lunes, enero 22, 2007

Publicando Aplicaciones

Como sabéis, todos los meses publico uno de estos en la revista Windows TI Magazine. Este es el que ha salido en la revista de Enero, a partir de Febrero quiero centrarme en cosas de Seguridad en Windows Vista. ¡Saludos!

Windows TI Magazine

***********************************************************************

Publicando Aplicaciones con la ballena

A Microsoft Subsidary, así reza el logo de Whale Comunications en su página web. Y es que la tecnología que ofrecían no era como para dejarla escapar, o eso debió pensar alguno de los analizadores de tecnología de Microsoft que, como ojeadores de fútbol en busca de jóvenes estrellas, se encargan de estudiar a esas empresas con tecnología brillante o con posibilidades de serlo.

En el caso de Whale el acoplamiento de su tecnología era algo que le estaba faltando a la compañía dentro de la estrategia de creación de ese equipo de fútbol orientado a jugar en las ligas de la seguridad Informática. Y es que visitar la web de los “forefrones” (permitidme que quite la t en pro de la castellanización más bronxtolita del término) es encontrar a un montón de fichajes estrellas como Forefront for Exchange y Forefront for SharePoint, ex jugadores ambos de Sybari, Forefront Client, ex GeCat, Microsoft Antyspyware, ex Giant, y ahora Intelligent Application Gateway, ex WhaleComunications.

¿Y que aporta?

La tecnología que trae IAG es el tipo de VPN que le faltaba a ISA Server 2006 (este procedente de la cantera). ISA 2k6 ofrece la posibilidad de crear Redes Privadas Virtuales Site-to-Site, para establecer conexiones entre redes, y crear Servidores para permitir conexiones a clientes remotos de forma segura a la red de la compañía. Este tipo de servicios desde el punto de vista IT tiene “el problema” de la gestión de la infraestructura de red, ya que obliga a la apertura de puertos en los firewalls perimetrales de la compañía. Esto no quiere decir que sean malas soluciones pero gracias a IAG ahora en ISA 2k6 podemos utilizar sistemas de creación de VPNs a nivel de aplicación montando una pasarela de comunicación entre los clientes y las aplicaciones sobre nuestro firewall.

¿Cómo funciona esto?

La idea es sencilla, al final una VPN ofrece básicamente dos servicios: Autenticación de los participantes de la comunicación y cifrado de los mensajes en transito por una red pública (vale sí, y el enrutamiento, y la compresión de datos y el encapsulamiento de protocolos,…) Pero todo esto nos lo puede ofrecer el protocolo SSL, y ¿qué mejor cliente para acceder a todo que un navegador de Internet? Así nacen las VPNs basadas en http-s. En estos entornos lo que tenemos es una aplicación web que recibe comandos desde el cliente encapsulados de forma segura con el protocolo http-s. Nuestro IAG, que lógicamente es dicha aplicación frontal, desencapsula los datos que vienen desde el cliente y los transmite a la aplicación. Una pasarela según la definición de elementos de interconexión del estándar OSI (Open System Interconection) de ISO (Internationat Standard Organization).

¿Qué ventajas ofrece?

En primer lugar las aplicaciones se comparten en un portal que permite a un empleado conectarse a todo el repositorio de aplicaciones de su organización de forma segura desde cualquier conexión únicamente conectándose a un servidor web. Una vez allí puede abrir cualquier aplicación que se haya publicado (Cliente de Terminal Server, aplicación web, ficheros compartidos, aplicación propia cliente/servidor basada en sockets, etc…) Además, al tener un servidor que nos autentica podemos realizar servicios de Single Sign-On ya que el propio IAG es el que gestiona las conexiones.

De esta forma no está expuesta directamente ninguna aplicación ni tan siquiera para los propios clientes expuestos. La gestión no obliga a abrir ningún puerto en la infraestructura de red más que el de SSL 443 o 565 (los estándar) o cualquiera que nos dejen para el https.

La última característica importante que me gustaría destacar sobre el último fichaje, al igual que un orgulloso presidente que presenta a su nueva figura, es la posibilidad de establecer políticas de seguridad de acceso para los clientes a la similitud de una red de cuarentena. Llegado el momento de establecer la conexión, nuestro servidor examina la política de salud de la máquina, es decir, nos comprueba lo que el administrador ha marcado como de obligatorio cumplimento para conectarse a la red (firewall activado, actualizaciones de seguridad al día, software instalado o actualización de antivirus). Si el cliente no cumple la política de salud la conexión se puede denegar evitando la vulneración del perímetro por un cliente de una VPN inseguro.

¿Encajará en el equipo?

Toda la solución de Intelligent Application Gateway corre sobre ISA 2k6 aprovechándose de las posibilidades que ofrece la solución firewall de filtrado a nivel de aplicación, luego podemos decir que es casi un add-in (muy gordo) del firewall. Hasta el momento la solución la comercializaba Whale en un appliance de con una linda ballenita en el frontal en el que corría Windows Server, ISA Server y Whal… digo… Intelligence Appplicaction Firewall. No están definidos los planes de la comercialización de futuro (o no son públicos aún), pero a día de hoy se puede obtener de la solución en el appliance. Lógicamente toda la solución IAG está totalmente integrada en la estructura de software Microsoft y ya está planeado incluso el lanzamiento de un Mom Pack para IAG que permita al “médico” del equipo comprobar las evoluciones en el devenir diario de la alta competición de este nuevo jugador.

¿Os imagináis si después de toda la inversión que está realizando Microsoft en productos y tecnologías de Seguridad dejaran de existir las amenazas? Sería gracioso, ¿no?

9 comentarios:

  1. Buen artículo para comenzar la mañana :)

    ResponderEliminar
  2. ¿Para cuando el segundo reto hacking? Crei leer que para la semana pasada ibais a sacar algo...

    ResponderEliminar
  3. Me gusta mucho el artículo. Por otro lado es curioso que yo desde siempre suelo poner a mis amigos (que al igual que yo somos "futboleros-less") ejemplos futbolísticos para todo y me toman por tonto... Pero veo que no soy el único en hacerlo... YUJUUUU!!!

    ResponderEliminar
  4. Off topic: Encontrada vulnerabilidad por inyección SQL en conguitos.

    Id a la URL http://thedailywtf.com/Articles/Chocolate_Covered_SQL.aspx

    y mirad la foto de la bolsa. Pero miradla detenidamente. Y luego reid. Joooooooooooooooooooder

    ResponderEliminar
  5. La URL de los conguitos no va.

    ResponderEliminar
  6. Sí rula, sí, pincha en este Enlace

    Genial!

    ResponderEliminar
  7. Este comentario ha sido eliminado por un administrador del blog.

    ResponderEliminar
  8. Nota: he tenido que borrar un par de comentarios pq estaba entrando spam en blogspot.

    ResponderEliminar
  9. El reto hacking sale muy prontito. Está ya calentito.

    ResponderEliminar