Download - Asegúr@IT 7 - Forefront UAG 2010
![Page 2: Asegúr@IT 7 - Forefront UAG 2010](https://reader035.vdocumento.com/reader035/viewer/2022062405/555301e7b4c905533f8b46db/html5/thumbnails/2.jpg)
¿Qué es MS Forefront UAG?
Bloqueo de ataques y tráfico malicioso para garantizar la
integridad de las aplicaciones y la
red
Imposición de políticas para
acceder a información
sensible
UAG es una solución de acceso seguro a aplicaciones a través de SSL que permite el control de acceso, autorización e inspección de contenidos para una amplia variedad de aplicaciones, gestionando además la seguridad del punto desde el que se accede.
Controlde
acceso
Salvaguardade la
información
Protecciónde
activos
Basado en explorador,
desde cualquier sitio y cualquier dispositivo sin necesidad de instalación en
cliente
![Page 3: Asegúr@IT 7 - Forefront UAG 2010](https://reader035.vdocumento.com/reader035/viewer/2022062405/555301e7b4c905533f8b46db/html5/thumbnails/3.jpg)
Evolución Forefront Edge SecurityLos productos Forefront Edge Security and Access proporcionan protección mejorada a nivel de perímetro, y acceso orientado a aplicaciones y basado en políticas a la infraestructura corporativa de IT
IAG 2007SSL VPN based remote access
“Unified Access Gateway”
Unified secure remote access from anywhere
“Threat Management Gateway”
Simplified, integrated package for Edge protection
ISA Server 2006
Remote access & Exchange,
SharePoint publishing
Firewall and proxy based protection
Windows Server 2008 Wave
Secure Remote Access
Internet Access
Protection
![Page 4: Asegúr@IT 7 - Forefront UAG 2010](https://reader035.vdocumento.com/reader035/viewer/2022062405/555301e7b4c905533f8b46db/html5/thumbnails/4.jpg)
EvoluciónApplication Intelligence and Publishing
End Point Security
SSL Tunneling
Information Leakage Prevention
Robust Authentication Support (KCD, ADFS, OTP)
Product Certification (Common Criteria, ICSA)
NAP Integration
Terminal Services Integration
Array Management
Enhanced Management and Monitoring (MOM Pack)
IAG 2007 “UAG"
New
New
New
New
New
New
New
Enhanced Mobile Solutions
New and Customizable User Portal
Wizard Driven Configuration
New
![Page 5: Asegúr@IT 7 - Forefront UAG 2010](https://reader035.vdocumento.com/reader035/viewer/2022062405/555301e7b4c905533f8b46db/html5/thumbnails/5.jpg)
Forefront UAG: Características• Protegido mediante MS Forefront TMG 2010.• Integración con las políticas de NAP.• Integración con Remote Desktop y RemoteApp.• Despliegue extendido de escenarios de
DirectAccess.• Creado para soporte nativo en balanceo de carga.• Capacidad de gestión de Array.• Monitorización y gestión avanzada con SCOM.
![Page 6: Asegúr@IT 7 - Forefront UAG 2010](https://reader035.vdocumento.com/reader035/viewer/2022062405/555301e7b4c905533f8b46db/html5/thumbnails/6.jpg)
Arquitectura UAG
Acceso a Aplicaciones Gestión
Configuración basada en asistente para los escenarios
básicos, permitiendo una sencilla gestión de las políticas. Monitorización basada en Web
y control de arrays.
Proxy InversoMotor para reescritura y
manipulación de URLs para
simplificar la publicación
SSL VPN Tunneling
Múltiples túneles que proporcionan
acceso para aplicaciones no
web
Políticas y Seguridad
Inteligencia de Aplicación
Optimizadores para escenarios
comunes, habilitando seguridad y
funcionalidad
Detección del punto de accesoPolíticas de cliente para medir el nivel
de seguridad
Gateways consolidadosTS Gateway, ADFS Proxy,
RRAS
![Page 7: Asegúr@IT 7 - Forefront UAG 2010](https://reader035.vdocumento.com/reader035/viewer/2022062405/555301e7b4c905533f8b46db/html5/thumbnails/7.jpg)
MS Forefront UAG vs VPN-SSL (SSTP)
• No llega tráfico de dispositivos no autorizados• Cada aplicación se maneja de manera
independiente• SSO • Acceso granular a aplicación, incluso a
características de la misma. Firewall de aplicación
• Todos los datos llegan a la red privada• No existe SSO de cara a las aplicaciones• Se necesita un firewall de aplicación y/o cliente
adicional
![Page 8: Asegúr@IT 7 - Forefront UAG 2010](https://reader035.vdocumento.com/reader035/viewer/2022062405/555301e7b4c905533f8b46db/html5/thumbnails/8.jpg)
Acceso seguro con MS Forefront UAGOutlook Web
AccessiNotes
Web-based CRMHR Data
Internet
Servers, applications,
intranet servers
Cualquier usuario• Suppliers• Consultants• Branch office employees• Telecommuters• Mobile employees• Partners
Cualquier dispositivo• Laptops• Home PCs• Smart phones• PDAs• Wi-Fi access
Cualquier Aplicación• Mainframe• Cliente-Servidor• Web-based• Web Services
Unified Access Gateway
![Page 9: Asegúr@IT 7 - Forefront UAG 2010](https://reader035.vdocumento.com/reader035/viewer/2022062405/555301e7b4c905533f8b46db/html5/thumbnails/9.jpg)
VPNs mediante túneles SSL
Cliente Gestión
Autenticación
Autorización
Experiencia Usuario
Tunelizado
Seguridad
Web
Aplicaciones
TCP Simple
Otras no WEB
SSL VPN Gateway
Túnel: Transferir Trafico de aplicaciones con SSL
Seguridad en el Cliente: Chequeo de Salud, borrado caches, etc..
Autenticación: Segura contra Directorio Activo, SSO, RADIUS, etcétera.
Autorización: Permitir o denegar el acceso de los usuarios a las aplicaciones.
Experiencia de Usuario: Facilidad, portal de conexión, GUI…
![Page 10: Asegúr@IT 7 - Forefront UAG 2010](https://reader035.vdocumento.com/reader035/viewer/2022062405/555301e7b4c905533f8b46db/html5/thumbnails/10.jpg)
Microsoft Forefront UAG 2010• Soporta VPNS mediante SSL para cualquier aplicación
– Web-Cliente Servidor-Acceso a Ficheros– Desarrollos personales– De terceros (IBM, Lotus, Sap, PeopleSoft, etc…)
• Diseñado para dispositivos Gestionados y No Gestionados– Detección automática del sistema del usuario, software y
configuraciones– Políticas de acceso dependientes del estado de seguridad
del Cliente– Elimina ficheros temporales y todos los rastros en equipos
no gestionados
![Page 11: Asegúr@IT 7 - Forefront UAG 2010](https://reader035.vdocumento.com/reader035/viewer/2022062405/555301e7b4c905533f8b46db/html5/thumbnails/11.jpg)
Microsoft Forefront UAG 2010
• Mejora la productividad mediante empleando las aplicaciones de manera Inteligente– Aplica políticas de aplicación granularmente según las
funcionalidades del cliente y la política de seguridad.– Controla dinámicamente los datos de la aplicación para la
funcionalidad deseada.– SSO con múltiples directorios, protocolos y formatos.– Portal e interfaz de usuario totalmente configurable.
![Page 12: Asegúr@IT 7 - Forefront UAG 2010](https://reader035.vdocumento.com/reader035/viewer/2022062405/555301e7b4c905533f8b46db/html5/thumbnails/12.jpg)
Opciones de conectividad• Web proxy
– Soporte aplicaciones web– Acceso navegador.– Motor de traslación de contenidos
• Client/Server Connector– Aplicaciones no web (Outlook, FTP, Telnet)– Basado en el conocimiento de la aplicación– Java Applet/ActiveX para encapsulado SSL– Port Forwarding– Socket Forwarding
• Network Connector– Similar a VPN IPSec.– Puntos de acceso de confianza– Cualquier aplicación/protocolo– Adaptador virtual en el cliente
Breadth of Locations“Anywhere” level
Web Proxy
Port/Socket Forwarder
Corporate laptop
Home PC
Customer/Partner PC
Internet kiosk
Network Connection
Breadth of Locations“Anywhere” level
Web Proxy
Port/Socket Forwarder
Corporate laptop
Home PC
Customer/Partner PC
Internet kiosk
Network Connection
![Page 13: Asegúr@IT 7 - Forefront UAG 2010](https://reader035.vdocumento.com/reader035/viewer/2022062405/555301e7b4c905533f8b46db/html5/thumbnails/13.jpg)
Integración y soporte a “Terceros”Soporta acceso desde sistemas Linux, Apple y dispositivos
móviles a través de diferentes navegadores.
![Page 14: Asegúr@IT 7 - Forefront UAG 2010](https://reader035.vdocumento.com/reader035/viewer/2022062405/555301e7b4c905533f8b46db/html5/thumbnails/14.jpg)
MS Forefront UAG:Acceso y detección• Se accede mediante la dirección del portal• Se descarga un control Active-X o un Applet Java que
contiene:
– Por defecto:• Component manager• Endpoint detection• Attachment Wiper• Client trace
– Bajo demanda:• SSL Wrapper• Socket Forwarder• Network Connector
![Page 15: Asegúr@IT 7 - Forefront UAG 2010](https://reader035.vdocumento.com/reader035/viewer/2022062405/555301e7b4c905533f8b46db/html5/thumbnails/15.jpg)
MS Forefront UAG: Políticas• Acceso basado en política -> Acceso
condicionado a la ubicación• Control de acceso al portal
– Punto de acceso estándar– Punto de acceso privilegiado– Punto de acceso certificado
• Control de acceso a aplicaciones• Control de acceso a funciones (sólo web)
– Upload/Download– Check-in/Check-out– Zonas privadas/restringidas
• Trabaja tanto en el lado del cliente como del servidor– En cliente notifica al usuario la causa
del bloqueo– En servidor impone restricciones si el
cliente se las saltara
![Page 16: Asegúr@IT 7 - Forefront UAG 2010](https://reader035.vdocumento.com/reader035/viewer/2022062405/555301e7b4c905533f8b46db/html5/thumbnails/16.jpg)
Portal de Acceso personalizado
![Page 17: Asegúr@IT 7 - Forefront UAG 2010](https://reader035.vdocumento.com/reader035/viewer/2022062405/555301e7b4c905533f8b46db/html5/thumbnails/17.jpg)
Demo
Configuración de publicación de aplicaciones en Forefront UAG y
gestión de políticas de acceso
![Page 18: Asegúr@IT 7 - Forefront UAG 2010](https://reader035.vdocumento.com/reader035/viewer/2022062405/555301e7b4c905533f8b46db/html5/thumbnails/18.jpg)
nAppliance Net-Gateway nUAG• La plataforma de UAG se encuentra también
disponible en versión Appliance.• La empresa nAppliance proporciona una gama de
productos de UAG para dar soporte a diferentes tipos de organizaciones,
• Se denomina Net-Gateway nUAG
![Page 19: Asegúr@IT 7 - Forefront UAG 2010](https://reader035.vdocumento.com/reader035/viewer/2022062405/555301e7b4c905533f8b46db/html5/thumbnails/19.jpg)
Gama de Appliances nUAG (I)
http://www.nappliance.com/products/NetGateway-nUAG.asp
![Page 20: Asegúr@IT 7 - Forefront UAG 2010](https://reader035.vdocumento.com/reader035/viewer/2022062405/555301e7b4c905533f8b46db/html5/thumbnails/20.jpg)
Gama de Appliances nUAG (I)
http://www.nappliance.com/products/NetGateway-nUAG.asp
![Page 21: Asegúr@IT 7 - Forefront UAG 2010](https://reader035.vdocumento.com/reader035/viewer/2022062405/555301e7b4c905533f8b46db/html5/thumbnails/21.jpg)
Appliances nUAG
• Soporte y garantía de reposición.• Configuración OOB.• HW Testado y optimizado.• SO optimizado y configurado correctamente.• Actualizaciones testadas (double check).• Administración Web.• Distribuido desde Barcelona.
![Page 22: Asegúr@IT 7 - Forefront UAG 2010](https://reader035.vdocumento.com/reader035/viewer/2022062405/555301e7b4c905533f8b46db/html5/thumbnails/22.jpg)
• OTC es diferente en cada login:– Protección contra:
• Key-Loggers• Phishing• MITM
• Usuario nunca introduce su PIN:– Protección contra:
• Key-Loggers• Phishing• MITM
• Security-String puede ser enviado por otro canal– Protección contra MITM
• La entrega del Security-String se puede asociar a un número de teléfono, con lo que se puede obtener una autenticación de doble factor.
Autenticación: One-Time Code [OTC]
![Page 23: Asegúr@IT 7 - Forefront UAG 2010](https://reader035.vdocumento.com/reader035/viewer/2022062405/555301e7b4c905533f8b46db/html5/thumbnails/23.jpg)
Autenticación: One-Time Code [OTC]
![Page 24: Asegúr@IT 7 - Forefront UAG 2010](https://reader035.vdocumento.com/reader035/viewer/2022062405/555301e7b4c905533f8b46db/html5/thumbnails/24.jpg)
Autenticación: One-Time Code [OTC]
![Page 25: Asegúr@IT 7 - Forefront UAG 2010](https://reader035.vdocumento.com/reader035/viewer/2022062405/555301e7b4c905533f8b46db/html5/thumbnails/25.jpg)
MS Forefront UAG: Configuración PinSafe
![Page 26: Asegúr@IT 7 - Forefront UAG 2010](https://reader035.vdocumento.com/reader035/viewer/2022062405/555301e7b4c905533f8b46db/html5/thumbnails/26.jpg)
Demo: Autenticación OTC
http://demo.swivelsecure.com/
![Page 28: Asegúr@IT 7 - Forefront UAG 2010](https://reader035.vdocumento.com/reader035/viewer/2022062405/555301e7b4c905533f8b46db/html5/thumbnails/28.jpg)
Hands On Lab Forefront BarcelonaDel 19 al 23 de abril de 2010
HOL-FOR03 MS Forefront Client Security SP1 HOL-FOR09 MS Forefront Protection Exchange/SharePointHOL-FOR05 MS Forefront TMG: ImplementingHOL-FOR06 MS Forefront TMG: Firewalling & NIDSHOL-FOR07 MS Forefront TMG: VPN y Branch Office HOL-FOR10 MS Forefront Unified Access Gateway 2010
http://www.informatica64.com/mainhols.aspx?ciudad=Barcelona
![Page 29: Asegúr@IT 7 - Forefront UAG 2010](https://reader035.vdocumento.com/reader035/viewer/2022062405/555301e7b4c905533f8b46db/html5/thumbnails/29.jpg)
¿Preguntas?
Chema [email protected]://elladodelmal.blogspot.comhttp://twitter.com/chemaalonsohttp://www.informatica64.com