Y se llama Forefront Airlift. No, no es un producto nuevo, es una convención organizada por Microsoft a la que algunos hemos tenido el privilegio de ser invitados. El evento será en Seattle con lo que además del interés en sí mismo tiene el añadido de salir a "airearse" por ahí un poco.
Me apetece y mucho.
El contenido de las charlas girará exclusivamente alrededor de productos de la suite de Forefront. Especialmente interesante se presenta lo relacionado con Stirling ya que según parece es la primera demo del producto que se va a presentar de manera más o menos pública. Ganas le tengo también a la siguiente generación de productos de perímetro (sí, sí, mi ISA y mi IAG).
El evento dura tres días, del 4 al 7 de Febreo y tenemos por delate una agenda repletita con tres días de conferencias y hands on labs.
El primer día casi está dedicado a Forefront client y charlas en general de malware.
En el segundo se divide el día entre la parte de Forefront Server y Edge donde espero que nos cuenten el roadmap de evolución tanto de ISA Server como de IAG, para dejar paso al tercer día en que veremos Stirling (un anillo para gobernarlos a todos) y se mostrarán algunos escenarios de integración con Windows Server 2008, especialmente interesante se presenta la integración de Forefront Client con NAP de 2008.
En fin, que me están empezando a atacar los nervios.
Y a la vuelta, más.
// Raúl
jueves 31 de enero de 2008
jueves 29 de noviembre de 2007
Súbete, que se va el autobús
Recientemente Microsoft decidió unificar su gama de productos de seguridad bajo una denominación común, que es Forefront. Dentro de la suite hay productos para la protección del perímetro, para los servidores de mensajería y colaboración y para la protección más tradicional de servidores y puestos de trabajo. IAG forma, conjuntamente con ISA Server la parte de protección perimetral. Hay que decir que ni la tecnología ni el producto en sí mismo son nuevos. IAG proviene de la adquisición por parte de Microsoft de una compañía israelí, Whale Communications, que llevaba trabajando en ello desde el año 1998 y, por tanto, cuenta con la ventaja de ser una solución evolucionada y madura. Respecto a la tecnología, IAG se enmarca dentro de la categoría de accesos remotos tipo SSL VPN.
Y ¿para qué vale IAG? Pues vale para acceder de manera remota a aplicaciones internas a través de una VPN SSL. Aunque seguramente todos estamos familiarizados con estos conceptos, vamos a aclararlo con un ejemplo. Para ello, imaginemos varios grupos de turistas orientales que están de excursión en Madrid. El hotel de todos estos grupos se encuentra en Plaza de Castilla (esta será su propia red local, por donde pueden transitar libremente), y sus excursiones tienen como destino la zona de Recoletos (red local central) desde donde se distribuirán por el Museo del Prado, la Biblioteca Nacional, el Jardín Botánico...(servicios que oferta la red central). Los turistas se enfrentan a dos retos: el primero, llegar a su destino; el segundo, hacerlo de manera íntegra ya que a lo largo del camino deberán enfrentarse a diferentes amenazas. Cuando los grupos salen a la calle deciden meterse por el carril central de la Castellana, que es el camino que les lleva directamente al Paseo de Recoletos. Sin embargo, un guardia les informa que no pueden transitar por ahí (imposibilidad de enrutar redes privadas a través de una red pública). El segundo de los retos es enfrentarse a los amigos de lo ajeno. Sabemos que los turistas orientales son especialmente ordenados y llevan una bandera que identifica al grupo donde se puede leer de forma clara su procedencia, su destino, el número de componentes del grupo…e incluso cada miembro llega colgada una tarjeta con toda clase de información personal. Cualquiera que entienda la escritura de gurruñitos puede colocarse a su lado y leer esa información (sniffing de red) y buscar su número de autorización de pases de grupo para los museos (password guessing o cracking) . También podría utilizar los datos para meterse en medio del grupo haciéndose pasar por un integrante de la excursión y colarse de forma ilícita en los museos (robo de sesiones, session hijacking, y suplantación de identidad o spoofing), incluso para replicar el grupo por completo e intentar colarse en la zona de Recoletos después de que el grupo original ya haya pasado (ataques de replay).
Resulta que hay una solución que es capaz de solucionar todos los problemas de nuestros amigos. El autobús. Por un lado, resuelve el problema del transporte, ya que el guardia no identifica peatones de manera individual, si no que ve un medio de transporte que tiene autorización para viajar por su propio carril bus (o sea, en vez de transmitir los paquetes originales tal cual, se encapsulan dentro de otro envoltorio, esto es básicamente lo que se conoce como técnicas de tunneling y es la base de una VPN). El tema de la confidencialidad queda resuelto a medias: el autobús recoge a los tripulantes con un finger en el hotel y luego hay un distribuidor en Recoletos para depositar a cada uno en su museo; además, el autobús sólo tiene una etiqueta que indica el origen y el destino del propio autobús (Plaza Castilla-Recoletos, los extremos o terminadores del túnel) de manera que no proporciona ninguna información externa de los viajeros que tiene dentro. Sin embargo, si nos las arreglamos para asomamos a las ventanillas, podemos seguir viendo la información interesante que viaja por dentro, ya que los abanderados y los pasajeros siguen ahí, en su “formato original”. Solución (para esto hicieron uso de un consultor): ¡¡ventanillas tintadas!! (o sea, cifrado de datos. Acabamos de dotar al sistema de confidencialidad e integridad. En el caso que nos ocupa, el algoritmo de cifrado es SSL que es el que se utiliza para acceder a páginas web seguras. La ventaja de este protocolo frente a otros como IPSec es que basta con un navegador de Internet para acceder al portal donde se publican las aplicaciones internas y que no hacen falta requisitos especiales en el usuario, ya que cualquier navegador dispone de soporte SSL).
En fin, no pretendía entrar demasiado en especificaciones técnicas o capacidades detalladas del producto, para lo cual me tenéis aquí a vuestra disposición, si no contar tan sólo por dónde van las tendencias en las tecnologías de acceso externo a aplicaciones y cuál es la solución que Microsoft ha escogido para subirse al autobús del mercado de las SSL VPN.
Y ¿para qué vale IAG? Pues vale para acceder de manera remota a aplicaciones internas a través de una VPN SSL. Aunque seguramente todos estamos familiarizados con estos conceptos, vamos a aclararlo con un ejemplo. Para ello, imaginemos varios grupos de turistas orientales que están de excursión en Madrid. El hotel de todos estos grupos se encuentra en Plaza de Castilla (esta será su propia red local, por donde pueden transitar libremente), y sus excursiones tienen como destino la zona de Recoletos (red local central) desde donde se distribuirán por el Museo del Prado, la Biblioteca Nacional, el Jardín Botánico...(servicios que oferta la red central). Los turistas se enfrentan a dos retos: el primero, llegar a su destino; el segundo, hacerlo de manera íntegra ya que a lo largo del camino deberán enfrentarse a diferentes amenazas. Cuando los grupos salen a la calle deciden meterse por el carril central de la Castellana, que es el camino que les lleva directamente al Paseo de Recoletos. Sin embargo, un guardia les informa que no pueden transitar por ahí (imposibilidad de enrutar redes privadas a través de una red pública). El segundo de los retos es enfrentarse a los amigos de lo ajeno. Sabemos que los turistas orientales son especialmente ordenados y llevan una bandera que identifica al grupo donde se puede leer de forma clara su procedencia, su destino, el número de componentes del grupo…e incluso cada miembro llega colgada una tarjeta con toda clase de información personal. Cualquiera que entienda la escritura de gurruñitos puede colocarse a su lado y leer esa información (sniffing de red) y buscar su número de autorización de pases de grupo para los museos (password guessing o cracking) . También podría utilizar los datos para meterse en medio del grupo haciéndose pasar por un integrante de la excursión y colarse de forma ilícita en los museos (robo de sesiones, session hijacking, y suplantación de identidad o spoofing), incluso para replicar el grupo por completo e intentar colarse en la zona de Recoletos después de que el grupo original ya haya pasado (ataques de replay).
Resulta que hay una solución que es capaz de solucionar todos los problemas de nuestros amigos. El autobús. Por un lado, resuelve el problema del transporte, ya que el guardia no identifica peatones de manera individual, si no que ve un medio de transporte que tiene autorización para viajar por su propio carril bus (o sea, en vez de transmitir los paquetes originales tal cual, se encapsulan dentro de otro envoltorio, esto es básicamente lo que se conoce como técnicas de tunneling y es la base de una VPN). El tema de la confidencialidad queda resuelto a medias: el autobús recoge a los tripulantes con un finger en el hotel y luego hay un distribuidor en Recoletos para depositar a cada uno en su museo; además, el autobús sólo tiene una etiqueta que indica el origen y el destino del propio autobús (Plaza Castilla-Recoletos, los extremos o terminadores del túnel) de manera que no proporciona ninguna información externa de los viajeros que tiene dentro. Sin embargo, si nos las arreglamos para asomamos a las ventanillas, podemos seguir viendo la información interesante que viaja por dentro, ya que los abanderados y los pasajeros siguen ahí, en su “formato original”. Solución (para esto hicieron uso de un consultor): ¡¡ventanillas tintadas!! (o sea, cifrado de datos. Acabamos de dotar al sistema de confidencialidad e integridad. En el caso que nos ocupa, el algoritmo de cifrado es SSL que es el que se utiliza para acceder a páginas web seguras. La ventaja de este protocolo frente a otros como IPSec es que basta con un navegador de Internet para acceder al portal donde se publican las aplicaciones internas y que no hacen falta requisitos especiales en el usuario, ya que cualquier navegador dispone de soporte SSL).
En fin, no pretendía entrar demasiado en especificaciones técnicas o capacidades detalladas del producto, para lo cual me tenéis aquí a vuestra disposición, si no contar tan sólo por dónde van las tendencias en las tecnologías de acceso externo a aplicaciones y cuál es la solución que Microsoft ha escogido para subirse al autobús del mercado de las SSL VPN.
viernes 31 de agosto de 2007
El tiempo pasa pero las cosas no cambian
Acababa de salir Windows 2000 y los operadores empezaban a ofrecer líneas ADSL. Aquello nos permitía sustituir los accesos basados en módem y líneas RDSI y aprovechamos la situación para que el "Presidente" pudiera disponer de una conexión permanente desde su casa. Me puse manos a la obra y diseñé una estación a la que, mediante la aplicación de políticas de grupo y políticas IPSec, se podía considerar como un terminal más de la red, solo que estaba en su casa. Sólo se permitía tráfico saliente para establecer la VPN, se bloqueaba todo el tráfico entrante, se obligaba a hacer logon al dominio previo establecimiento de la VPN...en fin, una joyita de la que me sentía muy orgulloso.
Me fui a su casa y se la instalé. Con la mirada obtusa parecía asentir a todo. Cuando volví me llamó el director de informática para que volviera a casa del "Presidente" a "abrirle la estación" porque ¿qué era aquello de tener un ordenador último modelo y una línea ADSL y que su hijo no pudiera aprovechar para navegar por Internet?
Esta situación puso de manifiesto varias cosas que ahora con la perspectiva de siete años más adelante veo de otra manera. Cosas como que las políticas de seguridad las tiene que apoyar la dirección, como que la seguridad cubre no sólo tecnología sino también procesos y personas y que es una cadena que se rompe por el eslabón más débil (que normalmente son las personas). Sin embargo, ha cambiado mi perspectiva pero las situaciones -me temo- siguen siendo las mismas en muchos casos. Que las necesidades de movilidad y acceso remoto han ido variando y creciendo es un hecho y que las cargas administrativas y los riesgos de seguridad que conlleva el mantenimiento y la gestión de un acceso remoto basado en VPN han crecido al mismo ritmo también es un hecho.
Los administradores de sistemas se afanan por tener unos mecanismos de actualización lo más robustos posibles y de repente te encuentras que alguien que está navegando libremente por Internet tiene una autopista ADSL directa al corazón de tu red. Troyanos y gusanos, eso sí, perfectamente cifrados y confidenciales.
Afortunadamente la tecnología sigue avanzando y muchas de estas situaciones están resueltas a día de hoy con la tecnología SSL/VPN, un mecanismo de acceso a aplicaciones internas y recursos de información que mitiga tanto los riesgos de seguridad como los inconvenientes de administración y gestión que se han ido poniendo de manifiesto con las VPN tradicionales basadas en software cliente y con el foco puesto en la conectividad "a nivel tres".
Microsoft Intelligent Application Gateway 2007 (IAG) es una de estas soluciones de tipo SSL/VPN. Más información sobre el producto en http://www.microsoft.com/iag y próximamente en estás páginas
Me fui a su casa y se la instalé. Con la mirada obtusa parecía asentir a todo. Cuando volví me llamó el director de informática para que volviera a casa del "Presidente" a "abrirle la estación" porque ¿qué era aquello de tener un ordenador último modelo y una línea ADSL y que su hijo no pudiera aprovechar para navegar por Internet?
Esta situación puso de manifiesto varias cosas que ahora con la perspectiva de siete años más adelante veo de otra manera. Cosas como que las políticas de seguridad las tiene que apoyar la dirección, como que la seguridad cubre no sólo tecnología sino también procesos y personas y que es una cadena que se rompe por el eslabón más débil (que normalmente son las personas). Sin embargo, ha cambiado mi perspectiva pero las situaciones -me temo- siguen siendo las mismas en muchos casos. Que las necesidades de movilidad y acceso remoto han ido variando y creciendo es un hecho y que las cargas administrativas y los riesgos de seguridad que conlleva el mantenimiento y la gestión de un acceso remoto basado en VPN han crecido al mismo ritmo también es un hecho.
Los administradores de sistemas se afanan por tener unos mecanismos de actualización lo más robustos posibles y de repente te encuentras que alguien que está navegando libremente por Internet tiene una autopista ADSL directa al corazón de tu red. Troyanos y gusanos, eso sí, perfectamente cifrados y confidenciales.
Afortunadamente la tecnología sigue avanzando y muchas de estas situaciones están resueltas a día de hoy con la tecnología SSL/VPN, un mecanismo de acceso a aplicaciones internas y recursos de información que mitiga tanto los riesgos de seguridad como los inconvenientes de administración y gestión que se han ido poniendo de manifiesto con las VPN tradicionales basadas en software cliente y con el foco puesto en la conectividad "a nivel tres".
Microsoft Intelligent Application Gateway 2007 (IAG) es una de estas soluciones de tipo SSL/VPN. Más información sobre el producto en http://www.microsoft.com/iag y próximamente en estás páginas
jueves 23 de agosto de 2007
5....4....3....2....1....
Después de bastante tiempo dándole vueltas, por fin lo he hecho.
Y no, para los que estéis pensando en que acabo de alcanzar mi madurez sexual, pues no, esto no va de eso. Me gustaría aprovechar esta primera ventana al mundo para dar las gracias a todos los que últimamente han estado picándome para que hiciera este blog: Tomás, Víctor, Iván y especialmente hoy a JuanCar, ya que ver su estreno esta tarde (no, su estreno tampoco va de eso) ha sido el empujoncito definitivo.
Todavía no tengo demasiado claro qué va a pasar de aquí en adelante, pero supongo que el primer paso es hacer una declaración de objetivos, lo mismo lo mismo que en cualquier otro proyecto. Bien, pues el objetivo de este blog es compartir de alguna manera mis conocimientos y mis experiencias sobre dos productos de seguridad de Microsoft, concretamente ISA Server e Intelligent Application Gateway (y además de eso, pues podemos debatir de todo aquello que se os ocurra alrededor de la seguridad informática).
La verdad es que sobre ISA Server se pueden encontrar multitud de recursos para consultar, ya sea en las páginas de Technet de Microsoft, en foros, grupos de noticias, páginas como isaserver.org...En alguno de los próximos blogs pondré referencias a todos estos sitios. Sin embargo, no es sencillo encontrar referencias a IAG, posiblemente es una cuestión de tiempo ya que la inclusión del mismo dentro de la familia Microsoft Forefront es muy reciente, pero el hecho es que mientras tanto, pues me gustaría aportar algo de mi experiencia con el producto, y si es posible convertir este blog en un sitio de encuentro para todos aquellos que estéis intentando profundizar en estas tecnologías.
¡ Si es que no hay nada como ponerse ! Fíjate que después de un rato aquí divagando los objetivos del blog han salido solos: "convertirlo en un lugar de encuentro para todos aquellos que quieran profundizar en ISA Server e IAG".
Y si al final resulta que consigo los objetivos, pues tendré que terminar como he empezado, dando las gracias a todos aquellos que insisitieron en que escribiera este blog ;-)
Y no, para los que estéis pensando en que acabo de alcanzar mi madurez sexual, pues no, esto no va de eso. Me gustaría aprovechar esta primera ventana al mundo para dar las gracias a todos los que últimamente han estado picándome para que hiciera este blog: Tomás, Víctor, Iván y especialmente hoy a JuanCar, ya que ver su estreno esta tarde (no, su estreno tampoco va de eso) ha sido el empujoncito definitivo.
Todavía no tengo demasiado claro qué va a pasar de aquí en adelante, pero supongo que el primer paso es hacer una declaración de objetivos, lo mismo lo mismo que en cualquier otro proyecto. Bien, pues el objetivo de este blog es compartir de alguna manera mis conocimientos y mis experiencias sobre dos productos de seguridad de Microsoft, concretamente ISA Server e Intelligent Application Gateway (y además de eso, pues podemos debatir de todo aquello que se os ocurra alrededor de la seguridad informática).
La verdad es que sobre ISA Server se pueden encontrar multitud de recursos para consultar, ya sea en las páginas de Technet de Microsoft, en foros, grupos de noticias, páginas como isaserver.org...En alguno de los próximos blogs pondré referencias a todos estos sitios. Sin embargo, no es sencillo encontrar referencias a IAG, posiblemente es una cuestión de tiempo ya que la inclusión del mismo dentro de la familia Microsoft Forefront es muy reciente, pero el hecho es que mientras tanto, pues me gustaría aportar algo de mi experiencia con el producto, y si es posible convertir este blog en un sitio de encuentro para todos aquellos que estéis intentando profundizar en estas tecnologías.
¡ Si es que no hay nada como ponerse ! Fíjate que después de un rato aquí divagando los objetivos del blog han salido solos: "convertirlo en un lugar de encuentro para todos aquellos que quieran profundizar en ISA Server e IAG".
Y si al final resulta que consigo los objetivos, pues tendré que terminar como he empezado, dando las gracias a todos aquellos que insisitieron en que escribiera este blog ;-)
Suscribirse a:
Entradas (Atom)
