Asegúr@IT 7 - Forefront UAG 2010

Chema Alonso
chema@informatica64.com

¿Qué es MS Forefront UAG?
Control
de
acceso
Salvaguarda
de la información
Protección
de
activos
Bloqueo de ataques y tráfico malicioso para garantizar la integridad de las aplicaciones y la red
Basado en explorador, desde cualquier sitio y cualquier dispositivo sin necesidad de instalación en cliente
Imposición de políticas para acceder a información sensible
UAG es una solución de acceso seguro a aplicaciones a través de SSL que permite el control de acceso, autorización e inspección de contenidos para una amplia variedad de aplicaciones, gestionando además la seguridad del punto desde el que se accede.

Evolución Forefront Edge Security
Los productos Forefront Edge Security and Access proporcionan protección mejorada a nivel de perímetro, y acceso orientado a aplicaciones y basado en políticas a la infraestructura corporativa de IT
Windows Server 2008 Wave
Secure Remote Access
IAG 2007SSL VPN based remote access
“Unified Access Gateway”
ISA Server 2006
Remote access & Exchange, SharePoint publishing
Unified secure remote access from anywhere
Internet Access Protection
“Threat Management Gateway”
Firewall and proxy based protection
Simplified, integrated package for Edge protection

Evolución
“UAG"
IAG 2007


Application Intelligence and Publishing


End Point Security


SSL Tunneling


Information Leakage Prevention


Robust Authentication Support (KCD, ADFS, OTP)

Product Certification (Common Criteria, ICSA)
New

NAP Integration
New

New
Terminal Services Integration
Array Management

New
Enhanced Management and Monitoring (MOM Pack)

New
New
Enhanced Mobile Solutions

New
New and Customizable User Portal


New
Wizard Driven Configuration

Forefront UAG: Características
Protegido mediante MS Forefront TMG 2010.
Integración con las políticas de NAP.
Integración con Remote Desktop y RemoteApp.
Despliegue extendido de escenarios de DirectAccess.
Creado para soporte nativo en balanceo de carga.
Capacidad de gestión de Array.
Monitorización y gestión avanzada con SCOM.

Arquitectura UAG
Detección del punto de acceso
Políticas de clienteparamedir el nivel de seguridad
Inteligencia de Aplicación
Optimizadoresparaescenarioscomunes, habilitandoseguridad y funcionalidad
SSL VPN Tunneling
Múltiplestúnelesqueproporcionanaccesoparaaplicaciones no web
Proxy Inverso
Motor parareescritura y manipulación de URLs parasimplificar la publicación
Acceso a Aplicaciones
Políticas y Seguridad
Gestión
Configuraciónbasada en asistentepara los escenariosbásicos, permitiendounasencillagestión de laspolíticas. Monitorizaciónbasada en Web y control de arrays.
Gateways consolidadosTS Gateway, ADFS Proxy, RRAS

MS Forefront UAG vs VPN-SSL (SSTP)
Todos los datos llegan a la red privada
No existe SSO de cara a las aplicaciones
Se necesita un firewall de aplicación y/o cliente adicional
No llega tráfico de dispositivos no autorizados
Cada aplicación se maneja de manera independiente
SSO
Acceso granular a aplicación, incluso a características de la misma. Firewall de aplicación

Internet
Acceso seguro con MS Forefront UAG
Cualquierdispositivo
Laptops
Home PCs
Smart phones
PDAs
Wi-Fi access
Outlook Web Access
iNotes
Web-based CRM
HR Data
Unified Access Gateway
Servers, applications,
intranet servers
Cualquierusuario
Suppliers
Consultants
Branch office employees
Telecommuters
Mobile employees
Partners
CualquierAplicación
Mainframe
Cliente-Servidor
Web-based
Web Services

VPNs mediante túneles SSL
Aplicaciones
Web
Autenticación
Tunelizado
SSL VPN Gateway
Autorización
Seguridad
TCP Simple
ExperienciaUsuario
Gestión
Cliente
Otras no WEB
Túnel: Transferir Trafico de aplicaciones con SSL
Seguridad en el Cliente: Chequeo de Salud, borrado caches, etc..
Autenticación: Segura contra Directorio Activo, SSO, RADIUS, etcétera.
Autorización: Permitir o denegar el acceso de los usuarios a las aplicaciones.
Experiencia de Usuario: Facilidad, portal de conexión, GUI…

Microsoft Forefront UAG 2010
Soporta VPNS mediante SSL para cualquier aplicación
Web-Cliente Servidor-Acceso a Ficheros
Desarrollos personales
De terceros (IBM, Lotus, Sap, PeopleSoft, etc…)
Diseñado para dispositivos Gestionados y No Gestionados
Detección automática del sistema del usuario, software y configuraciones
Políticas de acceso dependientes del estado de seguridad del Cliente
Elimina ficheros temporales y todos los rastros en equipos no gestionados

Microsoft Forefront UAG 2010
Mejora la productividad mediante empleando las aplicaciones de manera Inteligente
Aplica políticas de aplicación granularmente según las funcionalidades del cliente y la política de seguridad.
Controla dinámicamente los datos de la aplicación para la funcionalidad deseada.
SSO con múltiples directorios, protocolos y formatos.
Portal e interfaz de usuario totalmente configurable.

Opciones de conectividad
Web proxy
Soporte aplicaciones web
Acceso navegador.
Motor de traslación de contenidos
Client/Server Connector
Aplicaciones no web (Outlook, FTP, Telnet)
Basado en el conocimiento de la aplicación
Java Applet/ActiveX para encapsulado SSL
Port Forwarding
Socket Forwarding
Network Connector
Similar a VPN IPSec.
Puntos de acceso de confianza
Cualquier aplicación/protocolo
Adaptador virtual en el cliente

Integración y soporte a “Terceros”
Soporta acceso desde sistemas Linux, Apple y dispositivos móviles a través de diferentes navegadores.

MS Forefront UAG:Acceso y detección
Se accede mediante la dirección del portal
Se descarga un control Active-X o un Applet Java que contiene:
Por defecto:
Component manager
Endpointdetection
AttachmentWiper
Client trace
Bajo demanda:
SSL Wrapper
Socket Forwarder
Network Connector

MS Forefront UAG: Políticas
Acceso basado en política -> Acceso condicionado a la ubicación
Control de acceso al portal
Punto de acceso estándar
Punto de acceso privilegiado
Punto de acceso certificado
Control de acceso a aplicaciones
Control de acceso a funciones (sólo web)
Upload/Download
Check-in/Check-out
Zonas privadas/restringidas
Trabaja tanto en el lado del cliente como del servidor
En cliente notifica al usuario la causa del bloqueo
En servidor impone restricciones si el cliente se las saltara

Portal de Acceso personalizado

Demo
Configuración de publicación de aplicaciones en Forefront UAG y gestión de políticas de acceso

nAppliance Net-Gateway nUAG
La plataforma de UAG se encuentra también disponible en versión Appliance.
La empresa nAppliance proporciona una gama de productos de UAG para dar soporte a diferentes tipos de organizaciones,
Se denomina Net-Gateway nUAG

Gama de AppliancesnUAG (I)
http://www.nappliance.com/products/NetGateway-nUAG.asp

AppliancesnUAG
Soporte y garantía de reposición.
Configuración OOB.
HW Testado y optimizado.
SO optimizado y configurado correctamente.
Actualizaciones testadas (doublecheck).
Administración Web.
Distribuido desde Barcelona.

Autenticación: One-Time Code [OTC]
OTC esdiferente en cada login:
Protección contra:
Key-Loggers
Phishing
MITM
Usuarionunca introduce su PIN:
Protección contra:
Key-Loggers
Phishing
MITM
Security-String puede ser enviadoporotro canal
Protección contra MITM
La entrega del Security-String se puedeasociar a un número de teléfono, con lo que se puedeobtenerunaautenticación de doble factor.

Autenticación: One-Time Code [OTC]

MS Forefront UAG: Configuración PinSafe

Demo: Autenticación OTC
http://demo.swivelsecure.com/

Seguros con Forefront
http://www.forefront-es.com/

HandsOnLab Forefront Barcelona
Del 19 al 23 de abril de 2010
HOL-FOR03 MS Forefront Client Security SP1
HOL-FOR09 MS Forefront Protection Exchange/SharePoint
HOL-FOR05 MS Forefront TMG: Implementing
HOL-FOR06 MS Forefront TMG: Firewalling & NIDS
HOL-FOR07 MS Forefront TMG: VPN y Branch Office
HOL-FOR10 MS Forefront Unified Access Gateway 2010
http://www.informatica64.com/mainhols.aspx?ciudad=Barcelona

¿Preguntas?
Chema Alonso
chema@informatica64.com
http://elladodelmal.blogspot.com
http://twitter.com/chemaalonso
http://www.informatica64.com

http://www.elladodelmal.com	408
http://elladodelmal.blogspot.com	124
http://www.forefront-es.com	104
http://www.dragonjar.org	81
http://www.slideshare.net	13
http://webcache.googleusercontent.com	3
http://www.elladodelmal.blogspot.com	2
http://feeds.feedburner.com	2
http://static.slidesharecdn.com	2
res://ieframe.dll	1

Asegúr@IT 7 - Forefront UAG 2010

by Chema Alonso on Mar 24, 2010

Accessibility

Categories

Tags

Upload Details

Usage Rights

10 Embeds 740

Statistics

Asegúr@IT 7 - Forefront UAG 2010 — Presentation Transcript