Archivos Mensuales: octubre 2011

Windows PowerShell Command Builder for Microsoft SharePoint

Folder-Sharepoint-Folder-icon

Hace unos días me encontré con esta herramienta Windows PowerShell Command Builder for Microsoft SharePoint basada en un entorno Web, específicamente Silverlight.

Desde este site podemos crear scripts en un GUI muy amigable para luego poder aplicarlos a SharePoint 2010, SharePoint Foundation o Office 365.

 

Mi experiencia con la aplicación a sido muy satisfactoria ya que fácil y rápido he podido automatizar tareas como respaldos (entre otras) con rutinas en PowerShell.

Para descargar un pequeño documento con información adicional por favor visiten este link:

http://download.microsoft.com/download/5/5/C/55CBF854-D7FD-43D9-B6F0-813AB33AC360/Windows-PowerShell-command-builder-guide.pdf

Que lo disfruten,

 

Hasta la próxima !!!

Etiquetado , ,

SSL Sobre un Puerto no Estándar

https-background

Un problema muy común que nos encontramos los administradores de ISA Server / Forefront TMG es la apertura de puertos no estándares para el uso de SSL a través del Web Proxy, esto ya que por defecto los únicos puertos permitidos son 443 para SSL y 593 para NNTP.

 

Síntomas:

Cuando estamos frente a una denegación de SSL ya que intentamos salir por un puerto diferente al 443, veremos en los log algo similar a estos eventos: “The specified Secure Sockets Layer (SSL) port is not allowed. Forefront TMG is not configured to allow SSL requests from this port.

 ssl1

Solución:

Bueno como dice mi amigo daemonRoot: “como todos sabemos en el mundo de la informática hay mil y una formas de solucionar un problema… o hacerlo más grande” veremos dos métodos para solucionar este inconveniente.

Método 1:

Este es mi método favorito ya que tendremos que utilizar la línea de comandos, se basa en el uso de un script llamado ISA Tunnel Port Tool básicamente estos serian los pasos:

1. Descargar el script ISA Tunnel Port tool.

2. Desde la consola ejecutamos el siguiente comando: script isa_tpr.js /add Port4443 4443 

3. Reiniciamos el servicio de Firewall.

Acá dejo un PRTSC con la lista de parámetros que podemos usar en isa_tpr.js

isa_tpr_help

 

Método 2:

El segundo método que quisiera compartir con ustedes se basa en una Interface Grafica (GUI) llamado LISSA 2004 desarrollado por la gente de Informática64 acá les dejo un excelente paso a paso de como usar la aplicación escrito por el equipo de Seguros con Forefront: http://www.forefront-es.com/?tag=/lissa

Bueno como hemos visto hay varios métodos para abrir puertos a través del Web Proxy, solo me queda compartir con ustedes unos links con información adicional acerca de estos procedimientos:

http://support.microsoft.com/kb/283284

http://technet.microsoft.com/en-us/library/cc302450.aspx

 

Hasta la próxima !!!

Etiquetado , , ,

Tipos de Reglas en ISA Server / Forefront TMG

FWPolicy1

Un tema que muchas veces causa confusión entre las personas que se inician en Forefront TMG o sus predecesores es cuales tipos de reglas existen, como puedo crearlas y sobre todo, sobre que escenario debo usar una u otra.

Para aclarar un poco este tema, voy a escribir un poco acerca de las opciones que tenemos disponibles para administrar la configuración o políticas de nuestra red.

Inicialmente quisiera aclarar que tanto ISA Server como Forefront TMG son Firewall de tipo Top-Down lo que significa que se evalúan las reglas de arriba hacia abajo (por eso es importante el orden en que se encuentren las reglas ) y una vez que se encuentre alguna regla que permita o deniegue el trafico las demás reglas no son evaluadas.

Básicamente vamos a tener cuatro tipos de reglas con las que podremos interactuar en nuestro ambiente: Reglas de Acceso, Reglas de Publicación, Reglas del Sistema y Reglas de Red.

1. Reglas de Acceso: estas reglas controlan el acceso entre las redes que tengamos definidas en el servidor Forefront TMG / ISA Server y en conjunto con las reglas de red, definirán que y como compartimos los recursos entre las mismas.

2. Reglas de Publicación: estas reglas controlan el acceso de trafico entrante (Inbound) a los servidores que tengamos publicados detrás de ISA Server / Forefront TMG en esta clasificación tenemos varios sub-tipos de reglas como son: publicaciones web, publicaciones Exchange, publicaciones SharePoint o publicaciones de servidores no web como FTP o DNS.

3. Reglas del Sistema: estas son un conjunto de reglas predeterminadas que controlan el acceso desde y hacia la red Local Host (ósea el propio servidor ISA Server / Forefront TMG) además habilitan la infraestructura necesaria para administrar la conectividad y la seguridad de la red.

4. Reglas de Red: acá básicamente se define la relación entre dos redes que pertenezcan a ISA Server / Forefront TMG, estas relaciones pueden ser de tipo Ruta o Traducción (NAT).

Mas Información:

http://technet.microsoft.com/es-ar/library/dd897107.aspx

http://technet.microsoft.com/es-es/library/dd440991.aspx

http://technet.microsoft.com/es-ar/library/bb794729.aspx

 

Hasta la próxima !!!

Etiquetado , ,

Clientes Forefront TMG 2010

user-group-icon

Una de las preguntas mas frecuentes a la que nos enfrentamos cuando diseñamos un ambiente TMG / ISA Server, es de que forma vamos a conectar / integrar a nuestros usuarios (clientes) al servicio que estamos diseñando.

Bueno en este punto la respuesta dependerá de nuestro ambiente, que tan sencillo o complejo sea, cuales sistemas operativos usemos, entre otras variables.

Básicamente tenemos tres posibles escenarios: SecureNat, WebProxy y Firewall Client según sus definiciones:

1. SecureNat: es una computadora que ejecuta cualquier sistema operativo (Microsoft o no) y como puerta de enlace (Gateway) usa la IP de TMG / ISA Server que se encuentre en la misma red (generalmente la red Interna). En ambientes mas complejos donde hay Routers y Sub-Redes entre los clientes y TMG / ISA Server estos podrían usar como puerta de enlace el Router mas cercano a TMG / ISA Server.

Este escenario tenemos una limitación que se deben considerar: los clientes SecureNat no autentican sus conexiones, por lo que la regla que permitirá el acceso a Internet de estos clientes debe aplicarse para todos los usuarios en el tab usuarios.

IERule

 

2. WebProxy: son aplicaciones que realizan solicitudes de descarga HTTP, HTTPS o FTP a través de HTTP al puerto TCP en el que TMG / ISA Server escucha las solicitudes web salientes de la red (generalmente en el puerto 8080).

Este escenario tenemos una limitación que se deben considerar: los clientes WebProxy solo soportan los protocolos HTTP, HTTPS o FTP a través de HTTP y la regla que permite el acceso a Internet debe aplicarse para un grupo determinado de usuarios, si deseamos autenticación de lo contrario debería de aplicar para todos los usuarios  en el tab usuarios.

IERule2

 

3. Firewall Client: es una computadora que ejecuta algún sistema operativo Microsoft y además tiene instalado el cliente firewall para TMG o ISA Server para automatizar la detección del Proxy en los exploradores y aplicaciones compatibles.

Para este escenario cabe destacar que es el mas recomendado ya que proporciona seguridad mejorada, mejor compatibilidad con aplicaciones y ofrece control de acceso para los clientes.

TMG Client

 

Como hemos visto estos son los tres posibles escenarios que nos podríamos encontrar a la hora de planear nuestra infraestructura TMG / ISA Server, solo me queda compartirles un link donde pueden encontrar información adicional.

http://technet.microsoft.com/es-ar/library/cc441532.aspx

 

Hasta la próxima !!!

Etiquetado , , , ,

5 Razones Para Aplicar el Service Pack 2 a TMG 2010

Hoy quisiera compartir con ustedes un excelente post del blog de Yuri Diogenes donde nos explica 5 razones por las cuales debemos aplicar el Service Pack 2 a nuestro ambiente TMG… Que lo disfruten.

http://blogs.technet.com/b/yuridiogenes/archive/2011/10/14/five-reasons-you-should-apply-forefront-tmg-2010-sp2.aspx

 

Hasta la próxima !!!

Etiquetado ,

Security Intelligence Report

Quisiera compartir una nota rápida acerca de un documento que me parece bastante interesante Security Intelligence Report como bien dice su descripción: “Una revisión exhaustiva de las vulnerabilidades de seguridad del software, de la amenaza del código malintencionado y del software potencialmente no deseado en la primera mitad del año 2011” es un estudio realizado por Microsoft basado en las tendencias de los últimos 6 meses en cuento a vulnerabilidades / amenazas se trata.

Les dejo los link con toda la información:

Informe completo (Ingles)

Resumen (español)

Sitio Principal

 

Hasta la próxima !!!

Etiquetado , ,

Wbadmin – Catalogo de Respaldos

Cuando hacemos respaldos de Active Directory sobre Windows 2008 / 2008 R2 usamos el comando Wbadmin y sus diferentes operadores, este procedimiento nos genera un catalogo con información básica acerca del historial de respaldos que hemos realizado en cada servidor, tal como se muestra en la salida del comando: wbadmin get versions.

Step1

Que sucede si perdemos el disco donde tenemos el respaldo o por temas de espacio tenemos que mover nuestro respaldo a otro volumen, bueno acá podemos usar wbadmin delete catalog para eliminar el catalogo actual y wbadmin restore catalog -backupTarget:<BackupDestinationVolume>  para restaurar el catalogo desde otra ubicación.

Mas información:

http://technet.microsoft.com/en-us/library/cc742154(WS.10).aspx

http://technet.microsoft.com/en-us/library/cc742142(WS.10).aspx

 

Hasta la próxima !!!

Etiquetado , ,

Respaldo Automático TMG 2010

Drive-Backup-icon

Una de las practicas mas recomendadas cuando trabajamos con ISA Server o Forefront TMG es realizar una respaldo de la configuración antes y después de cualquier cambio que hagamos ya que de esta forma siempre podremos revertir el cambio que hicimos sin mayor problema.

Pero que sucede si por política de la compañía nos solicitan un respaldo diario haya cambiado la configuración o no bueno hay una forma de automatizarlo con un viejo y conocido Script llamado ImportExport.vbs

Este script lo podemos obtener de un par formas:

1. Descargando el SDK: http://www.microsoft.com/download/en/details.aspx?id=11183

2. Copiándolo de acá: http://msdn.microsoft.com/en-us/library/ms812627.aspx

Una vez con el script en mano tenemos dos escenarios:

1. Exporta la configuración: cscript ImportExport.vbs e C:\BackupConfigTMG.xml

2. Importar la configuración: cscript ImportExport.vbs i C:\BackupConfigTMG.xml

Como ven el uso del script es bastante simple y lo podemos automatizar en un .bat para correrlo en una tarea programada.

 

Hasta la próxima !!!

Etiquetado , ,

Forefront TMG 2010 Service Pack 2

Una nota rápida… Ya se encuentra disponible el Service Pack 2 para TMG 2010, este Service Pack incluye las mejoras que se incluían dentro Service Pack 1 y el Rollup 4, adicionalmente incluye las siguientes características:

Nuevos informes
• El nuevo informe de actividad de sitio muestra la transferencia de datos entre los usuarios y sitios web específicos.
 
Páginas de error
• Las páginas de error tienen una nueva apariencia.
• Ahora es más fácil personalizar las páginas de error e incluir objetos incrustados.
 
Autenticación Kerberos
• Ahora puede utilizar autenticación Kerberos al implementar una matriz con equilibrio de carga de red (NLB).

Toda la información acerca de esta actualización la pueden encontrar en estos link’s:

1. Notas de la Versión: http://technet.microsoft.com/es-cr/library/ee207138.aspx

2. Guía de Instalación: http://technet.microsoft.com/en-us/library/ff717843.aspx

3. Descarga del Service Pack: http://www.microsoft.com/download/en/details.aspx?id=27603

 

Hasta la próxima !!!

Etiquetado , ,

¿Como funcionan los URL Sets?

Internet-url-icon

En ISA Server / TMG existen una serie de objetos de red en los que podemos apoyar nuestra reglas de configuración como Network Sets, Computers Sets, Address Ranges, Domain Name Sets, URL Sets, entre otros.

Cada uno de estos objetos cumplen con un objetivo diferente, sin embargo en esta ocasión vamos a ver específicamente el uso y la configuración de los URL Sets.

¿Que es un URL Sets?

Pensemos que un URL Sets es un objeto tipo grupo o contenedor, donde podemos almacenar direcciones web para luego denegar o permitir el trafico en nuestra configuración de Firewall.

¿Como crear un URL Sets?

Iniciamos la consola de administración de TMG, buscamos la opción de Firewall Policy > Toolbox > Network Objects > URL Sets.

Step1

Una vez posicionados en la opción URL Sets hacemos clic derecho y buscamos la opción New URL Set.

Step2

Una vez en el cuadro New URL Set Rule Element personalizamos el campo Name y podemos agregar direcciones con el botón Add luego salvamos los cambios pulsando OK. En este paso ya tendríamos el objeto listo para ser usado en una regla.

¿Como se procesan los URL Sets?

Como cualquier regla dentro de ISA Server / TMG es evaluada en el orden que se que encuentra, si la regla 5 deniega un terminado trafico pero la regla 10 lo permite, ese trafico siempre será negado ya que una vez que se evalúa una regla y esta coincide las demás no son evaluadas.

Adicional a lo anterior, para URL Sets existen otras consideraciones:

  1. Solo procesa el trafico HTTP, HTTPS y FTP over HTTP para cualquier otro protocolo el URL Sets es ignorado.
  2. No se pueden especificar direcciones IP.
  3. Si especificamos un puerto como parte de la dirección ese puerto será retirado de la solicitud e ignorado, por ejemplo: http://a.com:55 se convierte a http://a.com.
  4. Si especificamos path o wildcard dentro de la dirección y el trafico es HTTPS no será evaluada, por ejemplo: a.com/ no aplicaría para HTTPS, caso contrario si declara a.com donde si aplicaría para ese trafico.

Para obtener una lista completa de consideraciones, por favor visite este enlace: http://technet.microsoft.com/en-us/library/cc441706.aspx.

Según lo que hemos visto acerca de los URL Sets, este objeto nos podría facilitar bastante la creación de reglas y la forma en la que administramos el Firewall ya que este objeto es reutilizable (lo podríamos usar en una o varias reglas), sin embargo también vimos que tiene sus limitaciones, en la vida real considero que para permitir trafico HTTPS desde un grupo de clientes hasta una pagina web, es mejor utilizar un Domain Name Sets de igual forma aplicaría si quisiéramos permitir otros protocolos diferentes a los soportados por URL Sets.

 

Hasta la proxima !!!

Etiquetado , ,