[SOS 2009] Microsoft Technet: TMG Preview Técnico

Preview Tecnico de la nueva Gelneración de ISA Server
José Parada Gimeno
Ing. Preventa Sector Público
jparada@microsoft.com

Agenda
Visión General de Forefront
Propuesta de Valor de TMG
Funcionalidades
Gestión y Despliegue
Mejora del Firewall
Protección del cliente Web
Protección SMTP
IntrusionPreventionSystem
DEMOS- Varios paseos por el Producto

Integración de Seguridad e Identidad
Integración de la oferta de Seguridad e Identidad para ayudar a los clientes con:
Protección Mejorada
Mejorar la Visibilidad
Secure & Interoperable Platform
Aumentar la productividad
Menor TCO

Sistema de Seguridad
Integrada
Gestiónt & Visibilidad
RespuestaDinámica
Server Applications
Client and Server OS
vNext
Network Edge

Seguridad Perimetral Forefront
Los productos de seguridad y acceso de perimietro proporcionan protecicón mejorada y acceso a la infraestructura IT corporativa centrada en las aplicaciones y basada en políticas
Hoy
Mañana
Protección
de Red
Protección comprensible e integrada de las amenazas de Internet
Acceso a
la Red
Plataforma Unificada para todas las necesidades de acceso remoto corporativas

Propuesta de Valor de TMG
Comprensible
Integrado
Simplificado

Nuevas funcionalidades de TMG

Escenarios de Despliegue TMG

Gestión y Despliegue
Que hay de nuevo en los Despliegues?
Interface de Usuario – Basado en Tareas
Asistente Inicial
Centro de Actualizaciones
Soporte para Arrays
Windows Server® 2008/R2 y 64-bit
Soportado en entornos Virtuales
Testeado en Hyper-V
Modelo de Despliegue VHD
Trabajando con Partners para incorporarlo en «appliance»

Asistente Inicial
José Maria Alonso Cebrián
demo

Mejoras del Firewall
Filtrado SIP
Soporte para PBX IP
Protección de cuota en los mensajes SIP
Soporte a los SIP trunk
Redundancia ISP
Soporte mejorado para NAT (ENAT)
Soporte a la publicación de servidores SMTP
Firewall Client actualizado
Auto-Descubrimiento Seguro utilizando el Directorio Activo

Protección del Cliente Web
Asistente de Acceos Web
Inspección de Malware
Escaneo de ficheros que se descargan
Configuración de Inspección por Regla
Filtrado de URL
Conjunto de categorias y exclusiones de URL
Funcionalidad Post Beta 2
Inspección HTTPS
Filtrado de URL, escaneo de malware y protección IPS
Notificaciones al usuario a traves del Cliente Firewall

Funcionamiento de la Inspeción del Malware

Funcionamiento de la Inspección HTTPS

Generación(/importación y personalización de certificados Proxy
Lista de Exclusiones (Opcion solo de Validación)
Soporte para Logging
Integración del asistente para Acceso

Opciones de Despliegue (via Group Policy o via Exportación)
Notificaciones a Usuarios sobre la inspección HTTPS (via Firewall Client)
Validación de Certificados (Revocación, Confianza, Expiración, validation, ..)

Inspeción trafico salida HTTPS

Nuevos Informes

Acceso Web Seguro
Chema Alonso
demo

Protección SMTP
Características completas para higiene SMTP
Integrado con Forefront Security for Exchange
Proporciona escaneo SMTP multimotor
Anti-malware
Anti-spam
Anti-phishing
También soporta Servidores SMTP genéricos
Requiere de la compra de licencia de Exchange y CALs

Funcionamieto del trafico
TMG
Componentes de Exchange Edge
Componente FSS
Motor AV
Filtro Spam
Connector de recepción Exchange Edge
Conectro de envio Exchange Edge
Paquete de Salida
Paquete de Entrada
TMG Filter Driver

Protección SMTP
Chema
demo

Intrusion Prevention System
Forefront Network Inspection System (NIS)
Firmas basadas en Vulnerabilidades
Basado en el GAPA de Microsoft Research
Generic Application-Level Protocol Analyzer
http://research.microsoft.com/pubs/70223/tr-2005-133.pdf
Un framework y una plataforma para parseo de protocolo de bajo nivel seguro y rápido
Permite la creacion de reglas basadas en parseo para chequeo y aplicación de condiciones específicas
Análisis y Respuestas de Seguridad (Security assessment and response-SAS)
Modelo basado en el comportamiento

Firmas de Vulnerabilidades vs. Exploit
La Historia de Code Red

Vulnerabilidad : Buffer overflow en la extensión ISAPI de IISIndex Server in Microsoft® Windows NT® Server 4.0 and IndexingService in Windows® 2000 Server.
Microsoft saco una actualización de seguridad para Internet Information Services (IIS) que arreglaba el agujero de seguridad el 18 de Junio de 2001. Pero no todo el mundo actualizo sus servidores....
Code Red es un Gusano que salió a Internet el 13 e Julio de 2001

Firma del Exploit
GET/default.ida?NNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNN%u9090%u6858%ucbd3%u7801%u9090%u6858%ucbd3%u7801%u9090%u6858%ucbd3%u7801%u9090%u9090%u8190%u00c3 %u0003%u8b00%u531b%u53ff%u0078%u0000%u00=a HTTP/1.0

Los IPS sacaron las firmas que detectaban el Exploit específico
Code Red II es un gusano similar al Code Red original. Sale dos semanas después del primero, el 4 de Agosto de 2001

Firma del Exploit
GET/default.ida?XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX%u9090%u6858%ucbd3%u7801%u9090%u6858%ucbd3%u7801%u9090%u6858%ucbd3%u7801%u9090%u9090%u8190%u00c3%u0003%u8b00%u531b%u53ff%u0078%u0000%u00=a HTTP/1.0

ConclusiónLas firmas basadas en Exploits son reactivas y raras veces sirven para detectar las variaciones del exploit original.

Firma de Vulnerabilidades
Ejemplo Code Red
La Firma basada en la vulnerabilidad es:
El Protocolo es HTTP
El campo de la solicitud es un GET
El Path empieza con /default.ida?
La Longitud es mayor de X caracteres

Usando NIS como IPS
TMG
EncontrarVulnerabilidad
Host /WO IPS
Equipo de Autorización de Firma
Host IPS
Host IPS
Detectar y prevenir intentos de ataques basados en Vulnerabilidades conocidas en el Edge y Host
Cierra la ventana de vulnerabilidad que se necesita para testeo y despliegue de parches:
Los parches pueden ser testeados mas concienzudamente
Confirmación del cliente (similar a las actualizaciones del AV)

Arquitectura NIS
Tiempo de Diseño (MS response)
Compilador & Herramientas
GAPAL (Lenguaje NIS )
Parseo del Protocol
IPS Snapshot
Firmas
Microsoft Update
Tiempo de Ejecución(TMG)
IPS Snapshot
Portal & Telemetria
Agente Host
Motor NIS
Intercepción de Red

NIS (GAPA)
El Chema
demo

Roadmap
Q4 2009
H1 2010
H1 2009
H1 2008
Integrated
Security System
BETA 1
BETA 2
Client andServer OS
BETA 1
BETA 2
NEXT
NEXT
NEXT
BETA 1
BETA 2
NEXT
Server
Applications
BETA 1
BETA 2
Network Edge
NEW
NEW

Recursos Técnicos
Documentación TMG
http://technet.microsoft.com/en-us/library/cc441438.aspx
Blog de Equipo de producto Forefront
http://blogs.technet.com/forefront/default.aspx
Blog Equipo de producto Forefront TMG (ISA Server)
http://blogs.technet.com/isablog/default.aspx

Resumen
Llamada a la Acción
Testear o Desplegar la Beta
http://www.microsoft.com/downloads/details.aspx?displaylang=en&FamilyID=e05aecbc-d0eb-4e0f-a5db-8f236995bccd
Esalgo mas queunanuevagnenración de ISA: Solucióncompletapara la gestion de amenazas
Escanea, detecta y mitigalasamenazas de Malware