Optimalizované IT - portál pro IT pro komunitu

Nahrazujeme TMG (Microsoft Forefront Threat Management Gateway)

Vytisknout E-mail

Jan Slavík Datum zveřejnění: 23. 2. 2015 14:53 Zobrazeno: 2468
Nahrazujeme TMG (Microsoft Forefront Threat Management Gateway) - 4.0 out of 5 based on 1 vote
1 1 1 1 1 1 1 1 1 1 Rating 4.00 (1 Vote)

Pár slov na úvod

Na začátku bych rád řekl, že TMG je a byl můj oblíbený produkt, mám za sebou mnoho velkých instalací a konfigurací a proto se mi tento článek nepíše úplně snadno. S ohledem na množství instalací v Čechách se mnoho zákazníků začíná ptát a poohlížet po možných alternativách tohoto úžasného produktu. Tento článek si neklade za cíl vybrat jediného nástupce, nebo vyjmenovat veškeré možné alternativy tohoto produktu, ale spíše popisuje sadu možností, které jako uživatel tohoto produktu máte. Určitě najdete na trhu mnoho různých řešení, které můžete koupit, ale vždy je vhodné využívat vlastností, které dostávám jako součást operačního systému a následně vybrat nějaký doplněk, tak abych ušetřil peníze a problémy. Nejdříve se podívejme, jak jsme na tom s podporou pro TMG :

Konec všeobecné odborné podpory: 14. 4. 2015

Konec rozšířené podpory: 14. 4. 2020

Více zde: http://support2.microsoft.com/lifecycle/search/default.aspx?alpha=Forefront+Threat+Management+Gateway+2010&Filter=FilterNO

1.1 Jak vhodně vybrat alternativu pro vaši organizaci a síť

Náhrada TMG není jednoduchý úkol s ohledem na veškeré vlastnosti, které TMG nabízelo. Ne vždy se veškeré funkčnosti všude využívaly a dle toho také musíte upravit rozhodování o možných náhradách. Pro účely tohoto článku budu brát běžnou TMG instalaci, při které TMG zajišťovalo:

  • Proxy (HTTP, HTTPS inspekci), Content antivirus
  • Publikaci různých webových farem do internet (reverse proxy), včetně SSL offloadingu
  • Publikaci Exchange – bezesporu nejvyužívanější vlastnost TMG
  • VPN server (SSTP, PPTP)
  • Firewall klient – instalací není tolik, ale myslím, že je dobré se zmínit o tomto produktu
  • Obecný IPv4 FW s IPS

Při výběru alternativ bych vám doporučil vytvořit si seznam kritérií, podle kterých budete produkty nebo náhradu vybírat. Já využívám tento, který vychází z toho, co umí TMG a je rozšířen tak, aby pokrýval další nároky na moderní FW.

Proxy :

  • Antivirus
  • NTLM nebo Kerberos ověřování proti AD
  • Kategorizace obsahu
  • SSL inspekce včetně wildcard certifikátů, protokolu SPDY
  • IPv4 a IPv6 podpora

Firewall

  • IPv4 a IPv6 podpora
  • Podpora SNAT, DNAT
  • Pravidla na základě GEO lokace
  • IPS

Publikace prostředků do internetu

  • Podpora pro publikace webových farem (definice probe)
  • Před ověřování
  • SSL offloading

Bezpečnostní rozšíření

  • IPS
  • Detekce nechtěného provozu
  • Detekce aplikací (např. Různé P2P protokoly)
  • DLP (Data Leak Protection)

VPN

  • SSTP
  • L2TP
  • PPTP
  • IPSEC Tunely

Ostatní

  • Webový management
  • Vysoká dostupnost
  • Škálování výkonu
  • Centrální logování
  • Podpora Syslog
  • HW varianta nebo Virtuální varianta

Jak asi vidíme na tomto výčtu vlastností, které chceme po novém produktu, není úplně málo. Díky velkému množství různých funkčností, které se nevhodně kombinovaly, nebylo nasazení vždy úplně jednoduché. Z tohoto důvodu bych vám doporučil rozdělení do určitých kategorií, které budeme implementovat v různých částech sítě.

Dobře se nám např. budou kombinovat vlastnosti hraničního nebo nehraničního FW dohromady s proxy. Publikaci různých prostředků můžeme vyřešit jako součást FW, ale také jako funkčnost, která bude úplně stranou od FW. Obdobně můžeme nahlížet na proxy.

Tímto směrem se většinou při náhradách TMG ubíráme. Když už tento produkt musíme nahradit tak se z toho snažme vytěžit maximum pro naši bezpečnost. Nyní bych se podíval na jednotlivé části (kategorie) a popišme si možné náhrady a cestu jak náhradu provést. Důležité je zmínit, že veškeré změny nedoporučuji provádět jako velký třesk, změny provádět postupně po jednotlivých součástech.

Mezi základní výběr, který je doporučován jako náhrada TMG patří tento set produktů, bohužel v Čechách se nám výběr trošku zmenšuje, pokud myslíme na množství instalací a kvalitu podpory a především zkušenost s Microsoft produkty.

  • KEMP Load Balancer (možnost provozovat na Hyper-V)
  • Microsoft Web application proxy
  • Fortinet Fortigate FW (možnost provozovat na Hyper-V)
  • Sophos UTM (možnost provozovat na Hyper-V)
  • WatchGuard
  • Palo Alto

Publikace Exchange a ostatních serverů do internetu

Jak jsem naznačil na začátku článku, byla toto asi jedna z nejvyužívanějších vlastností TMG. Naštěstí doba pokročila a s ní se mění i doporučení pro publikaci Exchange. Jak v dalších oblastech máme více možností na výběr, tak i zde máme několik možností. Vybírat budeme především dle ceny a toho jak moc si chceme naše prostředí rozšířit o další komponenty.

1.2 Náhrada pomocí Web Application Proxy

Pokud máte Exchange 2013 nebo se na něj chystáte přejít, máte asi výběr poměrně jednoduchý. Volba Web Application Proxy je jistě dobrá varianta, navíc jí můžeme velmi efektivně kombinovat s poslední variantou. Navíc nám tato varianta v kombinací s AZURE nebo Office365 dává další možnosti, jako je např. více faktorové ověřování.

image

Obrázek 1 Příklad login form Web application proxy

1.3 Náhrada pomocí KEMP LB

Produkty KEMP jsou jedním z nejčastěji doporučovaných variant pro publikaci Exchange nebo dalších (SharePoint, IIS, SMTP …). Tento produkt je vlastně inteligentní load balancer, který je rozšířen o další šikovné komponenty. Součástí tzv. Edge Security Pack. Což je rozšíření, které vám dává hlavně možnost předověření (podobně jak jej znáte z TMG) pro různé služby. Tyto produkty je možné pořídit jako virtuální appliance nebo jako fyzické boxy. Pokud nám jde o robustní řešení, pořídíme asi raději HW variantu. Výhodou těchto produktů je publikace na základě Template, které obsahují základní Microsoft služby. Publikaci různých služeb je možné zvládnout velmi rychle. Nespornou výhodou v čistě Microsoft prostředí je i možnost běhu v Hyper-V.

image

Obrázek 2 Příklad login form KEMP

1.4 Náhrada pomocí nového FW

U některých FW máme možnost publikace webových farem. V podstatě jde o sloučení klasického FW spolu s load balancer funkcionalitou. Díky možnosti definovat tzv. probes (testery dostupnosti) máme velmi dobrý nástroj k vystavení např. Exchange serverů do internetu. Pokud máme tedy vysoce dostupný Exchange a FW který obsahuje tuto funkčnost, pak máme vyhráno. Bohužel většina FW vám nenabídne možnost předověření. Toto bude provádět až samotný Exchange server. Z tohoto důvodu určitě definujte na novém FW DoS ochranu, případně GEO lokační pravidlo. Díky GEO lokačním pravidlům můžeme velmi lehce říci, že nechceme povolit přístup z Číny nebo USA.

VPN

Většina organizacích, kterým stačí varianty Microsoft VPN, budou chtít i po náhradě TMG dále využívat VPN na MS technologiích. U VPN máme hned několik možností, kterými se vydat.

1. Nový Remote access server

2. Nasazení DirectAccess

3. Emulace MS VPN na některých nových FW – Někteří dodavatelé FW umí provozovat i mimo své proprietární VPN také např. PPTP nebo další.

V první variantě můžeme využít součást Windows OS, na kterém instalujeme novou roli RRAS komponenty. Instalačních postupů najdeme hned několik. Zajímavé na tomto je to, že můžeme v nových verzích Windows instalovat DirectAccess a standardní VPN (PPTP, SSTP) na jeden server, který nemusí mít externí IP. Remote access server „publikujeme“ do internetu. Jednotlivé VPN rozsahy můžeme následně firewallovat na novém nebo stávajícím FW. Díky tomu že náš nový FW bude jistě umět i IPv6 firewall, tak se nám lépe bude nasazovat i DirectAccess.

image

Obrázek 3 Schéma možné implementace Remote Access

FW

Náhrada samotného FW jádra bude asi ta nejjednodušší, co v této oblasti budete řešit. Zde asi nemůžete vybrat špatně. Pro můj osobní výběr je důležité sáhnout po FW který má v ceně IPv6 a případně další rozšíření, kterým může být např. IPS. Výhodou by mohlo být provozování více „virtuální FW“ na jednom Firewall HW. Díky tomu můžeme striktně oddělit např. Interní a internetový provoz aniž bych musel pořizovat více fyzických boxů. Jedním z možných dodavatelů, kteří toto umí je např. Fortigate od společnosti Fortinet.

Proxy

I zde máme několik možností jak se k náhradě proxy postavit. V každém případě musíme sáhnout mezi jiné dodavatele, než je Microsoft. Tuto funkčnost běžným způsobem nenahradíme. Někteří dodavatelé FW umí tzv. transparentní kontrolu HTTP/S provozu. Pokud, ale chceme jednodušší a především autentizovanou proxy pak musíme sáhnout po tzv. Explicitní proxy. Tato explicitní proxy zajistí ověření uživatele, zjištění členství uživatele v různých AD skupinách a dle nastavených FW proxy politik můžeme povolovat nebo zakazovat provoz. Jedním z produktů, který velmi dobře kombinuje možnosti FW a Proxy může být právě již zmiňovaný Fortigate, ale na trhu je mnoho dalších např. Sophos a další.

image

Obrázek 4 Příklad AV kontroly na FG

Pro hladší přechod máme možnost tuto funkcionalitu migrovat před samotnou náhradou TMG. Většinou právě s odladěním proxy politik bývá nejvíce problémů.

Pokud využíváte ve vaší organizaci tzv. Firewall klienta, pak před samotnou migrací doporučuji jeho odinstalaci nebo zakázání. Následně přepublikovat WPAD buď přímo na proxy nebo na jiném webovém serveru.

Závěrem

Doufám, že vám náš článek pomohl v rozhodování a vaše náhrada TMG proběhne bez technických problémů a zádrhelů. Pokud se rozhodnete pro přechod z TMG na Fortinet. Pak je zde krátký skript, který umí z exportované TMG konfigurace přenést některé typy objektů do Fortigate formátu.

Plánování nasazení Forefront Threat Management Gateway (TMG) 2010

Vytisknout E-mail

Ondřej Výšek Datum zveřejnění: 13. 2. 2010 14:16 Zobrazeno: 8940
1 1 1 1 1 1 1 1 1 1 Rating 0.00 (0 Votes)

Plánujete nasazen Forefront Threat Management Gateway 2010 ? Forefront Threat Management Gateway 2010 (TMG2010) je poslední generace velice úspěšné aplikační firewall - ISA Server. Pro snazší nasazení, resp. plánování hardware Microsoft uvolnil xls dokument, který Vás provede všemi kroky, které jsou nutné pro správné naplánování kapacity serveru pro TMG 2010. Mezi velice důležité informace patří počet uživatelů, kteří budou TMG využívat, obvyklá pravidla, která souvisí s publikací služeb do internetu až po přenosové pásmo, které bude dostupné.

Nástroj pro plánování nasazení TMG 2010 stáhnete na download.microsoft.com

Forefront TMG 2010 - nástroje a SDK, dokumentace

Vytisknout E-mail

Ondřej Výšek Datum zveřejnění: 15. 12. 2009 21:48 Zobrazeno: 11104
Forefront TMG 2010 - nástroje a SDK, dokumentace - 5.0 out of 5 based on 1 vote
1 1 1 1 1 1 1 1 1 1 Rating 5.00 (1 Vote)

Forefront Threat Management Gateway 2010 je k dispozici ke stažení pro předplatitele TechNet a MSDN subscription, download bude za krátkou dobu zveřejněn i na licensing.microsoft.com pro zákazníky s uzavřenou licenční smlouvou se společností Microsoft. TMG je pouze pro platformu x64 a ve dvou edicích Standard a Enterprise. Velikost downloadu je bezmála 1,2GB.

Od 10.12.2010 je k dispozici ke stažení sada nástrojů pro Forefront Threat Management Gateway 2010 a to včetně Software Development Kit.

Mezi nástroje, které jsou ke stažení patří:

ADAM Sites Tool for Forefront TMG Enterprise Edition - nástroj pro konfiguraci a práci s Active Directory in Application Mode (ADAM), kde je ukládána konfigurace jednotlivých serverů v TMG poli.

Auto Discovery Configuration Tool for Forefront TMG - konfigurace automatického nastavení koncových klientů. Tato konfigurace je ukládána v Active Directory. Konfigurace automatizuje nastavení firewall klienta tak, aby byl jednoduše firewall klient nastaven na přístup pomocí TMG.

EE Single Server Conversion tool for Forefront TMG - tento nástroj umožňuje konvertovat servery s ISA 2004 Enterprise nebo ISA 2006 Enterprise na Forefront TMG Standalone mód. Tento nástroj konvertuje veškerá pravidla a nastavení.

K dispozici je celkem 10 nástrojů + SDK pro TMG 2010, stahovat můžete na download.microsoft.com

9.1.2010 Také byla zveřejněna dokumentace online na adrese http://technet.microsoft.com/en-us/library/ee207140.aspx

Microsoft Threat Management Gateway 2010 (TMG)

Vytisknout E-mail

Ondřej Výšek Datum zveřejnění: 16. 11. 2009 9:34 Zobrazeno: 9842
Microsoft Threat Management Gateway 2010 (TMG) - 5.0 out of 5 based on 3 votes
1 1 1 1 1 1 1 1 1 1 Rating 5.00 (3 Votes)

V minulém týdnu proběhlo v rámci berlínského TechEdu uveřejnění Exchange Server 2010. Vcelku potichu se udála ještě jedna velice důležitá věc a tou je uvedení nové verze ISA serveru - Threat Management Gateway 2010. Vcelku záhadné, že se o této události nezmiňují ani oficiální stránky výrobce, nicméně v tuto chvíli je možné stahovat zkušební verzi z Microsoft Download - http://www.microsoft.com/downloads/details.aspx?FamilyID=e05aecbc-d0eb-4e0f-a5db-8f236995bccd (pro stahování je nutná registrace).

ForeFront Threat Management Gateway 2010, zkráceně TMG 2010 přináší mnohé novinky. První z novinek je plná integrace do rodiny ForeFront, jakožto rodiny produktů pro zajištění bezpečnosti v organizacích. Další noviny jsou například:

  • URL Filtering - filtrování adres, na které uživatelé přistupují. Je možné definovat ručně, na které adresy uživatel může či nemůže přistupovat (což bylo možné i v předchozí verzi, nyní zjednodušeno), ale pomocí předplatného je TMG schopna stahovat automaticky definice nebezpečných webů, které šíří například viry nebo malware obecně a to včetně různých kategorizací stránek.
  • Zabezpečení emailu - ve spolupráci s Exchange serverem je TMG 2010 schopna zajistit kompletní kontrolu nad doručovanými a odesílanými emaily.
  • Kontrola HTTPS - TMG 2010 je schopna kontrolovat provoz, který uživatel vyžádal z internetu a probíhá po protokolu HTTPS. Zde je několik možností - ukončit HTTPS na TMG a uživateli se bude předávat HTTP nebo TMG znovu zašifruje komunikaci a uživateli se předává HTTPS nebo HTPPS kompletně zakázat. Před tím, nežli je HTTPS provoz kontrolován, je uživatel upozorněn hlášením v prohlížeči. Možná si říkáte proč kontrolovat HTTPS provoz, tvůrci škodlivého software jsou nevyzpytatelní. Stejně tak může ze strany uživatelů zaznít “proč mi kontrolujete můj soukromý https provoz?” - znovu a znovu bude nutné uživatelům vysvětlovat, že internet je pouhým “výrobním prostředkem”, který má/může mít uživatel jako bonus ke své práci.
  • Network Inspection System (NIS) - provoz, který prochází přes TMG může být skenován, zdali nejsou adresovány exploity Microsoft software - není-li veden útok na známou chybu. Pokud tomu tak je, TMG automaticky blokuje tento provoz.
  • Podpora 64-bit a Windows server 2008 - hurá, k tomu není nutné co dodávat.
  • ffbig Integrace s rodinou ForeFront - integrace může být například (a to je jeden z mnoha příkladů), kde uživatel přistupuje na internet a stáhne škodlivý kód, tento škodlivý kód začne dělat např.. port scan na dalších počítačích, vše je detekováno, proto systém ForeFront zakáže např. port na switchi, ze kterého přichází útok, zakáže uživateli přístup do internetu na TMG a stejně tak může zakázat odesílání emailů na Exchange. Tím je potenciální hrozba zastavena ihned v jejím počátku. Jakmile je problém odstraněn, vše se “vrací” do normálu.

Další problematice TMG a novým produktům z rodiny ForeFront se budeme věnovat s samostatných článcích.

Na stránkách TechNetu je dostupná dokumentace, která je prozatím zvláštním mixem RC a RTM - ForeFront TMG Deployment

Forefront Unified Access Gateway (UAG) RC0

Vytisknout E-mail

Ondřej Výšek Datum zveřejnění: 25. 9. 2009 12:12 Zobrazeno: 9134
1 1 1 1 1 1 1 1 1 1 Rating 0.00 (0 Votes)

Společnost Microsoft vydala 24.9.2009 k testování verzi RC0 nového produktu Forefront Unified Access Gateway. Jedná se o novou verzi Intelligent Application Gateway 2007 (IAG 2007).

UAG je určený pro nasazení na specializované hardware, tzv. appliance a jedná se o serverovou aplikaci, která řeší přístup koncových uživatelů k podnikovým prostředkům.

Novinky, které jsou obsaženy v UAG se týkají následujících oblastí:

  • vzdálený přístup
    • nové způsoby přístupu k webovým aplikacím publikovaných pomocí UAG
    • publikace ne-webových aplikací pomocí socket nebo port forwarding
    • přístup k souborům je možné publikovat interní souborové struktury na portálu a díky tomu umožnit přístup uživatelům k interním souborům
  • správy identity a přístupu koncových uživatelů
    • nové možnosti podpory non-Windows operačních systémů
    • nové komponenty pro přístup k aplikacím přes UAG, které jsou instalovány na koncová zařízení
    • správa přístupů koncových zařízení – nové možnosti správy přístupů, granulární nastavení oprávnění uživatelů a přístupových politik
  • vysoká dostupnost - nasazení v poli nebo load-balancing
  • spolupráce s technologií DriectAccess – rozšíření technologie o
    • přístup ke zdrojům pomocí NAT64 a DNS64
    • podpora UAG array a load-balancing
    • průvodci zjednodušující nasazení

verzi RC0 můžete stahovat na http://download.microsoft.com

Přihlašovací formulář