{"id":1360,"date":"2011-06-03T10:59:53","date_gmt":"2011-06-03T13:59:53","guid":{"rendered":"http:\/\/www.radians.com.ar\/blog\/?p=1360"},"modified":"2011-06-03T10:59:53","modified_gmt":"2011-06-03T13:59:53","slug":"protegiendo-nuestro-active-directory-con-forefront-threat-management-gateway-2010parte-1-howto","status":"publish","type":"post","link":"https:\/\/www.radians.com.ar\/blog\/?p=1360","title":{"rendered":"Protegiendo nuestro Active Directory con Forefront Threat Management Gateway 2010&ndash;Parte 1 {HowTo}"},"content":{"rendered":"<p align=\"justify\"><font size=\"2\"><a href=\"http:\/\/www.radians.com.ar\/Articulos\/Images\/Protegiendo-nuestro-Active-Directory-con_8D1C\/ForeFront_TMG2010_Logo.png\"><img loading=\"lazy\" decoding=\"async\" style=\"background-image: none; border-bottom: 0px; border-left: 0px; margin: 5px; padding-left: 0px; padding-right: 0px; display: inline; float: left; border-top: 0px; border-right: 0px; padding-top: 0px\" title=\"ForeFront_TMG2010_Logo\" border=\"0\" alt=\"ForeFront_TMG2010_Logo\" align=\"left\" src=\"http:\/\/www.radians.com.ar\/Articulos\/Images\/Protegiendo-nuestro-Active-Directory-con_8D1C\/ForeFront_TMG2010_Logo_thumb.png\" width=\"360\" height=\"187\" \/><\/a>Quer\u00eda escribir hoy de como proteger nuestro Active Directory con Forefront Threat Management Gateway 2010. Este producto es la actualizaci\u00f3n natural de ISA Server 2006. Esta versi\u00f3n cuenta con muchas mejoras, ya sean en rendimiento con funcionalidades en si. Por ejemplo, tiene la posibilidad de filtrar contenido por medio de categor\u00edas que compara las url contra un servicio de Microsoft (Microsoft Reputation Service)y en caso de ser necesario bloquea el sitio de forma autom\u00e1tica.<\/font><\/p>\n<p align=\"justify\"><font size=\"2\">Microsoft Reputation Services permite a los administradores de seguridad para bloquear categor\u00edas Web inapropiado o peligroso sitio sin la molestia de productividad de los empleados. &quot;<\/font><\/p>\n<p align=\"justify\"><font size=\"2\">Algunos de los features (en mas detalle) que tiene esta versi\u00f3n son:<\/font><\/p>\n<ul>\n<li>\n<div align=\"justify\"><font size=\"2\"><strong>La protecci\u00f3n contra c\u00f3digo malintecionado web<\/strong> es parte de un servicio de suscripci\u00f3n de Protecci\u00f3n de web de Forefront TMG. La protecci\u00f3n contra c\u00f3digo malintencionado web examina las p\u00e1ginas web en busca de virus, c\u00f3digo malintencionado y otras amenazas. <\/font><\/div>\n<\/li>\n<li>\n<div align=\"justify\"><font size=\"2\"><strong>Filtrado de URL<\/strong> permite o deniega el acceso a los sitios web seg\u00fan categor\u00edas de direcciones URL (por ejemplo, pornograf\u00eda, drogas, man\u00edas o compras). Las organizaciones no solo pueden impedir que los empleados visiten sitios con c\u00f3digo malintencionado conocido, sino que tambi\u00e9n pueden proteger la productividad de la empresa limitando o bloqueando el acceso a los sitios que se consideran distracciones que la perjudican. El filtrado de URL es una parte del servicio de suscripci\u00f3n de Protecci\u00f3n de web.<\/font><\/div>\n<\/li>\n<li>\n<div align=\"justify\"><font size=\"2\"><strong>El servicio de suscripci\u00f3n de protecci\u00f3n del correo electr\u00f3nico<\/strong>\u2014Forefront TMG proporciona un servicio de suscripci\u00f3n para la protecci\u00f3n del correo electr\u00f3nico que se basa en la tecnolog\u00eda integrada de Forefront Protection 2010 for Exchange Server. Forefront TMG act\u00faa como transmisor del tr\u00e1fico SMTP y examina el correo electr\u00f3nico para comprobar si contiene virus, c\u00f3digo malintencionado, correo y contenido no deseado (como los archivos ejecutables o cifrados) a medida que atraviesa la red.<\/font><\/div>\n<\/li>\n<li>\n<div align=\"justify\"><font size=\"2\"><strong>La inspecci\u00f3n de HTTPS<\/strong> permite que las sesiones cifradas con HTTPS sean inspeccionadas en busca de c\u00f3digo malintencionado o vulnerabilidades. Algunos grupos espec\u00edficos de sitios, por ejemplo, los de banca, pueden excluirse de la inspecci\u00f3n por motivos de privacidad. A los usuarios del Cliente de Forefront TMG se les puede notificar la inspecci\u00f3n. <\/font><\/div>\n<\/li>\n<li>\n<div align=\"justify\"><font size=\"2\"><strong>El Sistema de inspecci\u00f3n de red (NIS)<\/strong> permite que el tr\u00e1fico sea inspeccionado en busca de vulnerabilidades de Microsoft. Seg\u00fan el an\u00e1lisis de los protocolos, NIS puede bloquear algunos tipos de ataques al tiempo que reduce los falsos positivos. Las protecciones se pueden actualizar seg\u00fan sea necesario.<\/font><\/div>\n<\/li>\n<li>\n<div align=\"justify\"><font size=\"2\"><strong>La traducci\u00f3n de direcciones de red (NAT) mejorada<\/strong> permite especificar servidores de correo individuales que se pueden publicar con NAT de uno a uno.<\/font><\/div>\n<\/li>\n<li>\n<div align=\"justify\"><font size=\"2\"><strong>Voz sobre IP mejorada<\/strong> permite incluir SIP transversal, lo que facilita la implementaci\u00f3n de Voz sobre IP dentro de la red.<\/font><\/div>\n<\/li>\n<li>\n<div align=\"justify\"><font size=\"2\"><strong>Windows Server 2008 con compatibilidad para 64 bits<\/strong>\u2014Forefront TMG se instala en Windows Server 2008 con compatibilidad para 64 bits.<\/font><\/div>\n<\/li>\n<\/ul>\n<p align=\"justify\"><font size=\"2\">Debemos tener en cuenta que ya esta disponible tambi\u00e9n el Service Pack 1 del producto, con esta versi\u00f3n disponemos de:<\/font><\/p>\n<ul>\n<li>\n<div align=\"justify\"><font size=\"2\"><strong><font color=\"#ffc000\">Nuevas caracter\u00edsticas de informes:<\/font> <\/strong>El nuevo informe Actividad de usuario nos muestra la informaci\u00f3n de exploraci\u00f3n web, incluyendo las categor\u00edas de direcciones URL y sitios web que usuarios concretos han solicitado, sobre cualquier per\u00edodo especificado.          <br \/>Todos los informes de Forefront TMG tienen una nueva apariencia.<\/font><\/div>\n<\/li>\n<li>\n<div align=\"justify\"><font size=\"2\"><strong><font color=\"#ffc000\">Mejoras en el filtrado de URL:<\/font> <\/strong>Ahora podemos permitir a los usuarios invalidar la restricci\u00f3n de acceso en los sitios bloqueados por el filtrado de URL. De esta manera se facilita la directiva de acceso web para la implementaci\u00f3n y se hace m\u00e1s flexible, de modo que los usuarios pueden decidir por ellos mismos si desean tener acceso a un sitio bloqueado. Esto resulta de especial utilidad para los sitios web que se han clasificado de manera incorrecta.           <br \/>Podemos invalidar la clasificaci\u00f3n de una direcci\u00f3n URL en el nivel de empresa; la invalidaci\u00f3n se har\u00e1 efectiva para cada matriz combinada de empresa.           <br \/>Podemos personalizar p\u00e1ginas de notificaci\u00f3n de denegaci\u00f3n en base a las necesidades de su organizaci\u00f3n. <\/font><\/div>\n<\/li>\n<li>\n<div align=\"justify\"><font size=\"2\"><strong><font color=\"#ffc000\">Compatibilidad mejorada para las sucursales:<\/font> <\/strong>Al instalarse en un equipo que ejecuta Windows Server 2008 R2, SP1 simplifica la implementaci\u00f3n de BranchCache en la sucursal, usando Forefront TMG como servidor de cach\u00e9 hospedada.          <br \/>Podemos colocar Forefront TMG y un controlador de dominio de s\u00f3lo lectura en el mismo servidor, que puede ayudar a reducir el costo total de la propiedad de las sucursales.<\/font><\/div>\n<\/li>\n<li>\n<div align=\"justify\"><font size=\"2\"><strong><font color=\"#ffc000\">Compatibilidad para la publicaci\u00f3n de SharePoint 2010:<\/font> <\/strong>Forefront TMGSP1 admite la publicaci\u00f3n segura de SharePoint 2010.<\/font><\/div>\n<\/li>\n<\/ul>\n<p align=\"justify\"><font size=\"2\">Los requerimientos de hardware son los siguientes:<\/font><\/p>\n<h5 align=\"justify\"><a href=\"http:\/\/www.radians.com.ar\/Articulos\/Images\/Protegiendo-nuestro-Active-Directory-con_8D1C\/image.png\"><font size=\"2\"><a href=\"http:\/\/www.radians.com.ar\/Articulos\/Images\/Protegiendo-nuestro-Active-Directory-con_8D1C\/image.png\"><img loading=\"lazy\" decoding=\"async\" style=\"background-image: none; border-bottom: 0px; border-left: 0px; margin: 5px; padding-left: 0px; padding-right: 0px; display: inline; border-top: 0px; border-right: 0px; padding-top: 0px\" title=\"image\" border=\"0\" alt=\"image\" src=\"http:\/\/www.radians.com.ar\/Articulos\/Images\/Protegiendo-nuestro-Active-Directory-con_8D1C\/image_thumb.png\" width=\"544\" height=\"283\" \/><\/a><\/font><\/a><\/h5>\n<p align=\"justify\"><font size=\"2\">Los requerimientos de Software son:<\/font><\/p>\n<p align=\"justify\"><a href=\"http:\/\/www.radians.com.ar\/Articulos\/Images\/Protegiendo-nuestro-Active-Directory-con_8D1C\/image_3.png\"><font size=\"2\"><a href=\"http:\/\/www.radians.com.ar\/Articulos\/Images\/Protegiendo-nuestro-Active-Directory-con_8D1C\/image_3.png\"><img loading=\"lazy\" decoding=\"async\" style=\"background-image: none; border-bottom: 0px; border-left: 0px; margin: 5px; padding-left: 0px; padding-right: 0px; display: inline; border-top: 0px; border-right: 0px; padding-top: 0px\" title=\"image\" border=\"0\" alt=\"image\" src=\"http:\/\/www.radians.com.ar\/Articulos\/Images\/Protegiendo-nuestro-Active-Directory-con_8D1C\/image_thumb_3.png\" width=\"544\" height=\"425\" \/><\/a><\/font><\/a><\/p>\n<p align=\"justify\"><strong><em><font color=\"#ff0000\" size=\"2\" face=\"OCR A Extended\">Es Importante aclarar que este producto no puede ser implementado sobre un controlador de dominio.<\/font><\/em><\/strong><\/p>\n<p align=\"justify\"><font size=\"2\">Algo importante antes de instalar este producto (y en general, pasa con todos los productos) es planear y dise\u00f1ar como vamos a instalarlo de acuerdo a nuestra infraestructura actual, tenemos que tener en cuenta que funcionalidades vamos a utilizar, y los mas importante, que topolog\u00eda de red de ForeFront vamos a implementar, que sea la m\u00e1s adecuada para nuestra topolog\u00eda de red existente y para nuestros requisitos de seguridad de red. <\/font><\/p>\n<p align=\"justify\"><font size=\"2\">Disponemos de las siguientes topolog\u00edas de red de Forefront TMG:<\/font><\/p>\n<ul>\n<li>\n<div align=\"justify\"><font size=\"2\"><font color=\"#ffc000\"><strong>Firewall perimetral (Edge Firewall)<\/strong>:<\/font> en esta topolog\u00eda, Forefront TMG se encuentra en el per\u00edmetro de la red, donde act\u00faa como firewall perimetral de la organizaci\u00f3n, y est\u00e1 conectado a dos redes: la red interna y la red externa (normalmente, Internet).<\/font> <\/div>\n<\/li>\n<\/ul>\n<p><a href=\"http:\/\/www.radians.com.ar\/Articulos\/Images\/Protegiendo-nuestro-Active-Directory-con_8D1C\/03.png\"><img loading=\"lazy\" decoding=\"async\" style=\"background-image: none; border-bottom: 0px; border-left: 0px; margin: 5px; padding-left: 0px; padding-right: 0px; display: inline; border-top: 0px; border-right: 0px; padding-top: 0px\" title=\"03\" border=\"0\" alt=\"03\" src=\"http:\/\/www.radians.com.ar\/Articulos\/Images\/Protegiendo-nuestro-Active-Directory-con_8D1C\/03_thumb.png\" width=\"544\" height=\"303\" \/><\/a><\/p>\n<ul>\n<li>\n<div align=\"justify\"><font size=\"2\"><font color=\"#ffc000\"><strong>Per\u00edmetro de 3 secciones (3-Leg Perimeter)<\/strong>:<\/font> esta topolog\u00eda implementa una red perimetral. Forefront TMG est\u00e1 conectado por lo menos a tres redes f\u00edsicas: la red interna, una o m\u00e1s redes perimetrales, y la red externa. <\/font><\/div>\n<\/li>\n<\/ul>\n<p align=\"justify\"><a href=\"http:\/\/www.radians.com.ar\/Articulos\/Images\/Protegiendo-nuestro-Active-Directory-con_8D1C\/3LegPerimetrer.jpg\"><font size=\"2\"><a href=\"http:\/\/www.radians.com.ar\/Articulos\/Images\/Protegiendo-nuestro-Active-Directory-con_8D1C\/3LegPerimetrer.jpg\"><img loading=\"lazy\" decoding=\"async\" style=\"background-image: none; border-bottom: 0px; border-left: 0px; margin: 5px; padding-left: 0px; padding-right: 0px; display: inline; border-top: 0px; border-right: 0px; padding-top: 0px\" title=\"3LegPerimetrer\" border=\"0\" alt=\"3LegPerimetrer\" src=\"http:\/\/www.radians.com.ar\/Articulos\/Images\/Protegiendo-nuestro-Active-Directory-con_8D1C\/3LegPerimetrer_thumb.jpg\" width=\"544\" height=\"288\" \/><\/a><\/font><\/a><\/p>\n<ul>\n<li>\n<div align=\"justify\"><font size=\"2\"><font color=\"#ffc000\"><strong>Firewall posterior (Back Firewall)<\/strong>:<\/font> en esta topolog\u00eda, Forefront TMG se encuentra en el back-end de la red. Podemos utilizar esta topolog\u00eda cuando otro elemento de red, como una red perimetral o un dispositivo de seguridad perimetral, se encuentre entre Forefront TMG y la red externa. Forefront TMG se conecta a la red interna y al elemento de red situado delante.<\/font><\/div>\n<\/li>\n<\/ul>\n<p align=\"justify\"><a href=\"http:\/\/www.radians.com.ar\/Articulos\/Images\/Protegiendo-nuestro-Active-Directory-con_8D1C\/04.png\"><img loading=\"lazy\" decoding=\"async\" style=\"background-image: none; border-bottom: 0px; border-left: 0px; margin: 5px; padding-left: 0px; padding-right: 0px; display: inline; border-top: 0px; border-right: 0px; padding-top: 0px\" title=\"04\" border=\"0\" alt=\"04\" src=\"http:\/\/www.radians.com.ar\/Articulos\/Images\/Protegiendo-nuestro-Active-Directory-con_8D1C\/04_thumb.png\" width=\"544\" height=\"311\" \/><\/a><\/p>\n<ul>\n<li>\n<div align=\"justify\"><font size=\"2\"><font color=\"#ffc000\"><strong>Adaptador de red \u00fanico (Single Network Adapter)<\/strong>:<\/font> esta topolog\u00eda habilita funcionalidad de Forefront TMG limitada. En esta topolog\u00eda, Forefront TMG est\u00e1 conectado \u00fanicamente a una red, ya sea la red interna o una red perimetral. Normalmente, se utilizar\u00eda esta configuraci\u00f3n si Forefront TMG se encontrase en la red corporativa interna o en una red perimetral y otro firewall estuviese situado en el per\u00edmetro, protegiendo los recursos corporativos de Internet. <\/font><\/div>\n<\/li>\n<\/ul>\n<p align=\"justify\"><font size=\"2\"><a href=\"http:\/\/www.radians.com.ar\/Articulos\/Images\/Protegiendo-nuestro-Active-Directory-con_8D1C\/05.png\"><img loading=\"lazy\" decoding=\"async\" style=\"background-image: none; border-bottom: 0px; border-left: 0px; margin: 5px; padding-left: 0px; padding-right: 0px; display: inline; border-top: 0px; border-right: 0px; padding-top: 0px\" title=\"05\" border=\"0\" alt=\"05\" src=\"http:\/\/www.radians.com.ar\/Articulos\/Images\/Protegiendo-nuestro-Active-Directory-con_8D1C\/05_thumb.png\" width=\"544\" height=\"330\" \/><\/a><\/font><\/p>\n<p align=\"justify\"><font size=\"2\">Forefront TMG puede estar conectado a la red de \u00e1rea local (LAN) directamente o a trav\u00e9s de un enrutador u otro firewall. Si se est\u00e1 conectando a Forefront TMG a trav\u00e9s de un firewall para administraci\u00f3n remota, o como un cliente protegido de Forefront TMG, debemos tener en cuenta lo siguiente:<\/font><\/p>\n<ul>\n<li>\n<div align=\"justify\"><font size=\"2\">La administraci\u00f3n remota como, por ejemplo, desde un equipo Enterprise Management Server (EMS), requiere el uso de llamada a procedimiento remoto (RPC) para el estado del servidor remoto y la supervisi\u00f3n de estado de servicio.<\/font><\/div>\n<\/li>\n<li>\n<div align=\"justify\"><font size=\"2\">La ruta de acceso desde los clientes de Forefront TMG a Forefront TMG no debe estar filtrada por puertos.<\/font><\/div>\n<\/li>\n<li>\n<div align=\"justify\"><font size=\"2\">Los puertos necesarios en el firewall de intervenci\u00f3n se describen en el art\u00edculo <\/font><a href=\"http:\/\/go.microsoft.com\/fwlink\/?LinkId=156514\"><font size=\"2\">Introducci\u00f3n al servicio y requisitos del puerto de red para el sistema Windows Server<\/font><\/a><\/div>\n<\/li>\n<\/ul>\n<p align=\"justify\"><font size=\"2\">La semana que viene veremos el proceso de Implementaci\u00f3n de este producto en una nota donde veremos el paso a paso de este procedimiento.<\/font><\/p>\n<p align=\"justify\"><font size=\"2\">Espero que les sea de inter\u00e9s el tema. Saludos, Roberto Di Lello.<\/font><\/p>\n<h4 align=\"justify\"><font size=\"2\">Mas Informaci\u00f3n:<\/font><\/h4>\n<ul>\n<li>\n<div align=\"justify\"><a title=\"http:\/\/www.microsoft.com\/forefront\/threat-management-gateway\/en\/us\/default.aspx\" href=\"http:\/\/www.microsoft.com\/forefront\/threat-management-gateway\/en\/us\/default.aspx\"><font size=\"2\">Forefront Threat Management Gateway 2010<\/font><\/a><\/div>\n<\/li>\n<li>\n<div align=\"justify\"><a title=\"http:\/\/www.microsoft.com\/mscorp\/twc\/endtoendtrust\/vision\/reputation.aspx\" href=\"http:\/\/www.microsoft.com\/mscorp\/twc\/endtoendtrust\/vision\/reputation.aspx\"><font size=\"2\">Microsoft Reputation Service<\/font><\/a><\/div>\n<\/li>\n<li>\n<div align=\"justify\"><a href=\"http:\/\/www.microsoft.com\/forefront\/threat-management-gateway\/en\/us\/tmg-mbe-features.aspx\"><font size=\"2\">Forefront TMG MBE Features<\/font><\/a><\/div>\n<\/li>\n<\/ul>\n","protected":false},"excerpt":{"rendered":"<p>Quer\u00eda escribir hoy de como proteger nuestro Active Directory con Forefront Threat Management Gateway 2010&#8230;.<\/p>\n","protected":false},"author":1,"featured_media":4291,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"_monsterinsights_skip_tracking":false,"_monsterinsights_sitenote_active":false,"_monsterinsights_sitenote_note":"","_monsterinsights_sitenote_category":0,"footnotes":""},"categories":[12,11],"tags":[],"class_list":["post-1360","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-2003-r2","category-2008-r2"],"_links":{"self":[{"href":"https:\/\/www.radians.com.ar\/blog\/index.php?rest_route=\/wp\/v2\/posts\/1360","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.radians.com.ar\/blog\/index.php?rest_route=\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.radians.com.ar\/blog\/index.php?rest_route=\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.radians.com.ar\/blog\/index.php?rest_route=\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/www.radians.com.ar\/blog\/index.php?rest_route=%2Fwp%2Fv2%2Fcomments&post=1360"}],"version-history":[{"count":0,"href":"https:\/\/www.radians.com.ar\/blog\/index.php?rest_route=\/wp\/v2\/posts\/1360\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.radians.com.ar\/blog\/index.php?rest_route=\/wp\/v2\/media\/4291"}],"wp:attachment":[{"href":"https:\/\/www.radians.com.ar\/blog\/index.php?rest_route=%2Fwp%2Fv2%2Fmedia&parent=1360"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.radians.com.ar\/blog\/index.php?rest_route=%2Fwp%2Fv2%2Fcategories&post=1360"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.radians.com.ar\/blog\/index.php?rest_route=%2Fwp%2Fv2%2Ftags&post=1360"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}