Terendo

A tutti gli MCP, attuali e futuri, un consiglio per la lettura:

http://www.microsoftkit.com/83-640-will-gradually-replace-70-640%ef%bc%9f%ef%bc%9f/

Francamente io trovo molto più semplice l’approccio pratico del nuovo 83-640 che non il classico esame da scimmia mnemonica.

Ho sempre saputo di avere amicizie influenti, ma non pensavo così tanto

Scrivo mentre assisto in diretta alla roundtable di Domande e Risposte dell’evento Security, gli speakers stanno rispondondendo a numerose domande, non c’è battaglia: i vincitori assoluti per numero di domande, interesse e quasi accanimento sono UAG e TMG. La cosa mi rende immensamente felice, anche perché sono stati, colpevolmente o meno, terribilmente sottovalutati e ignorati dalla casa madre. Gli utenti hanno mandato, e mandano tuttora, un chiaro messaggio d’interesse e necessità che spero sia stato finalmente recepito da Microsoft.

Grandiosi tutti gli speaker per la meravigliosa sessione Q&A, grazie. Purtroppo non è stata registrata, peggior per voi

Qualcuno vicino a casa vostra?

http://www.microsoft.com/virtualization/en/us/virtualization-summit.aspx

E se la Apple facesse Paint? Semplicemente grandioso

Come sappiamo TMG supporta tre modalità di accesso client:

• Secure NAT
• Proxy Client
• Firewall Client

Da un punto di vista pratico le varie modalità di accesso differiscono per compatibilità, requisiti minimi e granularità di autenticazione.

Il Secure NAT si ha quando il client ha come default gateway il server TMG; per il Proxy client è sufficiente impostare il server TMG come proxy server nel relativo client.

Il Firewall Client prevere, appunto,  l’installazione di un piccolo software client che si preoccuperà di autenticarsi presso il server TMG e permetterà di gestire in modo granulare i filtri applicativi.

Le modalità supportate per il deployment del client sono, oltre all’installazione manuale o unattended, le seguenti:

• Logon Script
• Group Policy
• System Center Configuration Manager

I file d’installazione si trovano nella cartella client all’interno del DVD di TMG.

Ho provato a installare la stampante ma il computer non vede la periferica; ho provato a girare lo schermo verso la stampante ma continua a non vederla.

Una volta installato il Firewall Client sarà necessario fornirgli il server TMG di appartenenza; è possibile impostarlo a mano o utilizzare la funzione di Auto Discovery.

La novità più interessante è la possibilità di memorizzare l’indirizzo del server TMG in Active Directory, per farlo si utilizza l’Auto Discovery Configuration Tool liberamente scaricabile dal sito Microsoft a questo indirizzo: http://www.microsoft.com/downloads/details.aspx?FamilyID=8809cfda-2ee1-4e67-b993-6f9a20e08607&DisplayLang=en

Una volta installato sarà possibile creare il relativo marker in Active Directory, nel caso seguente per il server tmg.contoso.com

TmgAdConfig.exe add -default -type winsock -url http://tmg.contoso.com:8080/wspad.dat

Forefront TMG Auto-Discovery Configuration Tool
New Winsock default marker successfully registered.

Il parametro list consentirà di verificare l’esito del comando.

TmgAdConfig.exe list

Forefront TMG Auto-Discovery Configuration Tool

+++ Default markers:
====================
Type URL
====================
Winsock Proxy http://tmg.contoso.com:8080/wspad.dat

+++ Site markers:
=================
No markers found

Approfondimenti

About firewall client computers:
http://technet.microsoft.com/en-us/library/dd897009.aspx
Installing Forefront TMG Client software:
http://technet.microsoft.com/en-us/library/cc441520.aspx
Configuring application settings for Forefront TMG Clients:
http://technet.microsoft.com/en-us/library/ee658144.aspx

Devo ammetterlo: ho un debole per la funzionalità di HTTPS Inspection di TMG 2010. E’ forse il tipo di inspection più controverso, sia dal punto di vista tecnico (e vederemo il perché) sia dal punto di vista etico/morale/legale. Per quanto riguarda quest’ultimo, che riguarda per la maggior parte il controllo sul traffico di computer aziendali all’interno di rete aziendali, ci sono dei compromessi che possono mitigare il livello d’invasione della privacy ma che richiedono comunque un livello di fiducia da parte dell’utente.

Ma veniamo a noi, perché mi piace così tanto l’HTTPS Inspection? Negli ultimi tempi stiamo assistendo a un incredibile proliferare di connessioni che utilizzano il protocollo HTTP come sistema principale di comunicazione, anche per sistemi che non sembrerebbero portati per viaggiare su un sistema che, ricordiamolo, usa una connessione TCP. Moltissimi sistemi di VPN utilizzano SSL come protocollo (tra cui Microsoft IAG e il suo successore UAG), Exchange consente la lettura della posta servendosi di un RPC over HTTPS, alcuni noti serizi di telefonia usano il VoIP over HTTPS, e così via discorrendo. Il montivo è molto semplice: le connessioni HTTP e HTTPS in uscita sono consentite dalla stragrande maggioranza dei firewall; in aggiunta il contenuto del traffico HTTPS non è ispezionabile.

Per chi di voi non avesse familiarità col funzionamento di HTTPS posso dire in due parole che è un sistema, basato sulla combinazione di HTTP e SSL/TLS che utilizza la crittografia assimetrica per scambiare una chiave simmetrica; il tutto per evitare che un eventuale man-in-the-middle (qualcuno che intercetta la comunicazione) possa avere accesso alle informazioni scambiate tra client e server.

Per avviare una sessione SSL/TLS il server manda al client la sua chiave pubblica, il client genera una chiave di sessione simmetrica e la cripta con la chiave pubblica del server, il server riceve e decripta la chiave simmetrica con la sua chiave privata; una volta scambiata la chiave simmetrica il Client e il Server usano questa per criptare e decriptare i messaggi. Poich é solo il Client e il Server conoscono la chiave simmetrica TMG non potrà ispezionare il traffico ed al suo interno potrebbe essere incapsulato qualsiasi tipo di informazione, da download P2P a virus ad attacchi verso il sistema.

Per fare l’Inspection di una sessione HTTPS Microsoft TMG 2010 spezza di fatto la comunicazione in due sessioni: la prima viene stabilita tra TMG e il Web Server utilizzando la chiave pubblica del Web Server per criptare e scambiare la chiave simmetrica generata da TMG; a questo punto TMG rilascia, tramite la HTTPS Inspection Trusted Root CA Certificate Deployment, un certificato digitale con gli attributi di quello inviatogli dal Web Server, invia la sua chiave pubblica al Client che la userà per criptare e inviare a TMG la chiave simmetrica da lui generata. In questo modo TMG può ispezionare il traffico come una normale sessione HTTP, applicando content filters, scansione antimalware, Intrusion Prevention System, ecc.

Quanto TMG inizia la sessione HTTPS verso il Web Server per prima cosa controlla che il certificato del server sia rilasciato da una Trusted Certification Authority, che il certificato non sia scaduto o non ancora valido, che sia per il sito indicato e che non sia all’interno di una Revocation List; è possibile configurare quali controlli escludere e il livello di tolleranza per i certificati scaduti. In caso uno solo di questi controlli dovesse fallire la sessione non verrà stabilita. Per questi motivi non è possibile accedere a siti che utilizzano un certificato Self’-Signed quando HTTPS Inspection è abilitata, per ovviare al problema è possibile inserire questi siti tra le Destination Exceptions.

Tuttavia, perché il processo funzioni in modo trasparente, è necessario che tutti i computer client abbiano installata la HTTPS Inspection Trusted Root CA tra le Trusted Certification Authorities; in caso di TMG all’intendo di Active Directory questo è estremamente semplice grazie all’apposita funzione nel pannello di gestione di HTTPS Inspection.

In caso di TMG fuori dominio sarà necessario esportare il certificato della CA e distribuirlo nella Trusted Root CA con, ad esempio, una Grop Policy adeguata o, più semplicemente, inserire manualmente il certificato.

E’ possibile e auspicabile notificare l’utente dell’ispezione, questa opzione è configurabile dal Tab Client Notification e per poter essere visualizzata è necessario che il computer abbia installato il client di TMG.

Sempre nella configurazione della HTTPS Inspection è possibile selezionare quali gruppi di utenti o quali siti siano esclusi dal controllo.

E’ importante notare che tra le Destination Exceptions sia possibile inserire delle categorie di siti, sarebbe ad esempio adeguato escludere dalla HTTPS Inspection le categorie Finantial e Health in modo che le sessioni destinate a siti con dati sicuramente sensibili come quelli di istituti bancari o di servizi ospedalieri non vengano presi in considerazione per l’Inspection.

Vi ho chiamato per dirvi che fuori nevica. Sì, nevica. Come una volta. Siate felici per questa neve, perché domani sarà di nuovo tutto fango. Buon Natale a tutti!

A est di Bucarest

Generalmente si ha la tendenza a credere che, quando un uomo è al massimo della propria degradazione… sì, quando il dolore… non ti risponde più, e non sei neanche più capace di piangere… dicevo, si ha la tendenza a credere che solo una grossa rivoluzione, un cambiamento totale… sì, ‘il grande rimedio’, sia l’unica possibilità di uscire dalla crisi. In realtà la natura umana forse è meno esigente. A volte basta un piccolo segnale, un suono, un odore, un presagio… a ridarti un barlume di vita.

da Il grigio, Giorgio Gaber e Sandro Luporini

Ci si vede la?

http://www.dotnetcampus.it