Se acabó la Liga

***************************************************************Artículo Publicado en Windows TI Magazine nº 122 Julio/Agosto 2007.
***************************************************************

La liga se ha acabado. Pero el mundo del fútbol no se detiene y los despachos seguirán funcionando persiguiendo los tan deseados fichajes de verano. En el mundo Microsoft esta selección de fichajes la hemos podido ver en la construcción de la plantilla de seguridad de la compañía.

El objetivo, tener un plantilla competitiva. En el verano del año 2003, con polémica por medio, Microsoft adquirió GeCad, una compañía rumana que desarrollaba un motor de antivirus. La polémica que se generó fue enorme, pero a día de hoy, a ritmo de una polémica por día en el mundo de la tecnología ya casi ni nos acordamos de ella. La tecnología, la plantilla y los conocimientos se emplearían en construir el Microsoft Anitmalware que viene incluido en Microsoft Forefront Server Security y Microsoft Forefront Client Security, pero también se extendería a otros productos y herramientas como la MSRT (Malicious Software Removal Tool), Windows Live Safety Center o Windows Live OneCare.

En las frías navidades del año 2004, se ficha la compañía Giant, con origen neoyorquino, que tenía tecnología antispyware y que daría lugar a Microsoft Antispyware, aquel producto que duró en fase beta más de un año y que al final recibiría la marca de Windows Defender. Hoy en día es un producto gratutito que viene integrado con Windows Vista.

En el año 2005, después de haber obtenido la tecnología más necesaria para proteger a los clientes, la compañía se centra en los servidores. Sin más retraso, el objetivo es hacerse con los servicios de Sybari, que tiene en sus manos Antigen, un producto capaz de escanear el correo electrónico con hasta 9 motores Antivirus, escanearlos en memoria y pasarelas y hacerlo utilizando un framework común, con lo que no son 9 formas distintas de acceder a los datos para realizar 9 chequeos de antivirus, sino un único acceso a los datos para que sea chequeado por 9 motores. A Microsoft le encaja perfectamente en su política. Eso ayuda a subir la estabilidad de los servidores pues reduce en 9 el número de incidencias posibles. ¡Listo pues! El 8 de Febrero de 2005 se anuncia su adquisición para que aparezca el Microsoft Forefront Server Security para Exchange Server, para SharePoint y para Comunications Server. El 31 de Agosto de 2005 se anuncia la compra de FrontBridge, una compañía especializada en la securización del correo electrónico que aportará tecnología antispam, es decir conocimiento y herramientas para Intelligent Message Filter en Exchange Server 2007 y para Spam Cure en Forefront Security Server.

El 19 de Septiembre se incorpora Alacris, una compañía centrada en la gestión de identidad y en el ciclo de vida de los certificados digitales y smartcards.

En el año 2006 se ha buscado fortificar la gestión de sistemas, para tener una mayor seguridad de la plataforma. El 9 de Febrero se anuncia el fichaje de FutureSoft’s DynaComm i:Filter, tecnología de Filtrado Web que se utilizará en Microsoft Forefront Security Server. El 26 de Abril se anuncia la compra de Assetmetrix, para incluir la tecnología de inventariado y gestión de activos y licencias para incluirla en System Center.

El 18 de Mayo de 2006 se confirma la adquisición de Whale Comunications, una compañía que había desarrollado tecnología de acceso VPN-SSL utilizando Microsoft ISA Server y que sería rebautizada como Microsoft Forefront Intelligent Application Gateway, quizás uno de los productos más llamativos de la gama de seguridad.
Softgrid se presenta el día 17 de Julio con la tecnología de virtualización de aplicaciones gestionada y a la carta, una tecnología necesaria en las grandes compañías y de la que Microsoft carecía. Al día siguiente, el día 18, se hace pública la compra de Wininternals, la compañía de Mark Russinovich, el eterno técnico de Sysinternals, MVP de seguridad durante varios años y famoso por sus trabajos con el kernel de los sistemas Windows y las herramientas Process Monitor, File Monitor... de Sysinternals.

La última incorporación de 2006 fue el 2 de Octubre, la empresa Desktop Standard, con tecnología de optimización en la gestión del puesto de trabajo y que, junto a herramientas de Softgrid, daría lugar al Microsoft Desktop Optimization Pack.

Este año se ha incorporado un último fichaje: la empresa Engyro, que con su tecnología de integración de sistemas de terceros con SMS y MOM han aumentado la potencia de interoperatibilidad de System Center, anunciándose System Center Engyro en el último TechEd en USA.

Con todas estas incorporaciones, Microsoft ha puesto sobre el terreno de juego al equipo Forefront (Server Security, Client Security, ISA Server e IAG) y al equipo System Center (MoM, SMS, Essentials, Engyro) para competir en la complicada liga de los productos de seguridad.

Bies malignos!

PD: Una recopilación más amplia de empresas compradas por Spectra en: Spectra I+D+I

Intelligent Application Gateway: Una VPN en una página web (II de II)

Asegurando el EndPoint

El EndPoint, o extremo de la VPN, es el cliente remoto. En la mayoría de los casos el que el cliente que se conecte a la red no se convierta en una amenaza es una de las grandes preocupaciones debido a ello nacieron las Redes de Cuarentena VPN y hoy en día evolucionan hacia el Network Access Protección (NAP) según Microsoft o Network Admission Control (NAC) según CISCO. La idea es la misma, no permitir una conexión a la red que no cumpla unos determinados requisitos.

Para realizar esto IAG utiliza Políticas de Seguridad. Estas le permiten al administrador de la red realizar cosas como evitar que alguien suba un archivo adjunto a través de OWA en un correo electrónico o un en SharePoint Portal Server 2003, si no tiene el antivirus instalado y actualizado a la última versión de firmas, o directamente si no tiene antispyware que no se pueda conectar.

Imagen: Políticas de Seguridad por defecto
IAG viene con un conjunto de políticas para empezar a administrarlo, pero se pueden configurar múltiples y de diversas configuraciones políticas de forma sencilla. En las imágenes 8 y 9 se ve como se configura una política para comprobación del antivirus y se puede observar como el producto permite realizar comprobaciones sobre el navegador, el antispyware, el sistema operativo, o el firewall entre otros.


Imágenes: Configuración de una Política de Acceso.
Seguridad. Filtrado a nivel de URLs

Además de securizar la red mediante comprobación de restricciones en el cliente, al ser una VPN que funciona sobre http, extiende la funcionalidad del filtro HTPP-Screener de ISA Server para permitir detectar ataques de SQL Injection, Buffer-Overflow o Cross-Site Scripting. Además, la sesión está mantenida entre el cliente y el portal, siendo el propio IAG el que abre las sesiones con cada una de las aplicaciones. Esto permite que el robo si alguna aplicación es susceptible a un ataque de robo de sesión mediante cookies este no pueda realizarse ya que el cliente no recibe ninguna información de la sesión con la aplicación, únicamente de la sesión con el IAG. Al realizar este proceso la superficie expuesta es reducida a su mínima expresión.

Monitorización e Informes

Los sistemas de monitorización y los informes que nos ofrece la solución son quizás un punto a mejorar, pero la integración del producto dentro de la “familia Microsoft” ha hecho que se haya anunciado para el año que viene un Mom pack para el producto que se integrará con Microsoft Operations Manager 2005 y System Center Operation Manager 2007 con lo cual toda la potencia de estos productos estará al servicio de Intelligent Application Gateway.

No obstante el producto viene con opciones para realizar una monitorización de todas las conexiones al portal y las aplicaciones que se encuentran en ejecución permitiendo realizar una gestión centralizada de las sesiones.

Imagen: Actividad del Portal
Consideraciones Finales

Intelligent Application Gateway es una opción más para securizar el acceso remoto de clientes a las aplicaciones de la compañía. Tiene una serie de ventajas que creo que se deben resaltar:

- Acceso controlado: Solo se permite acceder a aquellas aplicaciones que son publicadas.

- Pocos cambios en la infraestructura: No hay que abrir nuevos puertos ni hacer despliegue de software entre los clientes.

- Integración de aplicaciones: No solo como producto de seguridad sino como integrador de aplicaciones permite construir un portal corporativo de fácil acceso para los usuarios remotos.

- Integrado con las principales aplicaciones del mercado. Lo que nos va a permitir realizar un despliegue sencillo, probado y eficiente que va a optimizar el acceso.

- Filtrado a nivel de aplicación e inspección de todas las conexiones.

- Establecimiento de políticas de seguridad de fácil comprobación: Para decidir la política de seguridad se utiliza el mismo cliente que para acceder a la aplicación y su despliegue es automático porque está integrado en el navegador de Internet con que se accede.

Disponibilidad del producto

A pesar de que para muchos el producto pueda sonar a nuevo, la compañía desde hace más de 8 años, está focalizada en soluciones SSL VPN. A día de hoy el producto se adquiere en appliances. Estos van a ser fabricados por la compañía Network Engines que actualmente tiene una de las mejores soluciones de ISA Server en Appliance. Aprovechando la experiencia de la compañía se va a poder adquirir W2003+ISA Server+IAG integrado en un hardware robusto con soporte.

Imagen: IAG en 2U
Referencias:

- Intelligent Application Gateway: Una VPN en una página web (I de II)
- http://www.whalecommunications.com/
- http://www.microsoft.com/isaserver/whale/faq.mspx

ISA e IAG Again

Esta semana, en mitad de la vorágine de curro estoy realizando dos webcasts sobre ISA Server 2006. El primero lo hicimos el martes (está grabado y se podrá ver en breve en la siguiente URL) y hoy jueves vamos a hacer otro sobre las soluciones VPN en ISA Server 2006. La sesión que vamos a grabar es la que hicimos en la gira de “Secretos en Red” en Octubre y Noviembre, ya sabéis, la de inseguros.

A partir de Enero de 2006 Micro…digo, … Spectra compró una nueva solución VPN que se llama IAG (Intelligent Application Gateway). Ya escribí sobre esta solución en la revista Windows TI Magazine y lo publiqué en un post, pero en el mes de Febrero publiqué en PCWorld un artículo más extenso. Para los que vayáis a ver la sesión esta tarde os recomiendo la lectura de este primero ,y el de PCWorld, para completarlo. El artículo tiene dos partes, la segunda la pondré mañana.

- Artículo IAG Windows TI Magazine o en la web de Windows TI
- Artículo PCWorld - Primera parte
- Artículo PCWorld - Segunda parte
Bies!

Intelligent Application Gateway: Una VPN en una página web (I de II)

Microsoft nos anunció en Julio que adquiría la empresa Whale Comunications, convirtiéndola así, como ya sucedió con Sybari o Giant Company en una Microsoft Subsidiary. ¿Qué tecnología aporta IAG a Microsoft? El producto nos oferta una forma más de montar soluciones seguras para clientes remotos sin ser un coste para la administración de la infraestructura, ya que vamos a utilizar túneles SSL (Secure Socket Layer) simplificando las tareas de administración. IAG es una solución montada sobre ISA Server (Internet Security & Acelerator) y que extiende tanto las funcionalidades para Redes Privadas Virtuales en cuanto a implantación, en cuanto a seguridad del cliente como de filtrado de las comunicaciones.

Imagen: A Microsoft Subsidiary
¿Y qué puertos tengo que abrir?

Esta es una de las preguntas que más veces nos realizamos, los puertos, puertos, puertos. Sobre todo en las conexiones VPN (Virtual Private Networks) donde los puertos dependen de los protocolos que utilicemos. Así si usamos una infraestructura de PPTP (Point to Point Tuneling Protocol) tendremos que abrir unos puertos determinados, pero si decidimos usar L2TP (Layer 2 Tuneling Protocol) sobre IPSec para autenticar las conexiones a nivel de máquina necesitaremos abrir otros, además de permitir el tráfico de los protocolos AH (Authentication Header) y/o ESP (Encapsulated Security Payload) sobre los routers y/ firewalls y sin olvidarnos tampoco de permitir la negociación de las SA (Security Associations – Asociaciones de Seguridad) que se negocian con el protocolo IKE (Internet Key Exchange) que trabaja por el puerto UDP 500.

Sí, así es montar una VPN, bueno, no solo así, aún tiene más gracia todo esto, pero la idea de este artículo no es realizar un estudio detallado de todas las soluciones que tenemos para montar una infraestructura de conexiones VPN sino hablar de una que no tiene que configurar muchos puertos. De hecho solo debemos configurar uno. ¿Cuál? Sigue leyendo.

Tipos de VPN

Sin pretender hacer un análisis exhaustivo de los tipos de VPN si que quería centrarme en dos características. La primera de ella es sobre la arquitectura de la VPN donde tendremos dos tipos distintos:

- Conexión entre sedes (Site to Site): En este tipo de VPNs se establece una conexión entre dos cabezas de puente y es totalmente transparente para todos los clientes de ambos sites.

- Conexión para acceso remoto de clientes: Se crea una extensión VPN de la red para permitir que clientes remotos accedan a los recursos de la red.

En segundo lugar podemos clasificar las soluciones VPN en función del nivel, dentro de la torre de protocolos de comunicaciones, trabajan. Así tendremos VPNs que funcionan a nivel de conexión, de red o nivel de transporte.
ISA Server en sus versiones 2004 y 2006 nos ofrece la posibilidad de crear redes VPN tanto Site to Site como para clientes de acceso remoto utilizando PPTP y/o L2TP sobre IPSec. En el caso de IAG tenemos una solución de VPNs pensada para dar conexiones seguras a clientes remotos utilizando una implementación a nivel de transporte basada en SSL.

Una VPN que funciona como una página web

Para realizar este proceso de gestión de la VPN, el cliente no necesita tener instalado ningún cliente en el equipo y su forma de conectarse a la red va a ser a través del navegador. No, no es una aplicación html, es una aplicación que utiliza un frontal web para realizar conexiones de datos usando http-s.

Voy a intentar explicarlo de forma sencilla, para que hasta yo lo entienda. Imaginemos un cliente remoto que quiere acceder a un sistema de ficheros remoto situado en un servidor de la red. En el caso de una VPN “clásica” basada en PPTP o L2TP la petición de listado de ficheros se cifraría con PPP en ambos casos, se cifraría también con ESP en el caso de usar L2TP/IPSec y se enviaría desde el cliente hasta el servidor utilizando para enlutar por Internet los protocolos GRE o IP. El mensajito cifrado (y autenticado en el caso de IPSec) llega al servidor VPN que desencapsula el mensaje de petición de listado de ficheros y lo reenvia por la red interna para que le llegue al destinatario.

Con IAG el cliente no establece una conexión VPN, con lo cual el servidor no tiene que estar manteniendo todas las conexiones de los clientes simultáneamente, sino que simplemente se conecta a un portal web donde es autenticado. Una página web. Esta conexión funciona con HTTPs con lo que va cifrada y autenticada. El cliente, tras autenticarse abre una de las aplicaciones que se le sirven en el portal, por ejemplo un acceso a ficheros. Esta aplicación se carga sobre un ActiveX que corre sobre el navegador Web. Cada vez que el usuario realiza una petición sobre el ActiveX se va a genera un mensaje que va a ir sobre http-s que va a llegar a IAG. Una vez allí, se va a desencapsular hasta el nivel de aplicación, es decir, hasta el http y se va a reenviar hacia el servidor de ficheros destino.

Imagen: Acceso a Servidor de ficheros a través de IAG.
Implantación y Arquitectura

Nada más correr el asistente de instalación de IAG sobre nuestra máquina se nos va a crear un portal web al que vamos a poder entrar a ver nuestras aplicaciones.
Durante el proceso de instalación debemos dar las opciones de configuración del portal y el repositorio de autenticación de los usuarios a los que queremos permitirles el acceso.



Imágenes: Instalación del portal troncal de acceso a IAG y configuración de autenticación de usuarios
Una vez instalado el portal el siguiente paso es configurar las aplicaciones disponibles. Estas aplicaciones pueden ser de cuatro tipos:

- Web Applications: En este tipo de aplicaciones se incluye una lista de aplicaciones basadas en arquitectura Web que han sido probadas, testadas e integradas, como por ejemplo, Outlook Web Access, PeopleSoft, SharePoint Portal Server 2003, WepSphere, SAP Enterprise Portal, etc… La publicación de una aplicación de este tipo está integrada 100 % con IAG. Además, para este tipo de aplicaciones existen ciertos optimizadores que realizan opciones de caché y empaquetado de peticiones para reducir la carga de tráfico. Todas las aplicaciones que se publiquen con esta plantilla pueden también ser publicadas a través de las plantillas genéricas de Aplicaciones embebidas en el Navegador, pero todas las aplicaciones que están reconocidas aquí permiten aprovecharse de opciones de Single Sign-on, ya que IAG conoce perfectamente la forma de autenticar a los usuarios en las aplicaciones, optimiza el acceso, etc…

Imagen: Configuración de propiedades de Autenticación en una aplicación Web. En este caso NFuse de Citrix
- Aplicaciones Empaquetadas: En este tipo de aplicaciones existen componentes integrados dentro de IAG para acceso a los servicios y que vienen dentro del propio cliente IAG. Dentro de esta categoría se encuentra entre otros el acceso a los sistemas de ficheros que nos va a permitir, entre otras cosas, que cada usuario tenga mapeado su directorio personal en el acceso al portal.

- Aplicaciones Cliente/Servidor: Cualquier tipo de aplicaciones Cliente/Servidor puede ser integrada dentro del IAG, para ello se debe configurar la conexión de IAG al servidor, estableciendo cuales son las configuraciones de acceso al servidor. En este caso IAG desempaqueta el tráfico que le venga del cliente y se lo envía al servidor y viceversa. Utiliza un cliente genérico que funciona como una pantalla. Así, es posible integrar una aplicación telnet, una aplicación Oracle Developer, etc…

- Aplicaciones embebidas en el navegador: El resto de aplicaciones basadas en web. Está pensado para desarrollos propietarios de cada compañía que haya que securizar.

Imagen: Añadiendo aplicaciones al portal
En la imagen siguiente se puede observar un entorno en el que se han añadido múltiples aplicaciones que son accesibles todas desde IAG.

Imagen: Portal de Acceso a las aplicaciones
Hasta el momento hemos visto como tenemos una solución que permite a clientes remotos acceder a aplicaciones internas utilizando como sistema de securización una VPN basada en SSL a través de un Gateway, ahora, ¿qué más podemos hacer?

Intelligent Application Gateway: Una VPN en una página web (II de II)

Publicando Aplicaciones

Como sabéis, todos los meses publico uno de estos en la revista Windows TI Magazine. Este es el que ha salido en la revista de Enero, a partir de Febrero quiero centrarme en cosas de Seguridad en Windows Vista. ¡Saludos!

Windows TI Magazine

***********************************************************************

Publicando Aplicaciones con la ballena

A Microsoft Subsidary, así reza el logo de Whale Comunications en su página web. Y es que la tecnología que ofrecían no era como para dejarla escapar, o eso debió pensar alguno de los analizadores de tecnología de Microsoft que, como ojeadores de fútbol en busca de jóvenes estrellas, se encargan de estudiar a esas empresas con tecnología brillante o con posibilidades de serlo.

En el caso de Whale el acoplamiento de su tecnología era algo que le estaba faltando a la compañía dentro de la estrategia de creación de ese equipo de fútbol orientado a jugar en las ligas de la seguridad Informática. Y es que visitar la web de los “forefrones” (permitidme que quite la t en pro de la castellanización más bronxtolita del término) es encontrar a un montón de fichajes estrellas como Forefront for Exchange y Forefront for SharePoint, ex jugadores ambos de Sybari, Forefront Client, ex GeCat, Microsoft Antyspyware, ex Giant, y ahora Intelligent Application Gateway, ex WhaleComunications.

¿Y que aporta?

La tecnología que trae IAG es el tipo de VPN que le faltaba a ISA Server 2006 (este procedente de la cantera). ISA 2k6 ofrece la posibilidad de crear Redes Privadas Virtuales Site-to-Site, para establecer conexiones entre redes, y crear Servidores para permitir conexiones a clientes remotos de forma segura a la red de la compañía. Este tipo de servicios desde el punto de vista IT tiene “el problema” de la gestión de la infraestructura de red, ya que obliga a la apertura de puertos en los firewalls perimetrales de la compañía. Esto no quiere decir que sean malas soluciones pero gracias a IAG ahora en ISA 2k6 podemos utilizar sistemas de creación de VPNs a nivel de aplicación montando una pasarela de comunicación entre los clientes y las aplicaciones sobre nuestro firewall.

¿Cómo funciona esto?

La idea es sencilla, al final una VPN ofrece básicamente dos servicios: Autenticación de los participantes de la comunicación y cifrado de los mensajes en transito por una red pública (vale sí, y el enrutamiento, y la compresión de datos y el encapsulamiento de protocolos,…) Pero todo esto nos lo puede ofrecer el protocolo SSL, y ¿qué mejor cliente para acceder a todo que un navegador de Internet? Así nacen las VPNs basadas en http-s. En estos entornos lo que tenemos es una aplicación web que recibe comandos desde el cliente encapsulados de forma segura con el protocolo http-s. Nuestro IAG, que lógicamente es dicha aplicación frontal, desencapsula los datos que vienen desde el cliente y los transmite a la aplicación. Una pasarela según la definición de elementos de interconexión del estándar OSI (Open System Interconection) de ISO (Internationat Standard Organization).

¿Qué ventajas ofrece?

En primer lugar las aplicaciones se comparten en un portal que permite a un empleado conectarse a todo el repositorio de aplicaciones de su organización de forma segura desde cualquier conexión únicamente conectándose a un servidor web. Una vez allí puede abrir cualquier aplicación que se haya publicado (Cliente de Terminal Server, aplicación web, ficheros compartidos, aplicación propia cliente/servidor basada en sockets, etc…) Además, al tener un servidor que nos autentica podemos realizar servicios de Single Sign-On ya que el propio IAG es el que gestiona las conexiones.

De esta forma no está expuesta directamente ninguna aplicación ni tan siquiera para los propios clientes expuestos. La gestión no obliga a abrir ningún puerto en la infraestructura de red más que el de SSL 443 o 565 (los estándar) o cualquiera que nos dejen para el https.

La última característica importante que me gustaría destacar sobre el último fichaje, al igual que un orgulloso presidente que presenta a su nueva figura, es la posibilidad de establecer políticas de seguridad de acceso para los clientes a la similitud de una red de cuarentena. Llegado el momento de establecer la conexión, nuestro servidor examina la política de salud de la máquina, es decir, nos comprueba lo que el administrador ha marcado como de obligatorio cumplimento para conectarse a la red (firewall activado, actualizaciones de seguridad al día, software instalado o actualización de antivirus). Si el cliente no cumple la política de salud la conexión se puede denegar evitando la vulneración del perímetro por un cliente de una VPN inseguro.

¿Encajará en el equipo?

Toda la solución de Intelligent Application Gateway corre sobre ISA 2k6 aprovechándose de las posibilidades que ofrece la solución firewall de filtrado a nivel de aplicación, luego podemos decir que es casi un add-in (muy gordo) del firewall. Hasta el momento la solución la comercializaba Whale en un appliance de con una linda ballenita en el frontal en el que corría Windows Server, ISA Server y Whal… digo… Intelligence Appplicaction Firewall. No están definidos los planes de la comercialización de futuro (o no son públicos aún), pero a día de hoy se puede obtener de la solución en el appliance. Lógicamente toda la solución IAG está totalmente integrada en la estructura de software Microsoft y ya está planeado incluso el lanzamiento de un Mom Pack para IAG que permita al “médico” del equipo comprobar las evoluciones en el devenir diario de la alta competición de este nuevo jugador.

¿Os imagináis si después de toda la inversión que está realizando Microsoft en productos y tecnologías de Seguridad dejaran de existir las amenazas? Sería gracioso, ¿no?