Tmg, технічний блог сергея фомина

Не так давно на світ з'явилася дуже корисна утиліта Forefront TMG Best Practice Analyzer (TMGBPA). За допомогою неї можна досліджувати сервер Forefront TMG на наявність вразливостей, проблем з продуктивністю і параметрами сервера. Утиліта перевіряє настройки Forefront TMG сервера і створює звіт, в якому описуються зауваження, потенційні проблеми.

Зазначу, що в TMGBPA є дві утиліти:

TMG Data Packager - дозволяє упакувати діагностичну інформацію сервера Forefront TMG в один .cab файл, щоб відправити його в службу техпідтримки Microsoft

BPA2Visio - створює MS Visio з топологією сетічкі зору сервера Forefront TMG. Однак, оскільки ця утиліта вимагає встановленого Visio, то доцільніше використовувати цю утиліту на іншому комп'ютері мережі, ніж встановлювати Visio на сервері Forefront TMG.

Якщо ми хочемо, щоб при кожному запуску TMGBPA перевіряв наявність оновлень, що вибираємо Yes.

Далееми можемо вибрати, чи будемо брати участь в пользоватьской програму поліпшення чи ні ...

Дочекаємося Перш ніж виконувати оновлення

Дамо запам'ятовується ім'я новому скануванню, вкажемо ім'я контролера домену та виберемо завдання «Health Check» (Перевірка стану «здоров'я» сервера)

Дочекаємося закінчення сканування

Сканування може здійснюватися за розкладом

На сьогодні все - до зустрічі.

Для цієї мети (втім, не тільки для цієї) існує Forefront TMG Client, який встановлюється на клієнтські комп'ютери.

Як ви бачите, клієнт може бути налаштований, яким чином намагатися виявити сервер Forefront TMG:

Для створення запису в AD використовується утиліта TmgAdConfig

Для видалення використовується конструкція на зразок цієї

Однак на самому початку сервер Forefront TMG повинен бути налаштований як WPAD (Web Proxy Auto-Discovery Protocol) сервер. Для цього відкриємо консоль Forefront TMG, виберемо закладку «Networking», потім виберемо ту мережу, від клієнтів якої потрібно слухати WPAD запити (це наша внутрішня мережа) і вкажемо порт, який сервер повинен слухати на предмет запитів від клієнтів.

Зауважте, що якщо ми плануємо використовувати DNS сервер для виявлення сервера Forefront TMG, то потрібно використовувати тільки 80 порт, так як, на відміну від виявлення через DHCP сервер, немає можливості вказати прослуховується порт.

Отже, відкриємо оснащення DNS і в зоні прямого дозволу імен для нашого домену створимо псевдонім для нашого Forefront TMG сервера.

Але більш гнучким і швидким є виявлення сервера Forefront TMG за допомогою DHCP сервера.

В результаті вищеописаних дій у нас в стандартних опціях DHCP з'явиться нова опція

З якої і потрібно конфігурувати відповідну область DHCP сервера.

При конфігуруванні клієнт посилає повідомлення DHCPINFORM, у відповідь на яке DHCP сервер посилає вміст опції WPAD.

При відсутності відповіді клієнт використовує DNS.

На сьогодні це все.

Звичайно ж ми хочемо створити правило, яке буде відповідати за блокування небезпечного контенту!

Ми можемо розширити список ресурсів, до яких необхідно блокувати доступ.

Організуємо доступ деякої групи користувачів в Інтернет. Назвемо цей набір користувачів AllowAccess.

Дозволимо доступ групі користувачів Authenticated Users.

Далі вказуємо, що необхідно перевіряти дані, одержувані з Інтернет. При цьому ми можемо вказати, чи блокувати завантаження зашифрованих архівів.

При необхідності можна інспектувати захищені з'єднання HTTPS. У нас є такі опції:

• Перевіряти HTTPS трафік і перевіряти SSL-сертифікат web-сайту
• Чи не перевіряти HTTPS трафік, але перевіряти SSL-сертифікат web-сайту. Блокувати доступ до сайту по протоколу HTTPS, якщо вони недійсні.
• Чи не перевіряти HTTPS трафік і не перевіряти SSL-сертифікат web-сайту. Дозволити доступ до даного сайту по протоколу HTTPS.

Ну і можна не дозволяти користувачам встановлювати HTTPS з'єднання зовсім ...

При встановленому у користувача Forefront TMG Client є можливість повідомляти пользоватлей про перевіряється з'єднанні HTTPS.

Для здійснення перевірки HTTPS з'єднання може використовуватися як автоматично згенерований Forefront TMG сертифікат, так і альтернативний, який встановлюється адміністратором.

Є можливість вибрати спосіб установки сертифікатів на клієнтські комп'ютери - або автоматично, або вручну.

Ну і на останньому малюнку показано, як можна встановити розмір дискового простору, відведеного для кешування web-сторінок.

Перед самою установкою необхідно запустити утиліту підготовки інсталяції (Preparation Tool)

У процесі її роботи будуть встановлені ролі сервера, необхідні для нормального функціонування Forefront TMG:

• Network Access and Policy Services
• Routing and Remote Access Services
• Active Directory Lightweight Directory Services
• Network Load Balancing

Також необхідні .NET 3.5 Framework SP1, Microsoft Windows Installer 4.5

Зазначаємо, який мережевий адаптер підключений до локальної мережі підприємства

Зазначаємо, в якій конфігурації передбачається функціонування Forefront TMG

На малюнку приведена найпоширеніша конфігурація у вигляді єдиного брандмауера, що захищає мережу підприємства.

Опція 3-Leg perimeter неактивна так як даний сервер має всього 2 мережевих адаптера. Back firewall необхідно вибирати в тому випадку, якщо в ролі front-end firewall виступає інший пристрій безпеки (наприклад, Cisco, CheckPoint ...) Позбавлене сенсу використовувати пристрій одного виробника для організації і back-end, і front-end firewall так як в разі компрометації одного пристрою зловмиснику не складе труднощів зламати і друге ... Ну і останній варіант конфігурації малофункціонален і дуже суперечливий з точки зору безпеки.

Вказуємо мережеві настройки адаптера, підключеного до локальної мережі. Тут же можна вказати і додаткові маршрути в інші підмережі.

Потім - налаштування зовнішнього мережевого адаптера

На цьому конфігурація мережевих параметрів закінчено - приступаємо до системних параметрах.

Тепер вказуємо параметри розгортання Forefront TMG.

Включаємо використання служби Windows Update

Включаємо службу перевірки мережевого зв'язку (NIS), перевірку web-трафіку і URL фільтрацію

Зазначаємо, як часто будуть оновлюватися сигнатури для NIS

Наступний раз розглянемо, як користувачам підприємства дозволити доступ в інтернет, налаштуємо фільтрацію URL, сканування трафіку на предмет шкідливих програм, налаштування web-кешування і ін.

Отже, я вже писав, що ISA Server відходить у минуле - йому на зміну прийшов Forefront Treat Management Gateway (TMG) - інтегрований шлюз до зовнішнього світу, який покликаний захищати корпоративну мережу від зовнішніх погроз.

Розглянемо, що ж нового приніс TMG:

Самим же концептуальним нововеденням я б назвав появу сервісів по підписці для оновлення антивірусних сигнатур для модулів сканування HTTP-трафіку, URL-фільтрації, поштових повідомлень, антиспам модуля і сигнатур атак для NIS. Сервіси ці платні, але без оновлень антивіруси-антиспаму марні, а тут Microsoft пропонує використання аж 5 антивірусних движків одночасно! Це ж стосується і служби MRS - там теж використовується кілька провайдерів.

Підводячи підсумки, можна сказати, що революції не відбулося - але чи потрібна була вона? Продукт став ще більш стабільною, продуктивніше, знайшов нові потрібні і довгоочікувані функції, а нам залишається його тільки використовувати!