Bye Bye ISA! Welcome TMG!
Con un dejo de nostalgia asisto a la natural evolución y maduración de un servicio que de alguna genero en mi cierta simpatía.
Recuerdo cerca del 2000, estudiando las primeras betas, recibir comentarios del estilo: “¿Microsoft? ¿Un Firewall? je!
Ya ni recuerdo cuantos cursos de ISA Server he dado! como me gustaba plantear desafíos y participar activamente disfrutando de las resoluciones.
Ese Firewall que fue a su vez la evolución de Microsoft Proxy, marcó como ahora un hito en la relación de Microsoft con la Seguridad Informática.
Miles y miles de redes protegidas por ISA y tres evoluciones (ISA Server 2000, 2004 y 2006) sirvieron para demostrar la solidez y confiablidad de un servicio que desmitifico que la seguridad de borde debía pagarse a precio de oro y que ser para unos pocos.
Por estas horas ISA Server esta por despedirse, reencarnándose en Forefront TMG, y ya no estará solo, tendrá familia! ya que Forefront en si mismo a su vez alberga a servicios de seguridad para borde, para mail, para Sharepoint y para PCs clientes entre otros.
Entrando de lleno en TMG tenemos alguna novedades.
La primera y en línea con el resto de los servicios de server, no tendrá build de 32 bits, otra es que esta soportado por Microsoft el correr virtualizado. Tema que siempre ha generado controversias, ¿puede un Firewall correr virtualizado?
Otra gran novedad es que incorpora un IDS, una deuda pendiente que por suerte empieza a saldarse.
Si revisamos las nuevas características podemos encontrar:
Característica |
Descripción |
|
|
Filtrado de URL |
Las URLs de destino son examinadas para asegurar el cumplimiento con las políticas corporativas y contenido maligno en el sitio de destino. Forefront TMG usa Microsoft Reputation Services para le filtrado de URLs combinando múltiples Fuentes para incrementar la cobertura de URLS y su categorización. Las URLs y categorías vana incrementarse conforme Forefront TMG Beta 3 continúe evolucionando hacia RTM. |
Protección Web antivirus/anti-malware |
El trafico Web entrante y saliente es inspeccionado en busca de virus y malware, Archivos encriptados (que no pueden ser inspeccionados) pueden ser bloqueados, En archivos grandes el usuario tiene la sensación que su archivo está siendo descargado mientras TMG lo recibe primero, lo analiza y luego se lo pone como disponible. |
Seguridad para E-mail |
Forefront TMG proporciona administración centralizada para Exchange y Forefront Security for Exchange cuando están localizados en el mismo server. Forefront TMG no incluye ni Exchange ni Forefront Security for Exchange. Ambos deben ser comprados de manera separada. |
Inspección HTTPS |
Las sesiones HTTPS pueden ahora ser inspeccionadas en busca de malware o exploits. Grupos específicos de sitios –tales como Bancos - pueden ser excluidos de la inspección por razones de privacidad, Usuarios de TMG Firewall Client pueden ser notificados de tal inspección. |
Network Inspection System (NIS) |
El tráfico puede ser inspeccionado para detector exploits de vulnerabilidades Microsoft. Basado en análisis de protocolo, NIS habilita el bloqueo de distintos tipos de ataques reduciendo al mínimo los falsos positivos. Las protecciones pueden ser actualizadas cuando sea necesario. |
Enhanced Network Address Translation (NAT) |
Forefront TMG habilita ahora publicar e-mail servers específicos con NAT 1-to-1. |
Soporte mejorado para Voice sobre IP |
Forefront TMG Beta 3 incluye SIP traversal, permitiendo la implementación de manera sencilla de Voz sobre IP dentro de la red. |
Integración con "Stirling" |
Forefront TMG Beta 3 se integra con Forefront codename “Stirling” proporcionando protección coordinada. |
Soporte para Windows Server 64-bit |
Forefront TMG Beta 3 se instala en Windows Server 2008 with 64-bit support. |
![clip_image002[1]](https://msdntnarchive.blob.core.windows.net/media/TNBlogsFS/BlogFileStorage/blogs_technet/ponicke/WindowsLiveWriter/ByeByeISAWelcomeTMG_F6B6/clip_image002%5B1%5D.png "clip_image002[1]"){kind=small}
Característica |
Descripción |
|
|
Multi-layer firewall |
Forefront TMG proporciona control de acceso y protección en tres capas: packet filtering, stateful inspection, y application layer filtering. |
Application layer filtering |
Forefront TMG proporciona inspección y filtrado de contenido a través de filtros de aplicaciones integrados y específicos para cada caso. |
Control Granular HTTP |
Forefront TMG permite el control granular de trafico HTTP incluyendo: - Control de Archivos descargados - Bloqueo basado en Signatures - Control de métodos HTTP Forefront TMG proporciona un estricto control sobre las amenazas basadas en el uso de la web. |
DoS protections |
Forefront TMG proporciona resistencia y flexibilidad contra ataques por inundación de bits (floods) realocando recursos para proporcionar inspecciones de altísima seguridad. |
Soporte para protocolos |
Forefront TMG brinda Soporte out-of-the-box para muchísimos protocolos y nuevos protocolos pueden ser definidos. |
![clip_image002[2]](https://msdntnarchive.blob.core.windows.net/media/TNBlogsFS/BlogFileStorage/blogs_technet/ponicke/WindowsLiveWriter/ByeByeISAWelcomeTMG_F6B6/clip_image002%5B2%5D.png "clip_image002[2]"){kind=small}
![clip_image002[3]](https://msdntnarchive.blob.core.windows.net/media/TNBlogsFS/BlogFileStorage/blogs_technet/ponicke/WindowsLiveWriter/ByeByeISAWelcomeTMG_F6B6/clip_image002%5B3%5D.png "clip_image002[3]"){kind=small}
![clip_image003[1]](https://msdntnarchive.blob.core.windows.net/media/TNBlogsFS/BlogFileStorage/blogs_technet/ponicke/WindowsLiveWriter/ByeByeISAWelcomeTMG_F6B6/clip_image003%5B1%5D.gif "clip_image003[1]")
Highly Secure Application Publishing
Característica |
Descripción |
|
|
Acceso seguro desde Cliente Outlook |
Usuarios Remotos pueden acceder a Exchange Server usando Outlook MAPI client sobre internet sin establecer VPNs. Esta conexión es encriptada por razones de seguridad. |
Publicación de Outlook Web Access y Microsoft Office SharePoint Server |
Asistentes simples permiten una rápida configuración tanto para Outlook Web Access como para SharePoint servers. Los usuarios Outlook Web Access pueden ser autenticados por el propio Forefront TMG server, evitando ataques de usuarios no autorizados. |
Publicación segura de Web servers, servers internos y Terminal Services |
Los usuarios remotos pueden ahora accede a recursos internos de forma más segura con un link translation mejorado. |
Single sign on |
Forefront TMG le permite a los usuarios accede a grupos de aplicaciones publicadas sin tener que autenticarse en cada una de ellas si ya lo hizo en alguna. |
Delegación de autenticación |
Forefront TMG protege los sitios publicados de accesos no autenticados requiriendo primero autenticación al firewall para después proporcionar acceso a las aplicaciones publicadas esto previene del uso de exploits de usuarios anónimos contra aplicaciones y servicios publicados. |
Link translation a servidores internos |
Forefront TMG incluye la característica mejorada de link translation que permite la creación de un diccionario de definiciones que puede ser usado para relacionar nombres internos de servidores con nombres externos a publicar. Implementa link translation de manera automática en Web publishing. |
Soporte para SSL bridging |
Para evitar ataques embebidos en tráfico HTTP, SSL bridging permite que los paquetes SSL sean desencriptados, analizados y vuelta a encriptar. |
![clip_image002[4]](https://msdntnarchive.blob.core.windows.net/media/TNBlogsFS/BlogFileStorage/blogs_technet/ponicke/WindowsLiveWriter/ByeByeISAWelcomeTMG_F6B6/clip_image002%5B4%5D.png "clip_image002[4]"){kind=small}
![clip_image003[2]](https://msdntnarchive.blob.core.windows.net/media/TNBlogsFS/BlogFileStorage/blogs_technet/ponicke/WindowsLiveWriter/ByeByeISAWelcomeTMG_F6B6/clip_image003%5B2%5D.gif "clip_image003[2]")
Característica |
Descripción |
|
|
Site-to-site VPN |
Forefront TMG Permite rápida conectividad entre sitios usando un asistente de configuración que incluye configuración de IPSEC con dispositivos tipo appliance de terceras partes. |
Remote access VPN |
Forefront TMG proporciona terminales VPN L2TP/IPSec y PPTP VPN usando los servicios nativos de VPN nativos de Windows. |
Inspección de trafico VPN |
El trafico VPN terminado en Forefront TMG es inspeccionado de acuerdo a las políticas de seguridad implementadas. |
Cuarentena en VPN |
Forefront TMG realiza una profunda inspección del cliente VPN y mantiene integración con las políticas de firewall. |
SecureNAT para clientes VPN |
Forefront TMG permite que los usuarios conectados remotamente a la red puedan a su vez accede a internet manteniendo las políticas y protecciones implementadas en la red corporativa. |
Publicación de servidores VPN |
Forefront TMG puede ser usado para publicar servidores VPN internos. |
![clip_image002[5]](https://msdntnarchive.blob.core.windows.net/media/TNBlogsFS/BlogFileStorage/blogs_technet/ponicke/WindowsLiveWriter/ByeByeISAWelcomeTMG_F6B6/clip_image002%5B5%5D.png "clip_image002[5]"){kind=small}
![clip_image002[6]](https://msdntnarchive.blob.core.windows.net/media/TNBlogsFS/BlogFileStorage/blogs_technet/ponicke/WindowsLiveWriter/ByeByeISAWelcomeTMG_F6B6/clip_image002%5B6%5D.png "clip_image002[6]"){kind=small}
![clip_image003[3]](https://msdntnarchive.blob.core.windows.net/media/TNBlogsFS/BlogFileStorage/blogs_technet/ponicke/WindowsLiveWriter/ByeByeISAWelcomeTMG_F6B6/clip_image003%5B3%5D.gif "clip_image003[3]")
Característica |
Descripción |
|
|
Enterprise |
Las políticas pueden ser asignadas a gateways, arrays, o a todo el conjunto enterprise. |
Asistentes |
Forefront TMG simplifica la configuración mediante el uso de asistentes tales como web publishing, web Access y configuración de arrays. |
Monitoreo y reporte en tiempo real |
Los Logs pueden ser vistos en tiempo real o históricamente (incluyendo las sesiones activas). |
Armado de consultas |
Posee una herramienta de consultas que permite obtener datos históricos de manera sencilla, permite además la confección de consultas complejas. |
Creación y publicación de reportes |
Diseño de reportes según cada necesidad especifica que pueden ser publicados localmente o en recursos compartidos de red. |
Logs |
Los Logs pueden ser enviados a un Microsoft SQL Server localizado en la red interna. |
Delegación de permisos |
Los Roles administrativos pueden se delegados a Usuarios y Grupos. |
![clip_image002[7]](https://msdntnarchive.blob.core.windows.net/media/TNBlogsFS/BlogFileStorage/blogs_technet/ponicke/WindowsLiveWriter/ByeByeISAWelcomeTMG_F6B6/clip_image002%5B7%5D.png "clip_image002[7]"){kind=small}
![clip_image002[8]](https://msdntnarchive.blob.core.windows.net/media/TNBlogsFS/BlogFileStorage/blogs_technet/ponicke/WindowsLiveWriter/ByeByeISAWelcomeTMG_F6B6/clip_image002%5B8%5D.png "clip_image002[8]"){kind=small}
![clip_image003[4]](https://msdntnarchive.blob.core.windows.net/media/TNBlogsFS/BlogFileStorage/blogs_technet/ponicke/WindowsLiveWriter/ByeByeISAWelcomeTMG_F6B6/clip_image003%5B4%5D.gif "clip_image003[4]")
Característica |
Descripción |
|
|
Network load balancing |
Forefront TMG utiliza Network load balancing para proporcionar alta disponibilidad y escalabilidad. |
Configuración de redes |
Es posible configurar una o más redes definiendo la relación entre ellas. Políticas de acceso pueden ser definidas con relación a esas redes y Forefront TMG extiende las características de firewall y seguridad entre cualquier red u objeto definido. |
Caching |
Forefront TMG contiene un servicio de cache para mejorar la experiencia del usuario y reducir el ancho de banda utilizado reduciendo costos. Forefront TMG con su mecanismo de políticas centralizadas permite configurar como los objetos son almacenados y recuperados del cache. |
Background Intelligent Transfer Service (BITS) |
Forefront TMG utiliza BITS para recibir los datos en cache, cualquier regla de cache creada puede usar BITS para recibir los datos. |
HTTP compression |
Implementa algoritmos que permiten reducir la redundancia de datos al trasmitir trafico HTTP. |
Diffserv (Quality of Service) |
Forefront TMG incluye la funcionalidad de priorización de paquetes (gracias a Diffserv Web filter), el cual busca paquetes de determinadas URLS o dominio asignándoles distintas prioridades según su necesidad. |
![clip_image002[9]](https://msdntnarchive.blob.core.windows.net/media/TNBlogsFS/BlogFileStorage/blogs_technet/ponicke/WindowsLiveWriter/ByeByeISAWelcomeTMG_F6B6/clip_image002%5B9%5D.png "clip_image002[9]"){kind=small}
![clip_image002[10]](https://msdntnarchive.blob.core.windows.net/media/TNBlogsFS/BlogFileStorage/blogs_technet/ponicke/WindowsLiveWriter/ByeByeISAWelcomeTMG_F6B6/clip_image002%5B10%5D.png "clip_image002[10]"){kind=small}
Comparación de TMG Beta con ISA Server 2006 y TMG MBE
ISA 2006 |
TMG MBE |
TMG Beta 2 |
|
Firewall |
v |
v |
v |
VPN (site-to-site and remote access) |
v |
v |
v |
Web proxy |
v |
v |
v |
Caching |
v |
v |
v |
Arrays for load balancing and failover |
v |
v |
|
Non-domain joined gateway |
v |
v |
|
Windows Server 2008 64-bit support |
v |
v |
|
Web anti-malware |
v |
v |
|
HTTPS inspection |
v |
||
E-mail security |
v |
||
Network Inspection System |
v |
||
ISP redundancy |
v |
||
Centrally manage Standard and Enterprise Edition gateways together (requires Enterprise Edition gateway) |
v |
||
Integration with “Stirling” |
v |