Feeds:
Entradas
Comentarios

Archive for noviembre 2008

Mi primera certificación

Posted in Experiencia profesional on 13 noviembre, 2008| 2 Comments »

… Y seguimos con el saldo de deudas.

Bueno, otra asignatura pendiente que tenía hace mucho tiempo era el tema de las certificaciones. Por alguna razón, siempre le hice el quite a los exámenenes de certificación. ¿Por qué? Yo creo que principalmente un asunto de confianza, de tener miedo al fracaso. Pues bien, un día dije "basta" y recordando las sabias palabras de mi amigo y compañero MVP Gonzalo Balladares – "Certifica lo que ya sabes" – partí a New Horizons y sin programación previa rendí el examen 70-290: MCP Windows 2003.

Y bien, pasé el examen con 960 puntos Risa. Así que ahora tengo mi primer MCP.

 

Read Full Post »

Isa Server, el desafío

Posted in Artículos de Seguridad on 13 noviembre, 2008| 2 Comments »

Mis primeros pasos con ISA Server

Las cosas de la vida. El MVP de Security es un arma de doble filo, toda vez que un "experto en seguridad" debería – debería – ser experto en todo lo que implique seguridad. O al menos, eso es lo que la gente cree.

Sin embargo, la seguridad es un tema absolutamente transversal, y difícilmente uno puede llegar a ser un "experto en seguridad". Hay que saber de seguridad física, de seguridad perimetral, de protección de datos, de hardening de sistemas operativos y de aplicaciones, y de seguridad en procedimientos y cultura organizacional. Generalmente, una persona ligada a la seguridad se especializa en uno o dos temas. En mi caso, el hardening y la cultura organizacional.

Además, la naturaleza de mi competencia no está asociada a producto alguno. Por eso, cuando hace pocos meses partí en este bonito desafío de ser "consultor en seguridad", muchos se asombraron al ver que no tenía experiencia práctica en productos de seguidad como ISA Server o ForeFront.

Pues bien, como no hay plazo que no se cumpla ni deuda que no se pague, he tenido que comenzar a trabajar con este tipo de productos. Aquí les comparto con ustedes uno de mis primeros "triunfos" con ISA Server, solucionando con Juanito Valenzuela (MVP de SharePoint) una problemática real de un cliente sobre ISA y un novedoso producto llamado Photosynth.

Acceso a Sitios Photosynth detrás de un ISA Server 2006 funcionando como Web Proxy
por Luis Montenegro – MVP Consumer Security y Juan Andrés Valenzuela – MVP SharePoint Server

(http://www.microsoft.com/latam/technet/mvps/notas/isa_server.aspx)

 

Problemática original

Un cliente de la empresa en la cual nos desempeñamos como consultores está en proceso de implementación de un portal corporativo desarrollado en SharePoint, que tiene dentro de sus funcionalidades el uso de Photosynth, una nueva tecnología de manejo de imágenes de Microsoft que pertenece a Microsoft Live Labs y que permite crear imágenes 3D a partir de un set de fotografías en 2 dimensiones.
Para incorporar Photosynth a Sharepoint, tan solo utiliza un editor web de contenido en la cual se incorpora un IFRAME, que llama al servicio.

El servicio phosynth trabaja con URLs del tipo ://photosynth.net, sin embargo el storage de datos de las fotos están bajo el dominio vo.linwd.net. Por ende, para poder visualizar las fotografías, el BROWSER IE7 busca las mismas en dicho sitio y no localmente. El cliente manifestó un error en el acceso al portal de SharePoint asociado precisamente a Photosynth. Los usuarios internos de la compañía que se conectaban a través del proxy corporativo (un ISA Server 2006) no podían visualizar correctamente el sitio, recibiendo un pop-up de error que indicaba que era imposible abrir el sitio en el cual se alojan las fotografías.

 

Problemática

Imagen 1. Problemática original.

Realizamos un troubleshooting básico, en conjunto con personal del cliente y determinamos que dicho error no se reproducía en usuarios externos o en aquellos que no utilizaban el proxy para conectarse. Esto llevó a la conclusión preliminar de que el origen del problema debería encontrarse en la configuración del proxy ISA Server de la compañía.
Esto nos llevó la conclusión que es la autentificación NTLM la que generaba conflicto con el storage de foto en vo.linwd.net.

El análisis

Como todo buen análisis de la situación, nuestras siguientes actividades fueron orientadas a encontrar la raíz del problema y aislar otros posibles focos del mismo, a fin de llegar a una solución definitiva para el cliente. El análisis consideró las siguientes actividades.

1. Revisión general de la configuración de ISA Server.
La compañía posee un arreglo de ISA Server 2006 Enterprise, con dos nodos. Este arreglo está configurado con 2 tarjetas de red, en una topología de Edge Firewall, en el cual existe un número limitado de reglas de acceso, principalmente relacionadas con el uso de protocolos (no existían reglas de publicación de sitios o servicios). La red interna representa a un conjunto de segmentos de red corporativos de la compañía, mientras que otras redes o reglas de red están configuradas por defecto. Este arreglo de ISA Server tiene como principal función el ser Web Proxy de la red interna corporativa.

La regla más importante de la compañía es de Acceso Web y FTP, la cual es una regla de acceso que permite conexiones de red interna a red interna y externa para los protocolos FTP, HTTP y HTTPS para los grupos de usuarios que la compañía tiene autorizados. Esta regla estaba en primer lugar de precedencia en el arreglo de ISA Server.

2. Configuración de Logging para determinar la naturaleza del error.
Como una manera de poder determinar que reglas estaban causando el problema y que tipo de error existía, se levantó una traza en ISA Server sobre un equipo cliente de prueba, para así después tratar de acceder al portal, recibir el error e investigar posteriormente la naturaleza del mismo.
Para ello, se realizaron los siguientes pasos:

  • En la consola de ISA Server, seleccionar Monitoring dentro del panel izquierdo.
  • Dentro del panel intermedio, seleccionar la viñeta Logging.
  • En el panel derecho, en la viñeta Tasks seleccionar Edit Filter.
  • En la ventana emergente, en el cuadro Filter by seleccionar Client IP.
  • En el cuadro Conditions seleccionar Equals to.
  • En el cuadro Value seleccionar la IP del equipo de pruebas.
  • Seleccionar Add to List.
  • Finalmente, seleccionar Start Query.

Para la realización de pruebas, se usaron 2 equipos cliente de la red corporativa, los cuales tenían distintos mensajes de error. Mientras a uno le aparecía el PopUp anteriormente nombrado, al otro equipo aparecía dentro del sitio un mensaje indicando que Photosynth no funcionaba correctamente.

La aplicación de monitoreo se hizo alternadamente en estos dos equipos, mientras se realizó una serie de pruebas iniciales de configuración de Internet Explorer a fin de comparar los resultados y acotar el problema.

Luego de analizar los resultados de la actividad de monitoreo, se descubrió que el error reportado por el Cliente está asociado a entradas en el ISA Server 2006 de acceso denegado, las cuales apuntan a la regla de acceso Web y FTP creada en el ISA Server y que están relacionadas con el error 12209: HTTP 407 Error de Autenticación de Proxy.

3. Pruebas realizadas en la configuración de Internet Explorer.

Juan, encargado de la implementación del portal de SharePoint manifestó que el sitio que hace de hosting de las fotos de Photosynth no cuenta con ningún tipo de autenticación, además de indicar que el equipo de producto de la herramienta (con el cual se pudo contactar) les dijo que Photosynth no funcionaba de manera estable detrás de un proxy con ISA Server 2006. Con estos antecedentes se reforzó la idea inicial del problema en las configuraciones de autenticación, por lo cual se procedió en primer lugar a realizar pruebas asociadas en Internet Explorer y luego en el ISA Server. A continuación se presenta a modo de información el resumen de pruebas realizadas en Internet Explorer.

Prueba Realizada

Resultado

En Internet Explorer, Opciones, Conexiones, Configuración de la red de área local (LAN) seleccionar Detectar la conexión automáticamente

No dio resultados

En Internet Explorer, Opciones, Conexiones, Configuración de la red de área local (LAN), anvazadas, agregar el sitio Web en cuestión a la lista de excepciones

Se pueden visualizar las fotos. Sin embargo, no es una solución óptima pues habría que realizarla por equipo o bien usando políticas

Realizar navegación sin usar el proxy

Se pueden ver las fotos, lo que comprueba que el problema radica en la configuración de ISA Server

En Opciones de Internet, Seguridad, seleccionar la zona a la cual pertenece el sitio Web que alojan las fotos. Seleccionar nivel personalizado y en autenticación del usuario seleccionar Inicio de sesión anónimo

La página arrojó un error, sin cargar ni siquiera el portal corporativo

En Opciones de Internet, Seguridad, seleccionar la zona a la cual pertenece el sitio Web que alojan las fotos. Seleccionar nivel personalizado y en autenticación del usuario seleccionar Inicio de sesión automático con el nombre de usuario y contraseña actuales

No dio resultado

En Opciones de Internet, Seguridad, seleccionar la zona a la cual pertenece el sitio Web que alojan las fotos. Seleccionar nivel personalizado y en autenticación del usuario seleccionar Inicio de sesión automático sólo en la zona de intranet

No dio resultados

En Opciones de Internet, Seguridad, seleccionar la zona a la cual pertenece el sitio Web que alojan las fotos. Seleccionar nivel personalizado y en autenticación del usuario seleccionar Preguntar por el nombre de usuario y contraseñas

No dio resultados

Solución

La hipótesis planteada del problema de autenticación con el sitio Web de Photosynth, la cual fue reforzada luego de la realización de las pruebas anteriormente detalladas, llevó a buscar una manera de alterar los métodos de autenticación utilizados en el WebProxy por los clientes de la compañía.

Solución Preliminar
Como las reglas de acceso creadas en el ISA Server no hacen referencia a métodos de autenticación, se decidió modificar las reglas de autenticación del WebProxy dentro de la red Interna. Esto se realizó de la siguiente manera:

  • En la consola de configuración de ISA Server 2006, en el panel izquierdo expandir Configurations y luego seleccionar Networks.
  • Dentro del panel central seleccionar la red Internal y en el panel de tareas (derecha) seleccionar Edit Selected Network.
  • En la ventana emergente seleccionar la pestaña Web Proxy. En esta pestaña seleccionar el botón Authentication.

AutenticaciónImagen 2. Autenticación a nivel de Web Proxy.

Por defecto, la autenticación utilizada es integrada, lo que implica la integración con las cuentas de dominio. Considerando esto, se probaron varias combinaciones algunas combinaciones de autenticaciones, hasta llegar a una solución parcial.

Esta solución se consiguió al Deshabilitar la autenticación integrada y Habilitar la autenticación básica. Al configurar la autenticación del Web Proxy de esta forma, la autenticación ya no queda asociada con la cuenta de dominio y se pueden visualizar las fotos de Photosynth (que no requiere el ingreso de dichas credenciales) sin problemas. Sin embargo, esta solución presenta 2 inconvenientes principales:

a) Implicancias de seguridad. La autenticación básica maneja la información de autenticación (nombre de cuenta y contraseña) en texto plano. Considerando que la autenticación se realiza entre los equipos locales de la compañía y el ISA Server, las contraseñas quedan expuestas dentro de la red interna, lo que podría implicar un ataque de monitoreo de tráfico (sniffing) interno.Configuración de Logging para determinar la naturaleza del error.

b) Productividad e impacto en el uso diario. La implementación de la solución implica la aparición de un prompt solicitando nombre de usuario y contraseña cada vez que uno abra Internet Explorer, lo cual si no se recuerda la contraseña termina transformándose en una molestia para los usuarios, lo que podría generar una alta demanda a las mesas de ayuda.

Debido a estos dos factores fundamentales, se decidió buscar una alternativa definitiva al problema, que no impacte en la navegación de los usuarios y entregue las funcionalidades necesarias.

Solución definitiva

La solución preliminar, más todas las actividades anteriores lograron comprobar empíricamente la hipótesis inicialmente planteada. Con todos estos antecedentes, la solución definitiva apuntaba derechamente a buscar un método de permitir el acceso anónimo solamente al sitio Web de Photosynth.

Luego de una exhaustiva investigación, se encontró en el sitio Web de Technet un método para permitir el acceso anónimo a un conjunto de sitios en específico. La solución planteada en el sitio indica que para los sitios a los cuales se debe permitir el acceso anónimo se deben crear reglas de acceso y especificar que la regla debe aplicar a Todos los usuarios.

El siguiente paso fue crear en ISA Server un Set de URLs que hiciera referencia a los sitios Web que alojan a Photosynth. Para realizar esta actividad los pasos fueron los siguientes:

  • En la consola de administración de ISA Server 2006, seleccionar en el panel izquierdo Firewall Policy.
  • En el panel de tareas (Panel Derecho) seleccionar la viñeta Toolbox.
  • En el panel de Toolbox, hacer clic derecho en URL Sets y seleccionar New URL Set.
  • En la ventana emergente, colocar el nombre del Set (Photosynth), la descripción y seleccionar el botón Add.
  • En la ventana emergente, escribir http://*.vo.linwd.net
  • Seleccionar OK.
  • Seleccionar Apply para aplicar los cambios en el Firewall.

URL SetImagen 3. Creación de URL Set.

Luego de crear el URL Set, el siguiente paso fue crear la regla de acceso a los sitios de Photosynth. Para lograr esto se realizaron los siguientes pasos:

  • En la consola de administración de ISA Server 2006, seleccionar en el panel izquierdo Firewall Policy.
  • En el panel de tareas (Panel Derecho) en Tasks seleccionar Create Access Rule.
  • En la primera pantalla del asistente de nuevas reglas, seleccionar un nombre descriptivo para la regla (como Regla de Acceso Photosynth) y hacer clic en Next.
  • En la siguiente pantalla hacer seleccionar Allow y hacer clic en Next.
  • En la pantalla de protocolos seleccionar Add
  • En la pantalla emergente (Add Protocols) seleccionar Common Protocols y dentro de esto seleccionar HTTP (Opcional HTTPS). Hacer clic en Add, luego en Close.
  • Al volver a la pantalla de protocolos hacer clic en Next.
  • En la pantalla de Access Rules Source hacer clic en Add.
  • En la pantalla emergente (Add Networks Entities) expandir Networks y dentro de esto seleccionar Internal. Hacer clic en Add, luego en Close.
  • Al volver a la pantalla de fuentes hacer clic en Next.
  • En la pantalla de Access Rules Destinations hacer clic en Add.
  • En la pantalla emergente (Add Networks Entities) expandir URL Sets y dentro de esto seleccionar Photosynth. Hacer clic en Add, luego en Close.
  • Al volver a la pantalla de fuentes hacer clic en Next.
  • En la pestaña de Usuarios, asegurarse que sólo esté seleccionado All Users y hacer clic en Next.
  • Hacer clic en Finish.

Una vez creada la regla de acceso, lo único que resta por hacer es asegurarse que la nueva regla creada esté ordenada por sobre la regla de acceso Web creada en el ISA Server. Luego de aplicar los cambios, se comprobó el acceso al sitio al sitio que originaba el problema y se pudo comprobar que el mismo funciona correctamente. Luego de validar la solución con personal de seguridad de la compañía, se dio por finalizada la actividad.

Solución FinalImagen 4. Problemática Resuelta.

Read Full Post »