Archivo de la categoría: Forefront TMG 2010

Port Forwarding en Forefront TMG

Security-Camera-icon

Una pregunta muy frecuente que la gente siempre hace cuando nos referimos a TMG o inclusive ISA Server es como reenviar puertos a una IP especifica (Port Forwarding).

Un ejemplo muy común es cuando en nuestra red interna tenemos un grabador de video digital (DVR) o alguna cámara IP y necesitamos tener acceso desde de Internet.

En este caso debemos hacer un reenvío de puertos según sean las necesidades del grabador a una IP especifica mediante una regla de publicación de un servidor no web en caso que nuestra relación de red entre el segmento donde se encuentre el DVR e Internet sea NAT o caso contrario una regla de acceso si es ROUTE.

Para ver el escenario, tomaremos como referencia un DVR cualquiera que necesita tres condiciones para su publicación:

1. Puerto 1720 en TCP

2. Puerto 60000 y 60001 en TCP

3. Puertos 60000 y 64999 en UDP

Planteemos el escenario:

Imaginemos que nuestra red interna es 192.168.1.0/24 y nuestra red externa es 170.168.1.0/30 y la relación de red que existe entre ambas redes es de NAT, ósea para este caso especifico traduzco desde y hacia Internet mi red interna en la IP 170.168.1.2, hasta este punto espero me haya explicado bien el escenario Risa.

Paso 1: Definir los puertos, para ello vamos a la opción Firewall Policy > Toolbox (a la derecha de la pantalla) > Protocols > New > Protocol lo cual nos levantara el asistente “New Protocol Definition”.

PF_TMG01

En la primera pantalla nos pide un nombre para el puerto que vamos a definir, en este caso le llamaré DVR-Listener y hacemos clic en siguiente.

En la segunda pantalla definiremos los rangos de los puertos que componen a DVR-Listener haciendo clic en el botón “New

PF_TMG02

Una vez que pulsemos el botón New nos desplegará la ventana para editar los rangos que requerimos en este caso vamos a usar 1720 en TCP, 60000, 60001 en TCP y 60000 y 64999 en UDP, tal como se muestra a continuación

PF_TMG03

Una aclaración adicional es que para los puertos TCP la dirección del puerto debe ser Inbound y para UDP Receive. Luego damos siguiente y cuando nos pregunte si deseamos una conexión segundaria marcamos que no y luego aceptamos todas las ventanas que tengamos…

PF_TMG04 

Paso 2: Regla de Publicación, acá usaremos un regla de publicación de un servidor no web Firewall Policy > Task (a la derecha de la pantalla) > Publish Non-Web Server Protocols y nos levantara el asistente para hacerlo.

PF_TMG05

Con el nombre establecido daremos clic en siguiente, para definir la IP del DVR o Cámara IP, en este caso al DVR le asignaremos 192.168.1.50 y hacemos clic en siguiente…

PF_TMG06

En la siguiente pantalla seleccionaremos el protocolo que creamos anteriormente (DVR-Listener) y hacemos clic en siguiente…

PF_TMG07

En la próxima pantalla seleccionaremos desde cual red vamos a aceptar solicitudes o desde otro punto de vista, cual será el origen de las solicitudes que vamos a aceptar…

PF_TMG08

La siguiente pantalla es un resumen de la configuración y finalmente pulsamos el botón Finish para de esta forma ya tenemos el reenvío de puertos configurado.

Como ven esta es la forma que tenemos en ISA Server o TMG para hacer Port Forwarding.

Hasta la próxima !!!

Etiquetado , ,

Update 1 Para Forefront TMG 2010 Service Pack 2

El pasado 11 de enero, Microsoft publico el Rollup 1 para TMG Service Pack 2 el cual resuelve unos 12 problemas entre ellos:

 

RU1_TMGSP2

Para obtener mayor información: http://support.microsoft.com/kb/2649961/en-us

 

Hasta la próxima !!!

Etiquetado , ,

Vulnerabilidad ASP.Net

File-Types-asp-icon

Desde el paso 29 de diciembre se publico el boletín MS11-100 por parte de Microsoft el cual contiene información sobre varias vulnerabilidades que afectan todas las versiones de .Net Framework, una de ellas permite la ejecución de código, así como la denegación de servicio por medio de peticiones HTTP.

La buena noticia es que si tenemos nuestro servicio de ASP.Net publicado a través de Forefront TMG 2010 y tenemos NIS activado hay una firma que detecta este ataque y lo detiene, tal como se muestra en el siguiente pantallazo:

CVE-2011-3414 1

 

CVE-2011-3414 2

Sin embargo, por defecto la política viene deshabilitada, cosa que se puede corregir haciendo clic derecho sobre la política Configure Signature Properties > General > Override > Enable > Response: Block

Con estos simples pasos ya estaríamos protegiendo todos los servicios que estén detrás de TMG y corran sobre ASP.Net.

Información Adicional:

http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2011-3414

http://technet.microsoft.com/en-us/security/bulletin/ms11-100

http://technet.microsoft.com/en-us/security/advisory/2659883

 

Hasta la próxima !!!

Etiquetado , ,

Troubleshooting: Best Practices Analyzer TMG 2010

Como les había comentado en mi articulo anterior ¿Como hacer Troubleshooting? el analizador de mejores practicas es una herramienta que nos permite comprar nuestro ambiente de producción contra una serie de pruebas recomendadas por Microsoft para determinado producto, en este caso especifico Forefront TMG 2010.

Instalación

El instalador lo podemos conseguir en el Download Center de Microsoft.

Paso Uno: ejecutamos el instalador, con doble clic y nos presenta la pantalla de bienvenida, el cual nos da una pequeña introducción a la herramienta.

BPAStep1

 

Paso Dos: aceptamos los términos del contrato y pulsamos siguiente.

BPAStep2

Paso Tres: quizá este es el paso mas importante de la instalación ya que nos pide que aceptemos o no el método de actualización automática que se realiza cada vez que iniciamos la aplicación, la recomendación es marcar la opción en “si” y continuar con la instalación.

BPAStep3

Paso Cuatro: en este paso, el instalador nos pregunta si queremos enviar información a Microsoft para ayudar a mejorar la herramienta, mi recomendación es que marquemos la opción de participar y continuemos con el asistente.

BPAStep4

 

Paso Cinco: acá estaríamos listos para instalar la herramienta, así que pulsamos la opción “Install”.

BPAStep5

 

Una vez que finalice el instalador nos presenta la pantalla de finalización y nos muestra la opción de iniciar la herramienta de lo contrario tenemos un acceso directo en Inicio > Programas > Microsoft Forefront TMG > TMG Tools.

En mi experiencia el mejor momento para correr una análisis con el BPA es luego de concluir la instalación y configuración del servidor, sin embargo hay escenarios donde el problema que se nos presente es poco “tradicional” y un análisis con BPA es un excelente sitio para empezar a buscar… Así que veamos como usamos esta herramienta:

En el panel principal tenemos dos opciones, select options for a new scan y select a best practices scan to view con la primera realizaremos un análisis según los filtros que selecciones y con la segunda opción veremos los reportes generados anteriormente.

Select options for a new scan:

BPAStep6

Luego de seleccionar la opción mencionada, veremos la pantalla para iniciar con la pruebas, básicamente tenemos tres datos que debemos darle al asistente:

Scan Label: se refiere al nombre (etiqueta) que le podremos a la pruebas que realizaremos.

AD Server: algún controlador de dominio disponible en mismo sitio donde se encuentra TMG.

Scan Type: se refiere a las pruebas que vamos a realizar.

BPAStep7

En la siguiente pantalla veremos la opción para ver el reporte generado luego de las pruebas que seleccionamos.

BPAStep8

 

Luego veremos una lista de todos los problemas que tenemos en nuestro ambiente, tal como se muestra en la siguiente pantalla.

BPA_FTMG_2010

 

A groso modo esta es la funcionalidad principal del BPA para TMG, en algunos casos se muestra un link “Tell me more about this issue and how to resolve it” donde podremos encontrar información adicional acerca del problema encontrado… sin embargo me gustaría comentar un poco mas acerca de dos aplicaciones mas que vienen con la instalación del BPA

1. Forefront TMG Data Packager: desde mi punto personal es una herramienta que no puede faltar en la consola de administración de todos los administradores de TMG, esta aplicación nos permite recopilar información y empaquetarla para su posterior análisis (muy útil para los consultores)

Acá un pantallazo de la venta principal, una vez instalado el BPA lo podemos encontrar en Inicio > Programas > Microsoft Forefront TMG > TMG Tools > TMG Data Packager.

BPA2_FTMG_2010

Podríamos seleccionar dos opciones: un reporte “estático” de información como eventos del servidor, performance, logs entre otros… o también contamos con la opción de recopilar información según sea necesario, por ejemplo: VPN, Web Proxy & Web Publishing, Firewall Policy, entre otros… y si esto aun no fuera lo que buscamos tenemos una muy buena opción de personalizar la recopilación, con las opciones de la siguiente pantalla:

BPA3_FTMG_2010

Como ven Data Packager es una excelente para hacer Troubleshooting…

2. BPA to Visio: como su nombre lo dice, es una extensión de Visio para poder exportar nuestra topología a Visio y tener así un pequeño diagrama de la misma.

 

Bueno hasta acá hemos visto un poco de BPA y sus extras como lo son Data Packager y BPA2Visio, realmente el tema es muy amplio y nos daría casi para tener un blog exclusivo acerca de ello, solo espero que disfruten esta herramienta haciendo Troubleshooting Sonrisa 

Información adicional:

http://blogs.technet.com/b/isablog/archive/2007/07/22/using-bpa2visio.aspx

http://blogs.technet.com/b/isablog/archive/2009/12/24/using-forefront-tmg-isa-server-bpa-for-documenting-your-deployment.aspx

Hasta la proxima !!!

Etiquetado , ,

¿Como hacer Troubleshooting?

Troubleshooting1

Sin lugar a duda, una de las cosas mas difíciles para los administradores de sistemas es la resolución de problemas que se puedan presentar en la infraestructura que administren.

Mi experiencia dice que no hay una formula mágica para solucionar un problema ya que hay diferentes formas de hacerlo.

Sin embargo creo que hay una serie de pasos “sistemáticos” que se podrían aplicar para llegar a una resolución pronta y acertada.

Uno de los mejores métodos que he visto y aplico diariamente es un proceso desarrollado por el equipo Support Escalation Engineers de Microsoft, dicho proceso fue publicado en el blog de LATAM Team blog por Diana Hernández – Technical Support Lead, pueden encontrar el articulo en esta dirección: http://blogs.technet.com/b/latam/archive/2011/05/09/metodolog-237-a-de-resoluci-243-n-de-problemas.aspx

En Forefront TMG, tenemos una gama amplia de herramientas para solucionar problemas entre ellas nos encontramos:

1. Best Practices Analyzer (BPA): es una herramienta diseñada para ejecutar una serie de pruebas predeterminadas a la configuración del servidor TMG y como salida obtenemos un reporte con alertas, advertencias o errores críticos, siempre tomando en cuenta las mejores practicas para el servicio.

Esta herramienta cuenta con dos aplicaciones para complementarse, el TMG Data Packager quien se encarga de crear un archivo .cab con información necesaria para hacer un diagnostico y por otro lado tenemos el BPA2Visio con el cual podemos ver de forma grafica la topología de red que compone TMG.

También cabe destacar que existe una versión para TMG y otra para ISA Server.

2. Forefront TMG Configuration Changes: con esta herramienta podemos hacer un seguimiento de las cosas que hayan cambiando en la configuración, además nos muestra la información sobre el usuario que hizo los cambios, así como su fecha y hora. Como dato adicional hay que mencionar que esta característica esta disponible desde el services pack 1 de ISA Server 2006.

3. Forefront TMG Alerts: con esta herramienta TMG controla una serie de  eventos predeterminados que ocurren con los servicios de TMG, pudiendo generar notificaciones de forma personalizadas.

4. Traffic Simulator: con esta herramienta podemos simular determinado trafico y ver todo el tratamiento que se aplica a ese determinado “paquete”, por ejemplo ver cuales reglas son evaluadas, así como cual lo permitió o denegó.

Un dato adicional que se puede mencionar es que esta herramienta vendría a ser la homologa del packet tracer del ASA en CISCO.

5. Diagnostic Logging: con esta herramienta podemos hacer una “captura” del trafico que ha sido procesado por el servidor TMG según una serie de parámetros o filtros que se pueden definir.

Como hemos visto hay una amplísimo abanico de opciones para hacer Troubleshooting en nuestro servidor Forefront, en futuras entradas escribiré de forma mas amplia el uso y escenarios para utilizar cada una de ellas.

 

Hasta la próxima !!!

Etiquetado

SSL Sobre un Puerto no Estándar

https-background

Un problema muy común que nos encontramos los administradores de ISA Server / Forefront TMG es la apertura de puertos no estándares para el uso de SSL a través del Web Proxy, esto ya que por defecto los únicos puertos permitidos son 443 para SSL y 593 para NNTP.

 

Síntomas:

Cuando estamos frente a una denegación de SSL ya que intentamos salir por un puerto diferente al 443, veremos en los log algo similar a estos eventos: “The specified Secure Sockets Layer (SSL) port is not allowed. Forefront TMG is not configured to allow SSL requests from this port.

 ssl1

Solución:

Bueno como dice mi amigo daemonRoot: “como todos sabemos en el mundo de la informática hay mil y una formas de solucionar un problema… o hacerlo más grande” veremos dos métodos para solucionar este inconveniente.

Método 1:

Este es mi método favorito ya que tendremos que utilizar la línea de comandos, se basa en el uso de un script llamado ISA Tunnel Port Tool básicamente estos serian los pasos:

1. Descargar el script ISA Tunnel Port tool.

2. Desde la consola ejecutamos el siguiente comando: script isa_tpr.js /add Port4443 4443 

3. Reiniciamos el servicio de Firewall.

Acá dejo un PRTSC con la lista de parámetros que podemos usar en isa_tpr.js

isa_tpr_help

 

Método 2:

El segundo método que quisiera compartir con ustedes se basa en una Interface Grafica (GUI) llamado LISSA 2004 desarrollado por la gente de Informática64 acá les dejo un excelente paso a paso de como usar la aplicación escrito por el equipo de Seguros con Forefront: http://www.forefront-es.com/?tag=/lissa

Bueno como hemos visto hay varios métodos para abrir puertos a través del Web Proxy, solo me queda compartir con ustedes unos links con información adicional acerca de estos procedimientos:

http://support.microsoft.com/kb/283284

http://technet.microsoft.com/en-us/library/cc302450.aspx

 

Hasta la próxima !!!

Etiquetado , , ,

Tipos de Reglas en ISA Server / Forefront TMG

FWPolicy1

Un tema que muchas veces causa confusión entre las personas que se inician en Forefront TMG o sus predecesores es cuales tipos de reglas existen, como puedo crearlas y sobre todo, sobre que escenario debo usar una u otra.

Para aclarar un poco este tema, voy a escribir un poco acerca de las opciones que tenemos disponibles para administrar la configuración o políticas de nuestra red.

Inicialmente quisiera aclarar que tanto ISA Server como Forefront TMG son Firewall de tipo Top-Down lo que significa que se evalúan las reglas de arriba hacia abajo (por eso es importante el orden en que se encuentren las reglas ) y una vez que se encuentre alguna regla que permita o deniegue el trafico las demás reglas no son evaluadas.

Básicamente vamos a tener cuatro tipos de reglas con las que podremos interactuar en nuestro ambiente: Reglas de Acceso, Reglas de Publicación, Reglas del Sistema y Reglas de Red.

1. Reglas de Acceso: estas reglas controlan el acceso entre las redes que tengamos definidas en el servidor Forefront TMG / ISA Server y en conjunto con las reglas de red, definirán que y como compartimos los recursos entre las mismas.

2. Reglas de Publicación: estas reglas controlan el acceso de trafico entrante (Inbound) a los servidores que tengamos publicados detrás de ISA Server / Forefront TMG en esta clasificación tenemos varios sub-tipos de reglas como son: publicaciones web, publicaciones Exchange, publicaciones SharePoint o publicaciones de servidores no web como FTP o DNS.

3. Reglas del Sistema: estas son un conjunto de reglas predeterminadas que controlan el acceso desde y hacia la red Local Host (ósea el propio servidor ISA Server / Forefront TMG) además habilitan la infraestructura necesaria para administrar la conectividad y la seguridad de la red.

4. Reglas de Red: acá básicamente se define la relación entre dos redes que pertenezcan a ISA Server / Forefront TMG, estas relaciones pueden ser de tipo Ruta o Traducción (NAT).

Mas Información:

http://technet.microsoft.com/es-ar/library/dd897107.aspx

http://technet.microsoft.com/es-es/library/dd440991.aspx

http://technet.microsoft.com/es-ar/library/bb794729.aspx

 

Hasta la próxima !!!

Etiquetado , ,

Clientes Forefront TMG 2010

user-group-icon

Una de las preguntas mas frecuentes a la que nos enfrentamos cuando diseñamos un ambiente TMG / ISA Server, es de que forma vamos a conectar / integrar a nuestros usuarios (clientes) al servicio que estamos diseñando.

Bueno en este punto la respuesta dependerá de nuestro ambiente, que tan sencillo o complejo sea, cuales sistemas operativos usemos, entre otras variables.

Básicamente tenemos tres posibles escenarios: SecureNat, WebProxy y Firewall Client según sus definiciones:

1. SecureNat: es una computadora que ejecuta cualquier sistema operativo (Microsoft o no) y como puerta de enlace (Gateway) usa la IP de TMG / ISA Server que se encuentre en la misma red (generalmente la red Interna). En ambientes mas complejos donde hay Routers y Sub-Redes entre los clientes y TMG / ISA Server estos podrían usar como puerta de enlace el Router mas cercano a TMG / ISA Server.

Este escenario tenemos una limitación que se deben considerar: los clientes SecureNat no autentican sus conexiones, por lo que la regla que permitirá el acceso a Internet de estos clientes debe aplicarse para todos los usuarios en el tab usuarios.

IERule

 

2. WebProxy: son aplicaciones que realizan solicitudes de descarga HTTP, HTTPS o FTP a través de HTTP al puerto TCP en el que TMG / ISA Server escucha las solicitudes web salientes de la red (generalmente en el puerto 8080).

Este escenario tenemos una limitación que se deben considerar: los clientes WebProxy solo soportan los protocolos HTTP, HTTPS o FTP a través de HTTP y la regla que permite el acceso a Internet debe aplicarse para un grupo determinado de usuarios, si deseamos autenticación de lo contrario debería de aplicar para todos los usuarios  en el tab usuarios.

IERule2

 

3. Firewall Client: es una computadora que ejecuta algún sistema operativo Microsoft y además tiene instalado el cliente firewall para TMG o ISA Server para automatizar la detección del Proxy en los exploradores y aplicaciones compatibles.

Para este escenario cabe destacar que es el mas recomendado ya que proporciona seguridad mejorada, mejor compatibilidad con aplicaciones y ofrece control de acceso para los clientes.

TMG Client

 

Como hemos visto estos son los tres posibles escenarios que nos podríamos encontrar a la hora de planear nuestra infraestructura TMG / ISA Server, solo me queda compartirles un link donde pueden encontrar información adicional.

http://technet.microsoft.com/es-ar/library/cc441532.aspx

 

Hasta la próxima !!!

Etiquetado , , , ,

5 Razones Para Aplicar el Service Pack 2 a TMG 2010

Hoy quisiera compartir con ustedes un excelente post del blog de Yuri Diogenes donde nos explica 5 razones por las cuales debemos aplicar el Service Pack 2 a nuestro ambiente TMG… Que lo disfruten.

http://blogs.technet.com/b/yuridiogenes/archive/2011/10/14/five-reasons-you-should-apply-forefront-tmg-2010-sp2.aspx

 

Hasta la próxima !!!

Etiquetado ,

Respaldo Automático TMG 2010

Drive-Backup-icon

Una de las practicas mas recomendadas cuando trabajamos con ISA Server o Forefront TMG es realizar una respaldo de la configuración antes y después de cualquier cambio que hagamos ya que de esta forma siempre podremos revertir el cambio que hicimos sin mayor problema.

Pero que sucede si por política de la compañía nos solicitan un respaldo diario haya cambiado la configuración o no bueno hay una forma de automatizarlo con un viejo y conocido Script llamado ImportExport.vbs

Este script lo podemos obtener de un par formas:

1. Descargando el SDK: http://www.microsoft.com/download/en/details.aspx?id=11183

2. Copiándolo de acá: http://msdn.microsoft.com/en-us/library/ms812627.aspx

Una vez con el script en mano tenemos dos escenarios:

1. Exporta la configuración: cscript ImportExport.vbs e C:\BackupConfigTMG.xml

2. Importar la configuración: cscript ImportExport.vbs i C:\BackupConfigTMG.xml

Como ven el uso del script es bastante simple y lo podemos automatizar en un .bat para correrlo en una tarea programada.

 

Hasta la próxima !!!

Etiquetado , ,