet filtering, stateful inspection, y application layer filtering.

Application layer filtering

Forefront TMG proporciona inspección y filtrado de contenido a través de filtros de aplicaciones integrados y específicos para cada caso.

Control Granular HTTP

Forefront TMG permite el control granular de trafico HTTP incluyendo: - Control de Archivos descargados - Bloqueo basado en Signatures - Control de métodos HTTP Forefront TMG proporciona un estricto control sobre las amenazas basadas en el uso de la web.

DoS protections

Forefront TMG proporciona resistencia y flexibilidad contra ataques por inundación de bits (floods) realocando recursos para proporcionar inspecciones de altísima seguridad.

Soporte para protocolos

Forefront TMG brinda Soporte out-of-the-box para muchísimos protocolos y nuevos protocolos pueden ser definidos.

clip_image003[1]

Highly Secure Application Publishing

Característica

Descripción

clip_image004

clip_image002[4]

Acceso seguro desde Cliente Outlook

Usuarios Remotos pueden acceder a Exchange Server usando Outlook MAPI client sobre internet sin establecer VPNs. Esta conexión es encriptada por razones de seguridad.

Publicación de Outlook Web Access y Microsoft Office SharePoint Server

Asistentes simples permiten una rápida configuración tanto para Outlook Web Access como para SharePoint servers. Los usuarios Outlook Web Access pueden ser autenticados por el propio Forefront TMG server, evitando ataques de usuarios no autorizados.

Publicación segura de Web servers, servers internos y Terminal Services

Los usuarios remotos pueden ahora accede a recursos internos de forma más segura con un link translation mejorado.

Single sign on

Forefront TMG le permite a los usuarios accede a grupos de aplicaciones publicadas sin tener que autenticarse en cada una de ellas si ya lo hizo en alguna.

Delegación de autenticación

Forefront TMG protege los sitios publicados de accesos no autenticados requiriendo primero autenticación al firewall para después proporcionar acceso a las aplicaciones publicadas esto previene del uso de exploits de usuarios anónimos contra aplicaciones y servicios publicados.

Link translation a servidores internos

Forefront TMG incluye la característica mejorada de link translation que permite la creación de un diccionario de definiciones que puede ser usado para relacionar nombres internos de servidores con nombres externos a publicar. Implementa link translation de manera automática en Web publishing.

Soporte para SSL bridging

Para evitar ataques embebidos en tráfico HTTP, SSL bridging permite que los paquetes SSL sean desencriptados, analizados y vuelta a encriptar.

clip_image003[2]

Virtual Private Networks

Característica

Descripción

clip_image002[5]

clip_image002[6]

Site-to-site VPN

Forefront TMG Permite rápida conectividad entre sitios usando un asistente de configuración que incluye configuración de IPSEC con dispositivos tipo appliance de terceras partes.

Remote access VPN

Forefront TMG proporciona terminales VPN L2TP/IPSec y PPTP VPN usando los servicios nativos de VPN nativos de Windows.

Inspección de trafico VPN

El trafico VPN terminado en Forefront TMG es inspeccionado de acuerdo a las políticas de seguridad implementadas.

Cuarentena en VPN

Forefront TMG realiza una profunda inspección del cliente VPN y mantiene integración con las políticas de firewall.

SecureNAT para clientes VPN

Forefront TMG permite que los usuarios conectados remotamente a la red puedan a su vez accede a internet manteniendo las políticas y protecciones implementadas en la red corporativa.

Publicación de servidores VPN

Forefront TMG puede ser usado para publicar servidores VPN internos.

clip_image003[3]

Management

Característica

Descripción

clip_image002[7]

clip_image002[8]

Enterprise

Las políticas pueden ser asignadas a gateways, arrays, o a todo el conjunto enterprise.

Asistentes

Forefront TMG simplifica la configuración mediante el uso de asistentes tales como web publishing, web Access y configuración de arrays.

Monitoreo y reporte en tiempo real

Los Logs pueden ser vistos en tiempo real o históricamente (incluyendo las sesiones activas).

Armado de consultas

Posee una herramienta de consultas que permite obtener datos históricos de manera sencilla, permite además la confección de consultas complejas.

Creación y publicación de reportes

Diseño de reportes según cada necesidad especifica que pueden ser publicados localmente o en recursos compartidos de red.

Logs

Los Logs pueden ser enviados a un Microsoft SQL Server localizado en la red interna.

Delegación de permisos

Los Roles administrativos pueden se delegados a Usuarios y Grupos.

clip_image003[4]

Networking y Performance

Característica

Descripción

clip_image002[9]

clip_image002[10]

Network load balancing

Forefront TMG utiliza Network load balancing para proporcionar alta disponibilidad y escalabilidad.

Configuración de redes

Es posible configurar una o más redes definiendo la relación entre ellas. Políticas de acceso pueden ser definidas con relación a esas redes y Forefront TMG extiende las características de firewall y seguridad entre cualquier red u objeto definido.

Caching

Forefront TMG contiene un servicio de cache para mejorar la experiencia del usuario y reducir el ancho de banda utilizado reduciendo costos. Forefront TMG con su mecanismo de políticas centralizadas permite configurar como los objetos son almacenados y recuperados del cache.

Background Intelligent Transfer Service (BITS)

Forefront TMG utiliza BITS para recibir los datos en cache, cualquier regla de cache creada puede usar BITS para recibir los datos.

HTTP compression

Implementa algoritmos que permiten reducir la redundancia de datos al trasmitir trafico HTTP.

Diffserv (Quality of Service)

Forefront TMG incluye la funcionalidad de priorización de paquetes (gracias a Diffserv Web filter), el cual busca paquetes de determinadas URLS o dominio asignándoles distintas prioridades según su necesidad.

Comparación de TMG Beta con ISA Server 2006 y TMG MBE

 

ISA 2006

TMG MBE

TMG Beta 2

Firewall

v

v

v

VPN (site-to-site and remote access)

v

v

v

Web proxy

v

v

v

Caching

v

v

v

Arrays for load balancing and failover

v

 

v

Non-domain joined gateway

v

 

v

Windows Server 2008 64-bit support

 

v

v

Web anti-malware

 

v

v

HTTPS inspection

   

v

E-mail security

   

v

Network Inspection System

   

v

ISP redundancy

   

v

Centrally manage Standard and Enterprise Edition gateways together (requires Enterprise Edition gateway)

   

v

Integration with “Stirling”

   

v

Comments

  • Anonymous
    August 25, 2009
    The comment has been removed

  • Anonymous
    September 05, 2009
    Me parece una evolucion interesante, sin embargo debieron haber considerado la version CORE, asi como temas relacionados balanceo de carga en modo CORE. Indiscutiblemente que la Administracion podria ser por via comando y via visual. Espero que les quede tiempo para añadir esta opcion.

  • Anonymous
    September 24, 2009
    cordial saludo me gustaria saber cuando sale la version full? saludos

  • Anonymous
    January 13, 2010
    The comment has been removed

  • Anonymous
    January 20, 2010
    Hola, alguna novedad de mi post anterior? alguien me puede ayudar con eso? sino, podrian decirme a que direccion escribir para que me respondan esas cosas? Muchas gracias. Martin Parodi.

  • Anonymous
    May 06, 2010
    Hola, Yo lo he instalado en modo de un solo adaptador, pero parece tener configuradas todas las opciones pero aun asi sigue sin flitrar mi red, alguien que me pueda ayudar?

  • Anonymous
    September 29, 2010
    Martin ya lo localizaste? como generar reportes por uno mismo? y donde se configuran los permisos en el sql para que pueda crear reportes, esto si se maneja la misma version de sql que instala el TMG