Більшість сказаного нижче однаково ставиться як до TMG ( Threat Management Gateway 2010), так і ISA 2006.

Багато чого в цих мікрософтівських творах можна зрозуміти, багато чого побачити і розібратися, дивлячись на графічний інтерфейсАле деякі речі потрібно просто знати, інакше нічого не заробить.

Ресурсів для ТМГ, як і для будь-якого продукту мікрософт, потрібно дуже багато. ЦПУ – не менше 4 ядер, більше-краще, (гіпертрейдинг) HT – вітається, ОЗП – не менше 4 Гб, у навантажених конфігураціях (до 12 000 клієнтів) потрібно до 12 Гб. (_http://technet.microsoft.com/ru-ua/library/ff382651.aspx). Зокрема, на TMG 2010, до якого підключено 1 клієнт, який не звертається в даний момент до інтернету, монітор продуктивності показав завантаження 2 ЦПУ = 1 ... 5%, ОЗУ = 2.37 Гб.

Сервер TMG підтримує 3 способи роботи через нього:
- Клієнт TMG - спеціальна програмавстановлюється на ПК (годиться клієнт від ISA 2006);
- Клієнт Web-proxy - налаштування клієнтської програми для роботи через проксі;
— Клієнт SecureNat — у властивостях TCP/IP як стандартний шлюз вказаний сервер TMG.

Управління доступом на основі облікових записів (AD або TMG 2010) можливе або з використанням Клієнта TMG або клієнтом Web-proxy. Останнє означає, що жодного спеціального клієнтана ПК не ставиться, а клієнтська програма вміє працювати через проксі-сервер і на ньому налаштовані як proxy-сервер адресу та порт сервера TMG. Клієнт SecureNat авторизацію не підтримує.

Правила доступу на сервер TMG перевіряються послідовно згори донизу. Як тільки запит клієнта підійшов під одне з правил (за трьома полями: Protocol, From, To), так перегляд правил припиняється, тобто. решта — ігноруються. І якщо запит не задовольняє полю Condition цьогоправила, доступ клієнту не надається, незважаючи на те, що слідом може йти правило, що дозволяє такий доступ.

Приклад. Користувач із встановленим клієнтом ТМГ і стандартним шлюзом, налаштованим на сервер ТМГ запускає програму Outlook 2010. Обліковий запис цього користувача входить до групи безпеки AD-Internet.

Правило 3 дозволяє весь вихідний трафік для користувачів, які входять до групи AD-Internet. Але програма Outlook не зможе зв'язатися із зовнішнім поштовим сервером, тому що з налаштуваннями за замовчуваннямКлієнт ТМГ НЕ перехоплює запити Outlook, а клієнт SecureNat не вміє авторизуватися і не зможе довести серверу TMG, що його користувач входить до групи AD-Internet. Проте, поштовий протокол підпадає під визначення "All Outbound Traffic", а напрям "From: Internal, To: External" відповідає запиту клієнта, і тому обробка правил припиняється саме на правилі №3.

Якщо правила 3 ​​і 4 переставити місцями, то Outlook працюватиме, тому що правило 4 не вимагає авторизації. Інший спосіб – у правилі 3 (не переміщуючи його) обмежити список протоколів, наприклад залишити лише HTTP та FTP. Тоді запит від Outlook не “зачепиться” за правило 3 і перевірка дійде до правила 4, яким клієнт отримає доступ.

Є ще спосіб пробитися через правила рис.1. Повернемося до згаданих вище налаштувань за умовчанням. Клієнт ТМГ не перехоплює запити Outlook тому, що у налаштуваннях додатків (Application Settings) клієнт ТМГ вимкнено.

У лівому дереві консолі управління Forefront TMG вузол Networking, в середній частині закладка Networks, мережа Internal, на правій панелі закладка Tasks, пункт Configure Forefront TMG Client Settings. (На ISA 2006: Configuration - General - Define Firewall Client Settings.)

Якщо змінити тут значення з 1 на 0, Outlook працюватиме через ТМГ за правилом доступу №3, наведеному на рис. 1.

А зараз питанняна засипку: чому конфігурації Рис.1 не ходять пінги?

Відповідь. Ping відповідає за параметрами (Protocol, From, To) правилу №3, тому перегляд правил доступу припиняється саме на правилі №3. Але Ping не вміє авторизуватись, тому для нього доступ заборонено. Можна, наприклад, над правилом №3 зробити окреме правило:

Протокол = PING
From = Internal або All Networks
To = External
Users = All Users

Як підключити аудитора (чужинця) до Інтернету

Передбачається, що в аудитора свій ноут і його в свій домен не вводитимемо.

Спосіб 1 . Задати IP-адресу з дозволеного діапазону (потрібні права адміністратора на його ПК).

Спосіб 2 . У браузері вказати Проксі: IP-адресу та порт свого ТМГ. Попередньо на ТМГ зробити локальну облік і дати її аудитору. Оптичіть Basic у варіантах авторизації.

Параметри адаптерів

(У триланковій архітектурі):

			повинен бути
	внутрішній сервер
Register this connection’s address in DNS
NetBIOS over TCP/IP
Client for Microsoft Network
File and Print Sharing for Microsoft Networks
Show icon in notification area when connected

Int- Внутрішній (дивиться в локальну мережу), Per- Мережа периметра (вона ж DMZ), Ext(Зовнішній, підключений до інтернету безпосередньо або через інше обладнання).

Зверніть увагу: Відключення 'File and Print Sharing for Microsoft Networks' на внутрішньому інтерфейсі ISA сервера не дозволить підключатися до спільним папкам(кулях) цього ISA сервера, незалежно від системної політики чи якихось інших правил доступу. Це рекомендується кращої безпеки, т.к. загальним папкам зовсім не місце на фаєрволі.

Порядок з'єднань(у вікні Network Connections меню Advanced — Advanced Settings — вкладка Adapters and Bindings):
- Int,
- Per,
- Ext.

Published on Лютий 13, 2009 by · Один коментар

Якщо ви ще не чули, то ISA Firewall поступово виходить із виробництва. Останньою версією ISA Firewall буде версія ISA 2006. Однак це не означає, що ISA, яке ми полюбили за кілька років його використання, зовсім перестане існувати. Хоча бренд ISA потрапить у кошик для сміття, ми побачимо наступну версію ISA Firewall з новою назвою: Forefront Threat Management Gateway (шлюз управління зовнішніми загрозами).

Існує кілька причин, через які назва ISA виходить із вживання. Але, ймовірно, основна причина полягає в тому, що громадськості, здається, не вдавалося з'ясувати назви, що являє собою ISA Firewall. Деякі вважали, що це був просто веб-проксі-сервер (у дусі Proxy 2.0), інші думали, що це черговий брандмауер, треті вважали його за VPN сервер, четверті вважали, що це якийсь Франкенштейн або взагалі не розуміли нічого. Нова назва має звернути на Forefront TMG більше уваги, і, як сподіваються у компанії, дозволить людям зрозуміти основне завдання цього продукту.

У цій статті я розповім вам про процес встановлення. Однак, перш ніж встановлювати TMG, вам потрібно знати наступне:

• TMG працюватиме лише на 64-розрядній Windows Server 2008. Після випуску RTM версії, з'явиться 32-розрядна демо-версія TMG, але не буде ніяких бета-версій для 32-розрядної Windows
• TMG вимагає як мінімум 1 GB пам'яті (можливо, вона працюватиме і з меншим об'ємом пам'яті, але дуже повільно)
• 150 MB вільного місця на диску
• за Крайній міріодну мережеву карту (хоча я завжди рекомендував два або більше мережевих адаптерів для забезпечення більшої надійності)
• Вам потрібно встановити стандартну папкуна диск C:
• TMG встановить IIS 7 на вашу машину, щоб підтримувати служби звітів SQL. Якщо ви видалите TMG з машини, II7 не буде видалено автоматично, тому вам доведеться робити це вручну
• Служби та файли драйверів для TMG встановлюються в інсталяційну папку TMG
• Для версії beta 1 TMG машина TMG повинна входити до складу домену. У наступних бета версіях підтримуватимуться машини, що не належать до доменів.

У цій серії статей (ми повинні вкластися в дві частини) я встановлюю TMG на машину Windows Server 2008 Enterprise, яка працює як віртуальна машина (VM) на VMware Virtual Server 1.0. VM має два інтерфейси: один інтерфейс підключений через міст до зовнішньої мережі та працюватиме як зовнішній інтерфейс, а другий інтерфейс розташований на VMNet2, яка буде інтерфейсом внутрішньої мережі за умовчанням. Зверніть увагу, що модель побудови мережі для TMG не змінилася порівняно з конфігурацією ISA Firewall.

TMG є одним із елементів ПЗ, включених до колекції продуктів Forefront Stirling. Ви можете скачати їх усі або тільки TMG. TMG буде відмінно працювати без Stirling, але Stirling - це безумовно те, про що ви захочете дізнатися в майбутньому.

Двічі натисніть на файл, який ви завантажили. У вас відкриється вітальна сторінка Ласкаво просимо до майстрів установки Forefront Threat Management Gateway. Натисніть Далі.

Малюнок 1

Встановіть файли в місце за промовчанням, яким буде . Натисніть Далі.

Малюнок 2

Файли будуть вилучені до цієї папки.

Малюнок 3

Натисніть Завершитиколи процес вилучення закінчиться.

Малюнок 4

Перейдіть до папки C:\Program Files (x86)\Microsoft ISA Serverта двічі натисніть на файлі ISAAutorun.exe.

Малюнок 5

У вас відкриється діалогове вікно Microsoft Forefront TMG 270-Day Evaluation Setup. Натисніть на посилання Встановити Forefront TMG.

Малюнок 6

Це викличе вітальне вікномайстри установки Welcome to the Installation Wizard for Microsoft Forefront Threat Management Gateway. Натисніть Далі.

Малюнок 7

На сторінці Ліцензійну угодувиберіть опцію Я приймаю умови ліцензійної угодита натисніть Далі. Зверніть увагу на те, що ліцензійна угода все ще містить стару кодову назву продукту Nitrogen.

Малюнок 8

На сторінці Інформація споживачавведіть ваше Ім'я користувачаі Організації. Серійний номер продуктубуде вже запроваджено за вас. Натисніть Далі.

Малюнок 9

Тут ми зустрічаємо нову опцію установки, яка не була доступна у попередніх версіях продукту. На сторінці Сценарії установкиу вас є можливість встановити Forefront TMG або лише консоль управління TMG. У цьому прикладі ми будемо встановлювати продукт повністю, тому виберемо Встановити Forefront Threat Management Gatewayі натиснемо Далі.

Малюнок 10

На сторінці Вибір компонентіву вас є можливість встановити програмне забезпеченнябрандмауера TMG, консоль управління TMG, та CSS. Так, ви здогадалися. Більше немає версій Standardта Enterprise брандмауера ISA. TMG буде продаватися як єдине видання, і це єдине видання використовує CSS, навіть якщо у вас є масив ТMG тільки з одним членом. Однак ви зможете створювати масиви, використовуючи TMG, але ця функція недоступна в бета-версії TMG і буде доступна тільки в наступних бета-версіях.

У даному прикладіми встановимо всі компоненти в стандартну папку. Натисніть Далі.

Малюнок 11

Схоже, що у мене виникла проблема. Хоча машина і входить до домену, я забув увійти під ім'ям користувача, який належить домену. Щоб встановити TMG, ви повинні увійти під ім'ям користувача, який має права локального адміністратора на машині TMG.

Малюнок 12

Здається мені доведеться перезапускати установку. Ми продовжимо з того місця, на якому зупинилися, після того, як вийду з системи, знову зайду під потрібним обліковим записом і перезапустити процес установки.

Малюнок 13

Тепер, коли я увійшов під ім'ям користувача домену з правами локального адміністратора, ми продовжимо процес встановлення зі сторінки Внутрішня мережа. Якщо ви встановлювали ISA Firewall, ви дізнаєтеся про цю сторінку, оскільки вона схожа на ту, що використовувалася в попередніх версіях ISA Firewall. Тут ви вказуєте внутрішню мережу за промовчанням. У більшості випадків вам потрібно вибрати опцію Додати адаптероскільки це визначить вашу стандартну внутрішню мережу на основі таблиці маршрутизації, налаштованої на ISA Firewall. Однак я не знаю, якщо змінити конфігурацію таблиці маршрутизації на ISA Firewall, чи автоматично зміниться визначення стандартної внутрішньої мережі. Ставлю 25 доларів, що ні, але краще ми перевіримо це в майбутньому.

Малюнок 14

Сторінка Внутрішня мережапоказує визначення внутрішньої мережі за промовчанням. Натисніть Далі.

Малюнок 15

Сторінка Попередження службиінформує вас про те, що Служба SNMP, Служба адміністрування IIS, Служба публікації World Wide Web Publishing Serviceі Служба Microsoft Operations Managerбуде перезапущено під час процесу встановлення. Швидше за все, ви ще не встановили роль веб-сервера на цю машину, тому вам немає потреби турбуватися про службах IIS Admin Service та World Wide Web Publishing Service, але ви повинні бути в курсі перезапуску служб SNMP та Microsoft Operation Manager Service. Пам'ятайте, TMG встановить та налаштує IIS 7 за вас.

Малюнок 16

Натисніть Встановитина сторінці Майстер готовий встановити програму.

Малюнок 17

Рядок прогресу відображатиме статус установки. Тут видно, як встановлюється CSS.

Малюнок 18

Вийшло! Сторінка Робота майстра установки завершенапоказує, що процес встановлення успішно завершено. Ставте прапорець навпроти рядка Запустити Forefront TMG Management після завершення інсталяції. Натисніть Завершити.

Малюнок 19

на даному етапіви побачите веб сторінку Захистити сервер Forefront TMG. Тут вам надана інформація про включення Microsoft Update, запуску ISA BPA, та читанні розділу Захист та безпекафайлу допомоги. Поки що я можу сказати про файл допомоги одне, виробники проробили відмінну роботущодо оновлення його змісту. Він містить набагато більше інформації, причому інформації, набагато більше наближеної до реальних умов установки, включеної до нового удосконаленого файлу допомоги. Я рекомендую вам витратити деякий час на його прочитання. Я гарантую вам, що якщо ви є досвідченим адміністратором ISA Firewall, файл допомоги TMG дасть вам багато нового.

Малюнок 20

Після завершення первинної установки у вас відкриється новий майстер Getting Started Wizard. Майстер Getting Started Wizard є новим компонентом, який представлений лише для TMG та був відсутній у попередніх версіях ISA Firewall. Він включає три базові майстри, і необов'язкового четвертого, якого ми розглянемо після того, як розберемося з першими трьома.

Перший майстер – це Майстер параметрів мережі. Перейдіть за посиланням Налаштувати параметри мережіна сторінці Getting Started Wizard.

Малюнок 21

На сторінці Ласкаво просимо до майстрів налаштування мережінатисніть Далі.

Малюнок 22

На сторінці Вибір мережевих шаблонівВиберіть мережний шаблон, який Ви бажаєте застосувати до TMG. Це ті самі мережеві шаблони, які використовувалися на попередніх версіях ISA Firewall. Натисніть на кожній опції та прочитайте інформацію, показану в нижній частині сторінки.

У цьому прикладі ми будемо використовувати вподобаний шаблон, яким є шаблон Edge firewall. Натисніть Далі.

Малюнок 23

На сторінці Установки локальної мережі (LAN)Ви можете налаштувати інформацію IP адресації для інтерфейсу локальної мережі. Спочатку ви вибираєте NIC (мережева карта), яку ви хочете зробити інтерфейсом LAN на ISA Firewall шляхом натискання в навігаційне менюна рядок Мережевий адаптер, підключений до LAN. Інформація IP-адресації для цього NIC з'явиться автоматично. Тут можна змінювати інформацію IP адресації. Ви також можете створити додаткові статичні маршрути, натиснувши кнопку Додати.

Я правда не знаю, які зміни на цій станиці будуть відповідними для визначення внутрішньої мережі за умовчанням. Припустимо, я вирішив налаштувати стандартну внутрішню мережу на 10.0.0.0-10.0.0.255, а потім вирішив змінити IP-адресу на внутрішньому інтерфейсі на цій сторінці з тим, щоб він опинився на іншому мережевому ID. Чи зміниться внутрішня мережа за замовчуванням? Що якщо я додам статичний маршрут на внутрішньому інтерфейсі TMG? Чи буде ця зміна відображена у визначенні внутрішньої мережі за промовчанням? Я не знаю, але маю намір провести деякі дослідження в майбутньому.

Я не вноситиму жодних змін на цій сторінці, оскільки я вже налаштував внутрішній інтерфейста необхідну інформацію IP адресації. Натисніть Далі.

Малюнок 24

На сторінці Параметри ІнтернетуВи можете налаштувати інформацію IP адресації для зовнішнього інтерфейсу TMG Firewall. Як і на попередній сторінці, ви вибираєте NIC, яку ви хочете зробити зовнішнім інтерфейсом, вибравши рядок у навігаційному меню Мережевий адаптер, підключений до Інтернету. Ви також можете змінити інформацію IP адресації. Бо я вже налаштував зовнішній інтерфейста інформацію IP адрес, то не вноситиму тут жодних змін. Тиснемо Далі.

Малюнок 25

На сторінці Завершення роботи майстра налаштування мережіпоказані результати внесених змін. Натисніть Завершити.

Малюнок 26

Ви опинитеся назад на сторінці Getting Started Wizard. Наступний майстер – це Майстер налаштування параметрів системи. Перейдіть за посиланням Налаштувати параметри системи.

Малюнок 27

Малюнок 28

На сторінці Ідентифікація хоставам буде поставлено питання про ім'я хоста та доменну приналежність брандмауера TMG. У цьому прикладі майстер автоматично визначив ім'я хоста машини, яким є TMG2009. Майстер також визначив приналежність доменної машини. Вважаю, що цей майстер дозволить вам приєднатися до домену, якщо ви ще не зробили цього, або залишити домен, якщо ви забажаєте. Також, якщо машина належить робочій групі, у вас буде можливість ввести первинний суфікс DNS, який ISA Firewall зможе використовувати для реєстрації вашого домену DNS, якщо у вас активований DDNS і вам не потрібні надійні оновлення DDNS.

Оскільки я вже налаштував цю машину як член домену, мені не потрібно вносити жодних змін на цій сторінці. Натискаємо Далі.

Малюнок 29

На цьому робота з Майстром конфігурації системизакінчено. Тиснемо Завершитина сторінці завершення роботи майстра Completing the System Configuration Wizard.

Малюнок 30

У нас залишився ще один майстер на сторінці Getting Started Wizard. Перейдіть за посиланням Визначити опції встановлення.

Малюнок 31

Малюнок 32

На сторінці Налаштування Microsoft Updateу вас є опції Використовувати службу Microsoft Update для пошуку оновленьі Я не хочу використовувати службу Microsoft Update Service. Зверніть увагу на те, що TMG використовує службу Microsoft Update не тільки для оновлення ОС і програмного забезпечення брандмауера TMG, але і для перевірки наявності шкідливого програмного забезпечення, причому робить він це кілька разів на день (за замовчуванням, кожні 15 хвилин). Оскільки однією з основних переваг використання брандмауера Microsoft перед іншими брандмауерами є його відмінна функція автоматичного оновлення, то ми продовжимо і будемо використовувати сайт Microsoft Update. Натискаємо Далі.

Малюнок 33

На сторінці Визначення параметрів оновленняви вказуєте, чи ви хочете, щоб брандмауер TMG шукав та встановлював, просто шукавабо не робив нічогодля поновлення огляду на шкідливе ПЗ. Ви також можете встановлювати частоту огляду, яка за замовчуванням має значення, кожне 15 хвилин. Але ви можете встановити значення завантаження оновлень щодня, а потім налаштувати час дня, коли ці оновлення встановлюватимуться. Натисніть Далі.

Малюнок 34

На сторінці Зворотній зв'язокзі споживачемможна вказати, чи хочете ви надати анонімну інформацію компанії Microsoft про конфігурацію вашого обладнання та використання продукту. Ніяка інформація, передана Microsoft, не може бути використана для визначення вашої особи, а також жодна особиста інформація не надсилається компанії Microsoft. Вважаю, що мені потрібно вказати своє ім'я, дату народження, номер соціального страхування, ліцензійний номердрайвера та адресу свого банку, а компанії Microsoft я довіряю набагато більше, ніж своєму банку, якщо врахувати вимоги до банків передавати інформацію федеральному уряду. Тому передача цієї технічної інформаціїКомпанія Microsoft не становить жодної небезпеки, і допомагає їй створювати свою продукцію більш стабільною та надійною. Виберіть опцію Так, я хочу анонімно брати участь у програмі Customer Experience Improvement (рекомендується).

Малюнок 35

На сторінці Служба телеметрії MicrosoftВи можете налаштувати рівень належності до служби телеметрії Microsoft. Служба Microsoft Telemetry допомагає захиститися від зловмисного програмного забезпечення та несанкціонованого доступу шляхом надання компанії інформації про потенційні атаки, яку компанія Microsoft використовує, щоб допомогти визначити тип атаки та покращити точність та ефективність зниження загроз. В деяких випадках особиста інформація може бути необережною надіслана Microsoft, однак компанія не буде використовувати цю інформацію, щоб визначити вашу особу або зв'язатися з вами. Важко визначити, яка саме особиста інформація може бути надіслана, але оскільки звик довіряти компанії Microsoft, я оберу опцію Приєднатися до підвищеним рівнемприладдя. Натискаємо Далі.

Малюнок 36

На сторінці Завершення роботи майстра установкипоказані вибрані параметри. Натискаємо Завершити.

Малюнок 37

От і все! Ми закінчили роботу з майстром Getting Started Wizard. Але це не означає, що все закінчено. Якщо ви позначите опцію Запустити майстри веб-доступу, то відчиниться вікно цього майстра. Давайте відзначимо цю опцію та подивимося, що станеться.

Малюнок 38

У нас відкриється вітальне вікно майстра Welcome to the Web Access Policy Wizard. Оскільки це новий спосібстворення політики брандмауера TMG, гадаю, ми зачекаємо до наступної частини, щоб докладно розглянути цього майстра. Здається, TMG дозволить вам налаштовувати політику веб-доступу трохи інакше, ніж у попередніх версіях ISA Firewall, тому ми присвятимо цьому наступну частину.

Малюнок 39

Тепер, коли установку завершено, у нас з'явилася нова консоль. Якщо ви подивіться на ліву панельконсолі, то побачите, що в ній відсутні вкладки, що трохи полегшує процес навігації. Також ми бачимо нову вкладку Центр оновлень. Звідси ви можете отримати інформацію про оновлення служби захисту проти шкідливого програмного забезпечення TMG, і дізнатися, коли встановлювалися ці оновлення.

Малюнок 40

Після завершення процесу встановлення я виявив, що були деякі помилки. Але це, мабуть, пов'язане з тим, що TMG взагалі не працював після встановлення. Я зміг вирішити цю проблему шляхом перезавантаження комп'ютера. Я не впевнений, було це пов'язано з тим, що брандмауер TMG встановлювався на віртуальний сервер VMware, або з тим, що це бета версія.

Малюнок 41

Звертаючи увагу на Первинні завдання налаштування, можна помітити, що кілька ролей і служб було встановлено на цей комп'ютер, як частина установки TMG. Сюди входять:

Резюме

У цій статті ми розглянули процес встановлення брандмауера TMG. Тут були деякі зміни, порівняно з попередніми версіями ISA Firewall, але нічого надприродного. Це нормально, установка – це не той процес, від якого чекаєш чогось дивовижного. Ми бачили кілька чудових покращень у процесі установки, які надають додаткової гнучкості під час налаштування.

Якщо ви витратите ще трохи часу на розгляд брандмауера TMG після встановлення, і не знайдете жодної риси, яку очікували знайти, не варто турбуватися. Це дуже рання бета версія, і я вважаю, що вона далека від завершення. Я знаю, що були запити на дюжини інших характеристик, коли була випущена версія ISA 2000. Хоча іноді перші враження тривалі, я не хочу бути причиною вашого першого враження від TMG. Пам'ятайте, що це лише перша бета версія, тому слід очікувати безлічі нових параметрів і характеристик у майбутньому, які можуть зробити вас щасливими. Дякую!

Коректно налаштований Forefront TMG, запущений на останній версії безпечно настроєної мережевої ОС Windows, є безпечним та надійним міжмережевим екраномта безпечним web-шлюзом. Загальний рівень безпеки рішення може бути покращений за допомогою порад, викладених у цій статті.

Вступ

Історично склалася думка, що міжмережевий екран, що входить до складу ОС загального призначення, наприклад Microsoft Windows, не може бути безпечним. Однак, ця думка була успішно спростована завдяки SDL (Security Development Lifecycle), добре описаним процесом сповіщення про вразливість та управління оновленнями безпеки, а також довгим послужним списком безпеки та надійності Microsoft ISA Server та Forefront Threat Management Gateway (TMG). Міжмережевий екран Forefront TMG, який працює на базі Windows Server 2008 R2, сьогодні, мабуть, надійніший з точки зору безпеки, ніж багато його конкурентів.

За допомогою порад щодо налаштування TMG можна суттєво підвищити загальний стан безпеки системи та зменшити простір атаки, що, у свою чергу, гарантує найвищий рівень безпеки TMG. При створенні політики управління для TMG, найкраще забезпечити дотримання принципу найменших привілеїв. Нижче наведено список рекомендацій, які будуть корисними для реалізації цього принципу.

Обмежте членство в адміністративній ролі Forefront TMG рівня масиву- роль адміністратора TMG рівня масиву надає повні правана адміністрування масивом будь-якому користувачеві та/або групі користувачів, що входять до складу ролі. Після встановлення TMG на систему, ця роль за умовчанням призначається групі локальних адміністраторів Windows(А також користувачу, який встановив TMG).

Малюнок 1

Глобальна група адміністраторів домену зазвичай є членом групи локальних адміністраторів, а це означає, що члени цієї групи успадкують повні адміністративні привілеї над міжмережевим екраном TMG. Однак це не зовсім хороша ідея. Для оптимальної безпеки група локальних адміністраторів повинна бути видалена з ролі адміністратора Forefornt TMG рівня масиву. Члени цієї ролі мають бути визначені шляхом вказівки конкретних облікових записів Active Directoryзамість додавання до ролі груп. Чому індивідуальні облікові записи, а не групи? Тому що це дає адміністратору МСЕ TMG чіткий контроль над тим, хто має повний адміністративний доступ до МСЕ TMG. Використання конкретних облікових записів замість груп не дозволяє, наприклад, адміністратору домену додати обліковий запис користувача до глобальної групи домену, що входить до ролі адміністратора рівня масиву, і таким чином отримати контроль над TMG. Якщо все ж таки потрібно використовувати доменні групидля керування TMG, використовуйте групи з обмеженим доступом (http://technet.microsoft.com/ru-ua/library/cc785631(WS.10).aspx).

Обмежте членство в адміністративній ролі Forefront TMG рівня підприємства- адміністративна роль TMG рівня підприємства надає всім членам цієї ролі повний доступдо всього підприємства, включаючи всі масиви TMG усередині підприємства. Після встановлення TMG EMS вбудована група локальних адміністраторів за умовчанням стає членом ролі (а також користувач, який встановив програму).

Використовуйте окремі адміністративні облікові записи- Найкраще використовувати окремі облікові запису Active Directory для адміністрування МСЕ TMG. Не використовуйте ці облікові записи для адміністрування інших систем. Для цих облікових записів повинні бути встановлені жорсткі політики паролів, які передбачають використання довгих та складних паролів з коротким часом життя. Якщо домен працює на функціональному рівні Windows Server 2008, існує можливість увімкнення докладних політик паролів для автоматичного призначення необхідних політик (http://technet.microsoft.com/ru-ua/library/cc770394(WS.10).aspx).

Для керування TMG використовуйте окрему ізольовану робочу станцію- Налаштуйте окрему робочу станцію на керування МСЕ TMG. Встановіть адміністративну консоль на цю машину та видалено керуйте МСЕ TMG. Здійснюйте вхід на цю машину лише з окремою облікового записуадміністратора TMG. Локальні політикибезпеки повинні обмежувати вхід на цю систему для інших облікових записів. Ця робоча станція повинна бути добре захищена, недоступна для віддалених користувачів та відключена від Інтернету. Переважно використовувати багатофакторну аутентифікацію (смарткарту або токен) для доступу до цієї системи.

Обмежте членство для об'єкта мережі віддаленого керуваннякомп'ютерами- Обмеження кількості членів мережного об'єкта віддаленого керування комп'ютерами є основним методом зменшення місця атаки на МСЕ TMG. За замовчуванням хости, що входять до складу об'єкта віддаленого керування комп'ютерами, мають доступ до багатьох служб, запущених на МСЕ TMG, включаючи RDP, NetBIOS, RPC, Ping та інші. Надання доступу до цих служб створює рівень ризиків, який може бути значно знижений за рахунок обмеження доступу до цієї групи. В ідеальному варіанті, у цій групі буде лише виділена для завдань адміністрування робоча станція.

Обмежте доступ до мережі для агентів управління- Часто, МСЕ TMG вимагає встановлення системних агентів управління від Microsoft або сторонніх виробників. Уникайте створення політик доступу, які дозволяють агенту здійснювати підключення до цілої мережіабо підмережі. Політики МСЕ повинні дозволяти підключення агентів лише до необхідних хостів.

Заборони

Не використовуйте МСЕ TMG як робочу станцію- уникайте використання браузера на TMG для відвідування сайтів у мережі Інтернет, відвідування пошукових системабо завантаження виправлень та оновлень. Усі виправлення, а також необхідне програмне забезпечення повинні завантажуватися на звичайну робочу станцію (не на робочу станцію, яка використовується для керування TMG - для цього хоста має бути заборонено доступ до Інтернету!), на якій файли можуть бути проскановані перед їх завантаженням та встановленням на TMG.

Не використовуйте МСЕ TMG для виконання щоденних завдань- краще встановити консоль управління TMG на окрему робочу станцію, як написано вище, і максимально обмежити кількість локальних входів в систему МСЕ TMG.

Не встановлюйте на МСЕ TMG утиліти для адміністрування від стороннього виробника - багато компонентів для МСЕ TMG містять власне програмне забезпечення для управління, іноді з використанням HTTP сервера (наприклад, IIS, Apache та ін.). Подібне програмне забезпечення є проблемним, оскільки воно збільшує простір атаки на МСЕ TMG і привносить потенційно додаткові вектори атаки. Де можливо, не слід встановлювати програмне забезпечення для управління від стороннього виробника на сам МСЕ TMG. Це ПЗ має бути встановлене на окрему систему, переважно на робочу станцію для керування TMG.

Не створюйте загальнодоступні папки на МСЕ TMG- у попередніх версіях сервера ISA, після встановлення продукту на системі автоматично створювалася загальнодоступна папка для обміну даними з клієнтами МСЕ. Ця опція була видалена з продукту, як небезпечна. МСЕ TMG – це міжмережевий екран і тільки. Він ні за яких обставин не повинен використовуватися як файловий сервер. Якщо необхідно віддалений доступдо системи, наприклад для отримання текстових журналів, він повинен здійснюватися за допомогою утиліти для роботи з журналами від стороннього виробника, наприклад Epilog, ArcSight або Splunk.

Не встановлюйте інфраструктурні служби на МСЕ TMG- ніколи не встановлюйте на МСЕ TMG інфраструктурні служби, такі як DNS, DHCP, Центр сертифікації та ін. У більшості випадків подібна установка завершиться конфігурацією, яка не підтримується ee796231.aspx). Але навіть якщо конфігурація підтримується, наявність подібних служб на TMG збільшує простір атаки та привносить додаткові вектори атаки. Подібні служби вимагатимуть більшої кількостіоновлень порівняно з окремим TMG, що збільшить простої системи. Ці служби також вимагатимуть додаткові системні ресурси (процесорний час, пам'ять, мережа та дисковий простір) і можуть негативно вплинути на стабільність роботи системи та продуктивність міжмережевого екрану.

Висновок

Коректно налаштований Forefront TMG, запущений на останній версії безпечно настроєної мережевої ОС Windows, є безпечним та надійним міжмережевим екраном та безпечним web-шлюзом. Загальний рівень безпеки рішення може бути покращений за допомогою порад, викладених у цій статті. Дотримуючись принципу найменших привілеїв шляхом обмеження членства в адміністративних TMG ролях рівнів масиву та підприємства, використання окремих облікових записів на ізольованій робочій станції, обмеження членства в мережевому об'єкті віддаленого керування комп'ютерами, обмеження мережного доступудля агентів управління TMG дозволить зменшити простір атаки на МСЕ TMG. До того ж, відмова від практики небезпечного використання TMG як робочої станції для встановлення адміністративного програмного забезпечення від стороннього виробника, створення загальнодоступних папок або встановлення інфраструктурних служб надасть ще більшу захищеність.

Даний матеріал є практичним застосуваннямдвох конкретних технологій: Microsoft Hyper-V та Microsoft Forefront Threat Management Gateway, які пропонує компанія Microsoft.

Технічні дані.

У рамках проекту є ОДИН фізичний сервер із двома мережевими картами, що підтримує технологію віртуалізації. У рамках цієї статті необхідно вирішити задачу розгортання демілітаризованої зони (ДМЗ) у віртуальній мережі.

Перш ніж зробити установку всіх програмних продуктівнеобхідно прочитати правила ліцензування, які дозволять розрахувати вартість володіння програмним забезпеченням. Ліцензійна угода Microsoft регулярно оновлюється і завжди доступна на сайті Microsoft.

1 етап. Встановлення операційної системи на фізичний сервер.

Компанія Microsoft пропонує 2 варіанти віртуалізації:

1. З використанням гіпервізора Microsoft Hyper-V™ Server 2008 .
   
2. C використання ролі сервера Hyper-V у складі Microsoft Windows 2008 R2 Server.
   

У рамках цієї статті буде представлений варіант з використанням ролі сервера Hyper-V.

Використання гіпервізора Microsoft Hyper-V™ Server 2008.

Компанія Microsoft випустила продукт, який дозволяє фізичний сервер перетворити на сервер віртуальних машин без встановлення операційної системи (насправді операційна система встановлюється, але є спеціалізованою для віртуалізації). Продукт називається Microsoft Hyper-V Server.

Для його адміністрування необхідно використовувати оболонку Диспетчер Hyper-V, яку можна встановити в операційні системи Windows 7 та Windows Vista, або мати знання з використання оболонки Powershell.

Гіпервізор Microsoft Hyper-V Server 2008 забезпечує можливість використання технології віртуалізації БЕЗКОШТОВНО, але потребує спеціалізованих знань та навичок при обслуговуванні та використанні додаткового обладнаннянаприклад, стрічкових накопичувачів або систем зберігання даних.

Використання ролі сервера Hyper-V у складі Microsoft Windows 2008 R2 Server.

У рамках операційної системи Microsoft Windows 2008 R2 існує роль Hyper-V, яка дає можливість створення віртуальних машин. При цьому на фізичному сервері є можливість використання повноцінної операційної системи, яка надасть адміністраторам необхідну свободу дій.

Докладніше про встановлення гіпервізора Microsoft Hyper-V™ Server та ролі Hyper-V можна знайти на сайті www.microsoft.ru.

2 Етап. Управління віртуальною мережевою інфраструктурою.

Незважаючи на те, що сервер фізичний, існує можливість не призначати мережеві адреси на фізичні мережеві карти, що дозволить забезпечити безпеку фізичного сервера. Однак відсутність мережного підключеннядо локальної мережі виключає віддалене адміністрування сервера, де встановлено роль Hyper-V. Зазвичай для адміністрування сервера призначають IP-адресу доступу з внутрішньої мережі.

Призначати мережева адресана мережну карту, підключену до Інтернету не рекомендується, оскільки немає коштів на забезпечення повноцінної захисту фізичного сервера.

Найкраще налаштувати поточну мережну інфраструктуру на сервері віртуалізації. Оскільки аналізована мережна інфраструктура є триногової інфраструктури (Внутрішня – ДМЗ – Зовнішня), необхідно створити три мережі, дві з яких будуть фізично присвоєні до різних мережевим адаптерам, а третя буде віртуальної – для демілітаризованной зони. Це робиться через «Диспетчер віртуальної мережі», як показано малюнку 1.

У вікні «Диспетчер віртуальних мереж» вибираємо пункт «Створити віртуальну мережу». Вибираємо тип «Зовнішній» та натискаємо «Додати». Процес створення мережі подано на рис. 2.

У рамках створюваної інфраструктури нам необхідно створити 3 види мереж: дві зовнішні мережіз підключенням до різним адаптерам(підключення до внутрішньої мережі та підключення до провайдера) та одну приватну мережу з віртуальних машин (підключення серверів ДМЗ). У результаті отримаємо три мережі (рис.3.)

3 Етап. Створення віртуальних машин.

Під час створення віртуальних машин, що знаходяться в демілітаризованій зоні, необхідно вказати створений адаптер Virtual DMZ. Основним шлюзом (default gateway) буде сервер Microsoft Forefront Threat Management Gateway. Конфігурацію та обсяг жорстких дисків вибирають з завдань, покладених на сервера.

Для створення віртуальної машини необхідно натиснути правою кнопкою на сервері Hyper-V, вибрати пункт «Створити – Віртуальну машину». Після цього відкриється вікно запрошення.

У вікні «Вкажіть ім'я та місцезнаходження» необхідно визначити назву та місцезнаходження файлу конфігурації віртуального сервера(Рис. 4.).

У вікні "Виділити пам'ять" (рис. 5) необхідно вибрати розмір оперативної пам'яті. Для Microsoft Forefront Threat Management Gateway за мінімальними вимогами необхідно 2Гб оперативної пам'яті.

У вікні "Налаштування мережі" вибираємо підключення до внутрішньої мережі (Virtual Internal).

У вікні «Підключити віртуальний жорсткийдиск» потрібно вибрати пункт «Створити віртуальний жорсткий диск». Вказати розмір (для Microsoft Windows 2008 R2 щонайменше 11 Гб) (рис. 7).

У вікні "Параметри установки" вибираємо пункт "Встановити операційну системупізніше» та натискаємо «Далі» (рис. 8).

Після вікна "Зведення" натискаємо "Готово".

Перш ніж переступити до інсталяції Windows 2008 R2 Server необхідно зайти в налаштування віртуальної машини FOREFRONT. Правою кнопкоюклацаємо на віртуальній машині – Параметри…

І у вікні «Параметри для FOREFRONT»

У вікні вибираємо «Встановлення обладнання» – «Мережевий адаптер» та натискаємо «Додати». Додаємо два адаптери Virtual Internet і Virtual DMZ, що залишилися. Після додавання конфігурація комп'ютера виглядатиме так:

після цього приступаємо до встановлення Microsoft Windows 2008 R2 Server.

Етап 4. Встановлення Microsoft Windows 2008 R2 Server.

Приступаємо до інсталяції Windows 2008 R2 Server. Для цього потрібний образ диска. Його можна завантажити із сайту Microsoft. На сайті www.microsoft.ru можна знайти жорсткий диск для віртуальних машин та замінити його створеним раніше нами.

У "Контролері 1 IDE" встановлюємо "Файл зображення" і вказуємо розташування файлу образу.

Запускаємо віртуальну машину.

Після цього можна надсилати інсталяцію Microsoft Windows 2006 R2 і Microsoft ForeFront Threat Management Gateway за промовчанням. Визначаємо мережеві адаптери та призначаємо IP адреси відповідно до конфігурації мережі. УВАГА! На комп'ютері може бути визначений єдиний Default Gateway. Зазвичай його призначають default gateway провайдера.

Етап 5.Налаштування Microsoft Forefront Threat Management Gateway.

Після початкового запуску з'явиться вікно "Started Wizard". Також його можна запустити через Launch Getting Started Wizard

У налаштуваннях "Network Template selection" вибираємо "3-Leg perimeter" (триногий периметр), який дозволить обмежити та створити ДМЗ. Натискаємо "Далі".

У вікні "Local Area Network (LAN) Setting" вибираємо мережевий адаптер, який підключений до внутрішньої локальної мережі.

У вікні Internet Setting вибираємо мережевий адаптер, підключений до провайдера.

У вікні Perimeter Network Setting визначаємо мережевий адаптер, підключений до серверів в ДМЗ. Далі необхідно вибрати тип довіри до цієї мережі. Він може бути або Public (публічний), коли на серверах, що знаходяться в ДМЗ, буде налаштована маршрутизація без використання NAT, або Private (приватний), коли буде налаштована маршрутизація з використанням NAT. Цей режим визначається рівнем довіри до мережі ДМЗ. Режим Private дозволить повністю захистити вашу мережу від видимості з боку ДМЗ, але можуть виникнути проблеми з налаштуванням правил доступу.

У цій статті було показано, яким чином можна налаштувати 3-leg периметр. На жаль, у рамках цієї статті неможливо показати повну налаштування Microsoft Forefront Threat Management Gateway для організацій, оскільки для кожної організації будуть існувати свої правила доступу та відносини між мережами та користувачами, які описані у безпеці.

Васильєв Денис

Однією з функцій Forefront TMG є підтримка кількох клієнтів, які використовуються для підключення до Forefront TMG Firewall. Одним із типів клієнтів є Microsoft Forefront TMG клієнт, також відомий під назвою Winsock клієнт для Windows. Використання TMG клієнта надає кілька вдосконалень, порівняно з іншими клієнтами (Web proxy та Secure NAT). Forefront TMG клієнт може бути встановлений на кілька клієнтських та серверних ОС Windows (що я не рекомендую робити за винятком серверів терміналів (Terminal Servers)), які захищені за допомогою Forefront TMG 2010. Forefront TMG клієнт надає повідомлення HTTPS перевірки (використовуваної TMG 2010) , автоматичне виявлення, покращену безпеку, підтримку програм та керування доступом для клієнтських комп'ютерів. Коли клієнтський комп'ютер з працюючим клієнтом Forefront TMG робить Firewall запит, цей запит надсилається на Forefront TMG 2010 комп'ютер для подальшої обробки. Жодної спеціальної інфраструктури маршрутизації не потрібно через наявність процесу Winsock. Клієнт Forefront TMG прозоро надсилає інформацію користувача з кожним запитом, дозволяючи вам створювати політику брандмауера на комп'ютері Forefront TMG 2010 з правилами, які використовують облікові дані, що надсилаються клієнтом, але тільки за TCP та UDP трафіку. Для всіх інших протоколів необхідно використовувати Secure NAT клієнтське з'єднання. Для переліку причин, з яких варто використовувати TMG клієнт, читайте Тома Шиндера на www.ISAserver.org:

Крім стандартних функцій попередніх версійклієнтів Firewall, TMG клієнт підтримує:

• повідомлення HTTPS огляду
• підтримку AD Marker

Стандартні функції TMG клієнта

• Політика брандмауера на базі користувачів або груп для Web- і non-Web proxy через TCP та UDP протоколу(тільки для цих протоколів)
• Підтримка комплексних протоколів без використання прикладного фільтра TMG
• Спрощене налаштування маршрутизації у великих організаціях
• Автоматичне виявлення (Auto Discovery) інформації TMG на базі налаштувань DNSта DHCP сервера.

Системні вимоги

TMG клієнт має деякі системні вимоги:

Підтримувані ОС

• Windows 7
• Windows Server 2003
• Windows Server 2008
• Windows Vista
• Windows XP

Підтримувані версії ISA Server та Forefront TMG

• ISA Server 2004 Standard Edition
• ISA Server 2004 Enterprise Edition
• ISA Server 2006 Standard Edition
• ISA Server 2006 Enterprise Edition
• Forefront TMG MBE (Medium Business Edition)
• Forefront TMG 2010 Standard Edition
• Forefront TMG 2010 Enterprise Edition

Підтримка операційних систем

Клієнт/Сервер – сумісність

Налаштування TMG клієнта на TMG сервері

Існує лише кілька параметрів на сервері Forefront TMG, які відповідають за налаштування поведінки Forefront TMG клієнта. Перш за все, можна включити підтримку TMG клієнта для визначення внутрішньої мережі на сервері TMG, як показано на малюнку нижче.

Рисунок 1: Параметри TMG клієнта на TMG

Після того, як підтримка TMG клієнта включена (це замовчування у звичайній установці TMG), можна також автоматизувати конфігурацію веб-браузера на клієнтських комп'ютерах. Під час звичайних інтервалів оновлення TMG клієнта або під час запуску служб браузер отримує параметри, налаштовані в консолі керування TMG.

У параметрах Програми на TMG клієнту в консолі TMG можна увімкнути або вимкнути деякі налаштування залежності програм.

Рисунок 2: Налаштування TMG клієнта

AD Marker

Microsoft Forefront TMG надає нову функцію автоматичного визначення TMG сервер для TMG клієнта. На відміну від попередніх версій Firewall клієнтів, Forefront TMG клієнт тепер може використовувати маркер Active Directory для пошуку відповідного TMG сервера. TMG клієнт використовує LDAP для пошуку необхідної інформації Active Directory.

Примітка:якщо TMG клієнт не знайшов AD маркер, він не перейде на класичну схемуавтоматичного виявлення через DHCP та DNS з міркувань безпеки. Це зроблено для зниження ризику виникнення ситуації, в якій хакер намагається змусити клієнта використовувати менше безпечний спосіб. Якщо підключення до Active Directory вдалося створити, але неможливо знайти AD Marker, клієнти TMG переходять до DHCP та DNS.

Інструмент TMGADConfig

Для створення конфігурації маркера AD Marker в Active Directory ви можете завантажити TMG AD Config інструмент із центру завантаження Microsoft Download Center (вам потрібно знайти AdConfigPack.EXE). Після завантаження та встановлення інструменту на TMG вам потрібно виконати наступну команду в інтерпретаторі, щоб внести ключ маркера AD до розділу реєстру:

Tmgadconfig add "default "type winsock "url http://nameoftmgserver.domain.tld:8080/wspad.dat

Можна також видалити маркер AD за допомогою інструмента tmgadconfig, якщо ви вирішите не використовувати підтримку AD Marker.

Встановлення TMG клієнта

Саму останню версію TMG клієнта можна завантажити з веб-сайту Microsoft. Наприкінці статті я навів посилання на завантаження.

Почніть процес встановлення та дотримуйтесь вказівок майстра.

Рисунок 3: Встановлення TMG клієнта

Можна вказати розташування TMG сервера вручну, або автоматично під час встановлення TMG клієнта. Після встановлення можна переналаштувати параметри механізму визначення TMG клієнта за допомогою інструмента налаштування TMG клієнта, який розташований в панелі завдань вашого клієнта.

Рисунок 4: Вибір комп'ютера для встановлення TMG клієнта

Розширене автоматичне визначення

Якщо ви хочете змінити поведінку процесу автоматичного визначення, у клієнті TMG тепер є нова опція для налаштування методу автоматичного визначення.

Малюнок 5: Розширене автоматичне визначення

Повідомлення HTTPS огляду

Microsoft Forefront TMG має нову функцію огляду HTTPS трафіку для вихідних клієнтських з'єднань. Для інформування користувачів про цей процес новий TMG клієнт може використовуватися, щоб інформувати користувачів про те, що вихідні підключення HTTPS піддаються перевірці, якщо вам це потрібно. У адміністраторів TMG також є можливість відключення процесу сповіщення централізовано із сервера TMG, або вручну на кожному Forefront TMG клієнті. Для додаткової інформації про налаштування огляду вихідного трафіку HTTPS читайте наступну Тома Шиндера

Рисунок 6: Огляд захищених підключень

Якщо увімкнено огляд вихідних HTTPS підключень і параметр сповіщення користувачів про цей процес також увімкнено, користувачі, на комп'ютерах яких встановлено Forefront TMG клієнт, будуть отримувати повідомлення подібне до того, що показано на малюнку нижче.