Корректно настроенный Forefront TMG, запущенный на последней версии безопасно настроенной сетевой ОС Windows, является безопасным и надежным межсетевым экраном и безопасным web-шлюзом. Общий уровень безопасности решения может быть улучшен с помощью советов, изложенных в этой статье.

Введение

Исторически сложилось мнение, что межсетевой экран, входящий в состав ОС общего назначения, например Microsoft Windows, не может быть безопасным. Однако, это мнение было успешно опровергнуто благодаря SDL (Security Development Lifecycle), хорошо описанным процессом уведомления об уязвимостях и управления обновлениями безопасности, а также длинным послужным списком безопасности и надежности Microsoft ISA Server и Forefront Threat Management Gateway (TMG). Межсетевой экран Forefront TMG, который работает на базе Windows Server 2008 R2, сегодня, пожалуй, более надежен с точки зрения безопасности, чем многие его конкуренты.

С помощью советов по настройке TMG можно существенно повысить общее состояние безопасности системы и уменьшить пространство атаки, что, в свою очередь, гарантирует наивысший уровень безопасности TMG. При создании политики управления для TMG, лучше всего обеспечить соблюдение принципа наименьших привилегий. Ниже приведен список рекомендаций, которые будут полезны для реализации этого принципа.

Ограничьте членство в административной роли Forefront TMG уровня массива - роль администратора TMG уровня массива предоставляет полные права на администрирование массивом любому пользователю и/или группе пользователей, входящих в состав роли. После установки TMG на систему, эта роль по умолчанию назначается группе локальных администраторов Windows (а также пользователю, установившему TMG).

Рисунок 1

Глобальная группа администраторов домена, как правило, является членом группы локальных администраторов, а это означает, что члены этой группы унаследуют полные административные привилегии над межсетевым экраном TMG. Однако, это не совсем хорошая идея. Для оптимальной безопасности, группа локальных администраторов должна быть удалена из роли администратора Forefornt TMG уровня массива. Члены этой роли должны быть определены путем указания конкретных учетных записей Active Directory вместо добавления в роль групп. Почему индивидуальные учетные записи, а не группы? Потому что это дает администратору МСЭ TMG четкий контроль над тем, кто именно имеет полный административный доступ к МСЭ TMG. Использование конкретных учетных записей вместо групп не позволяет, например, администратору домена добавить учетную запись пользователя в глобальную группу домена, входящую в роль администратора уровня массива, и таким образом получить контроль над TMG. Если все же требуется использовать доменные группы для управления TMG, используйте группы с ограниченным доступом (http://technet.microsoft.com/ru-ru/library/cc785631(WS.10).aspx).

Ограничьте членство в административной роли Forefront TMG уровня предприятия - административная роль TMG уровня предприятия предоставляет всем членам этой роли полный доступ ко всему предприятию, включая все массивы TMG внутри предприятия. После установки TMG EMS, встроенная группа локальных администраторов по умолчанию становится членом роли (а также пользователь, установивший приложение).

Используйте отдельные административные учетные записи - Лучше всего использовать отдельные учетные записи Active Directory для администрирования МСЭ TMG. Не используйте эти учетные записи для администрирования других систем. Для этих учетных записей должны быть установлены жесткие политики паролей, предусматривающие использование длинных и сложных паролей с коротким временем жизни. Если домен работает на функциональном уровне Windows Server 2008, существует возможность включения подробных политик паролей для автоматического назначения требуемых политик (http://technet.microsoft.com/ru-ru/library/cc770394(WS.10).aspx).

Для управления TMG используйте отдельную изолированную рабочую станцию - Настройте отдельную рабочую станцию на управление МСЭ TMG. Установите административную консоль на эту машину и удалено управляйте МСЭ TMG. Осуществляйте вход на эту машину только с отдельной учетной записи администратора TMG. Локальные политики безопасности должны ограничивать вход на эту систему для других учетных записей. Эта рабочая станция должна быть хорошо защищена, недоступна для удаленных пользователей и отключена от сети Интернет. Предпочтительно использовать многофакторную аутентификацию (смарткарту или токен) для доступа к этой системе.

Ограничьте членство для сетевого объекта удаленного управления компьютерами - Ограничение количества членов сетевого объекта удаленного управления компьютерами является основным методом уменьшения пространства атаки на МСЭ TMG. По умолчанию, хосты, входящие в состав объекта удаленного управления компьютерами, имеют доступ ко многим службам, запущенным на МСЭ TMG, включая RDP, NetBIOS, RPC, Ping и другие. Предоставление доступа к этим службам создает уровень рисков, который может быть существенно понижен за счет ограничения доступа к этой группе. В идеальном варианте, в этой группе будет находиться только выделенная для задач администрирования рабочая станция.

Ограничьте доступ в сеть для агентов управления - часто, МСЭ TMG требует установки системных агентов управления от Microsoft или сторонних производителей. Избегайте создания политик доступа, которые позволяют агенту осуществлять подключения к целой сети или подсети. Политики МСЭ должны разрешать подключения агентов только к требуемым хостам.

Запреты

Не используйте МСЭ TMG в качестве рабочей станции - избегайте использования браузера на TMG для посещения сайтов в сети Интернет, посещения поисковых систем или загрузки исправлений и обновлений. Все исправления, а также необходимое программное обеспечение должны загружаться на обычную рабочую станцию (не на рабочую станцию, которая используется для управления TMG - для этого хоста должен быть запрещен доступ в Интернет!), на которой файлы могут быть просканированы перед их загрузкой и установкой на TMG.

Не используйте МСЭ TMG для выполнения ежедневных задач - лучше всего установить консоль управления TMG на отдельную рабочую станцию, как написано выше, и максимально ограничить количество локальных входов в систему МСЭ TMG.

Не устанавливайте на МСЭ TMG утилиты для администрирования от стороннего производителя - многие компоненты для МСЭ TMG содержат собственное ПО для управления, иногда с использованием HTTP сервера (например, IIS, Apache и др.). Подобное ПО является проблемным, поскольку оно увеличивает пространство атаки на МСЭ TMG и привносит потенциально дополнительные вектора атаки. Где возможно, не следует устанавливать ПО для управления от стороннего производителя на сам МСЭ TMG. Это ПО должно быть установлено на отдельную систему, предпочтительно на рабочую станцию для управления TMG.

Не создавайте общедоступные папки на МСЭ TMG - в предыдущих версиях ISA сервера, после установки продукта на системе автоматически создавалась общедоступная папка для обмена данными с клиентами МСЭ. Эта опция была позже удалена из продукта, как небезопасная. МСЭ TMG - это межсетевой экран и только. Он ни при каких обстоятельствах не должен использоваться в качестве файлового сервера. Если требуется удаленный доступ к системе, например, для получения текстовых журналов, он должен осуществляться с помощью утилиты для работы с журналами от стороннего производителя, например Epilog, ArcSight или Splunk.

Не устанавливайте инфраструктурные службы на МСЭ TMG - никогда не устанавливайте на МСЭ TMG инфраструктурные службы, такие как DNS, DHCP, Центр сертификации и пр. В большинстве случаев, подобная установка завершится конфигурацией, которая не поддерживается (http://technet.microsoft.com/ru-ru/library/ee796231.aspx). Но даже, если конфигурация поддерживается, наличие подобных служб на TMG увеличивает пространство атаки и привносит дополнительные векторы атаки. Подобные службы потребуют большего количества обновлений по сравнению с отдельным TMG, что увеличит простои системы. Эти службы также потребуют дополнительные системные ресурсы (процессорное время, память, сеть и дисковое пространство) и могут отрицательно повлиять на стабильность работы системы и производительность межсетевого экрана.

Заключение

Корректно настроенный Forefront TMG, запущенный на последней версии безопасно настроенной сетевой ОС Windows, является безопасным и надежным межсетевым экраном и безопасным web-шлюзом. Общий уровень безопасности решения может быть улучшен с помощью советов, изложенных в этой статье. Соблюдая принцип наименьших привилегий путем ограничения членства в административных TMG ролях уровней массива и предприятия, использования отдельных учетных записей на изолированной рабочей станции, ограничения членства в сетевом объекте удаленного управления компьютерами, ограничения сетевого доступа для агентов управления TMG позволит уменьшить пространство атаки на МСЭ TMG. К тому же, отказ от практики небезопасного использования TMG в качестве рабочей станции, для установки административного ПО от стороннего производителя, создания общедоступных папок или установки инфраструктурных служб предоставит еще большую защищенность.

Если вы еще не слышали, то ISA Firewall постепенно выходит из производства. Последней версией ISA Firewall будет версия ISA 2006. Однако это не означает, что ПО ISA, которое мы полюбили за несколько лет его использования, совсем перестанет существовать. Хотя бренд ISA попадет в мусорную корзину истории, мы увидим следующую версию ISA Firewall с новым названием: Forefront Threat Management Gateway (шлюз управления внешними угрозами).

Существует несколько причин, по которым название ISA выходит из употребления. Но, вероятно, основная причина заключается в том, что общественности, кажется, не удавалось выяснить из названия, что собой представляет ISA Firewall. Некоторые считали, что это был просто веб прокси-сервер (в духе Proxy 2.0), другие думали, что это очередной брандмауэр, третьи считали его VPN сервером, четвертые считали, что это какой-то Франкенштейн или вообще не понимали ничего. Новое название должно обратить на Forefront TMG больше внимания, и, как надеются в компании, позволит людям понять основную задачу этого продукта.

В этой статье я расскажу вам о процессе установки. Однако прежде чем устанавливать TMG, вам нужно знать следующее:

• TMG будет работать только на 64-разрядной Windows Server 2008. После выпуска RTM версии, появится 32-разрядная демо-версия TMG, но не будет никаких бета версий для 32-разрядной Windows
• TMG требует как минимум 1 GB памяти (возможно, она будет работать и с меньшим объемом памяти, но очень медленно)
• 150 MB свободного места на диске
• По крайней мере одну сетевую карту (хотя я всегда рекомендовал два или более сетевых адаптера для обеспечения большей надежности)
• Вам нужно установить стандартную папку на диск C:
• TMG установит IIS 7 на вашу машину, чтобы поддерживать службы отчетов SQL. Если вы удалите TMG с машины, II7 не будет удален автоматически, поэтому вам придется делать это вручную
• Службы и файлы драйверов для TMG устанавливаются в установочную папку TMG
• Для версии beta 1 TMG, машина TMG должна входить в состав домена. В последующих бета версиях будут поддерживаться машины, не принадлежащие к доменам.

В этой серии статей (мы должны уложиться в две части) я устанавливаю TMG на машину Windows Server 2008 Enterprise, которая работает в качестве виртуальной машины (VM) на VMware Virtual Server 1.0. VM имеет два интерфейса: один интерфейс подключен через мост ко внешней сети и будет работать в качестве внешнего интерфейса, а второй интерфейс расположен на VMNet2, которая будет интерфейсом внутренней сети по умолчанию. Обратите внимание, что модель построения сети для TMG не изменилась по сравнению с конфигурацией, используемой ISA Firewall.

TMG является одним из элементов ПО, включенных в коллекцию продуктов Forefront Stirling. Вы можете скачать их все или только TMG. TMG будет отлично работать без Stirling, но Stirling – это определенно то, о чем вы захотите узнать в будущем.

Дважды нажмите на файле, который вы скачали. У вас откроется приветственная страница Добро пожаловать в мастера установки Forefront Threat Management Gateway . Нажмите Далее .

Рисунок 1

Установите файлы в место по умолчанию, коим будет . Нажмите Далее .

Рисунок 2

Файлы будут извлечены в эту папку.

Рисунок 3

Нажмите Завершить , когда процесс извлечения закончится.

Рисунок 4

Перейдите в папку C:\Program Files (x86)\Microsoft ISA Server и дважды нажмите на файле ISAAutorun.exe .

Рисунок 5

У вас откроется диалоговое окно Microsoft Forefront TMG 270-Day Evaluation Setup . Нажмите по ссылке Установить Forefront TMG .

Рисунок 6

Это вызовет приветственное окно мастера установки Welcome to the Installation Wizard for Microsoft Forefront Threat Management Gateway . Нажмите Далее .

Рисунок 7

На странице Лицензионное соглашение выберите опцию Я принимаю условия лицензионного соглашения и нажмите Далее . Обратите внимание на то, что лицензионное соглашение все еще содержит старое кодовое название продукта Nitrogen .

Рисунок 8

На странице Информация потребителя введите ваше Имя пользователя и Организации . Серийный номер продукта будет уже введен за вас. Нажмите Далее .

Рисунок 9

Здесь мы встречаем новую опцию установки, которая не была доступна в предыдущих версиях продукта. На странице Сценарии установки у вас есть возможность установить Forefront TMG или только консоль управления TMG. В этом примере мы будем устанавливать продукт полностью, поэтому выберем Установить Forefront Threat Management Gateway и нажмем Далее .

Рисунок 10

На странице Выбор компонентов у вас есть возможность установить программное обеспечение брандмауэра TMG, консоль управления TMG, и CSS. Да, вы догадались. Больше нет версий Standard и Enterprise брандмауэра ISA. TMG будет продаваться, как единое издание, и это единое издание использует CSS, даже если у вас есть массив ТMG только с одним членом. Однако вы сможете создавать массивы, используя TMG, но это функция недоступна в бета версии TMG и будет доступна только в последующих бета версиях.

В данном примере мы установим все компоненты в папку по умолчанию. Нажмите Далее .

Рисунок 11

Похоже, что у меня возникла проблема. Хотя машина и входит в домен, я забыл войти под именем пользователя, который принадлежит домену. Чтобы установить TMG, вы должны войти под именем пользователя, который обладает правами локального администратора на машине TMG.

Рисунок 12

Кажется, мне придется перезапускать установку. Мы продолжим с того места, на котором остановились, после того как выйду из системы, снова зайду под нужной учетной записью и перезапущу процесс установки.

Рисунок 13

Теперь, когда я вошел под именем пользователя домена с правами локального администратора, мы продолжим процесс установки со страницы Внутренняя сеть . Если вы устанавливали ISA Firewall, вы узнаете эту страницу, поскольку она похожа на ту, что использовалась в предыдущих версиях ISA Firewall. Здесь вы указываете внутреннюю сеть по умолчанию. В большинстве случаев вам нужно выбрать опцию Добавить адаптер , поскольку это определит вашу стандартную внутреннюю сеть на основе таблицы маршрутизации, настроенной на ISA Firewall. Однако я не знаю, если поменять конфигурацию таблицы маршрутизации на ISA Firewall, изменится ли автоматически определение стандартной внутренней сети. Ставлю двадцать пять долларов, что нет, но лучше мы проверим это в будущем.

Рисунок 14

Страница Внутренняя сеть показывает определение внутренней сети по умолчанию. Нажмите Далее .

Рисунок 15

Страница Предупреждение службы информирует вас о том, что Служба SNMP , Служба администрирования IIS , Служба публикации World Wide Web Publishing Service и Служба Microsoft Operations Manager будут перезапущены во время процесса установки. Скорее всего, вы еще не установили роль веб сервера на эту машину, поэтому вам нет нужды беспокоиться о службах IIS Admin Service и World Wide Web Publishing Service, но вы должны быть в курсе перезапуска служб SNMP и Microsoft Operation Manager Service. Помните, TMG установит и настроит IIS 7 за вас.

Рисунок 16

Нажмите Установить на странице Мастер готов установить программу .

Рисунок 17

Строка прогресса будет отображать статус установки. Здесь видно, как устанавливается CSS.

Рисунок 18

Получилось! Страница Работа мастера установки завершена показывает, что процесс установки успешно завершен. Ставьте флажок напротив строки Запустить Forefront TMG Management после завершения установки . Нажмите Завершить .

Рисунок 19

На данном этапе вы увидите веб страницу Защитить сервер Forefront TMG . Здесь вам предоставлена информация о включении Microsoft Update, запуске ISA BPA, и чтении раздела Защита и безопасность файла помощи. Пока что я могу сказать о файле помощи одно, производители проделали отличную работу по обновлению его содержания. Он содержит гораздо больше информации, причем информации, гораздо больше приближенной к реальным условиям установки, включенной в новый усовершенствованный файл помощи. Я рекомендую вам потратить некоторое время на его прочтение. Я гарантирую вам, что если вы являетесь бывалым администратором ISA Firewall, файл помощи TMG даст вам много нового.

Рисунок 20

После завершения первичной установки, у вас откроется новый мастер Getting Started Wizard . Мастер Getting Started Wizard является новым компонентом, который представлен только для TMG и отсутствовал в предыдущих версиях ISA Firewall. Он включает в себя три базовых мастера, и необязательного четвертого, которого мы рассмотрим после того, как разберемся с первыми тремя.

Первый мастер – это Мастер настройки параметров сети . Перейдите по ссылке Настроить параметры сети на странице Getting Started Wizard .

Рисунок 21

На странице Добро пожаловать в мастера настройки сети нажмите Далее .

Рисунок 22

На странице Выбор сетевых шаблонов выберите сетевой шаблон, который вы хотите применить к TMG. Это те же самые сетевые шаблоны, которые использовались на предыдущих версиях ISA Firewall. Нажмите на каждой опции и прочтите информацию, показанную в нижней части страницы.

В этом примере, мы будем использовать предпочитаемый шаблон, коим является шаблон Edge firewall . Нажмите Далее .

Рисунок 23

На странице Параметры локальной сети (LAN) вам дается возможность настроить информацию IP адресации для интерфейса локальной сети. Сначала вы выбираете NIC (сетевая карта), которую вы хотите сделать интерфейсом LAN на ISA Firewall путем нажатия в навигационном меню на строку Сетевой адаптер, подключенный к LAN . Информация IP адресации для этого NIC появится автоматически. Здесь вы можете изменять информацию IP адресации. Вы также можете создать дополнительные статические маршруты, нажав на кнопку Добавить .

Я правда не знаю, какие изменения на этой станице буду подходящими для определения внутренней сети по умолчанию. Допустим, я решил настроить стандартную внутреннюю сеть на 10.0.0.0-10.0.0.255, а затем решил изменить IP адрес на внутреннем интерфейсе на этой странице с тем, чтобы он оказался на другом сетевом ID. Изменится ли определение внутренней сети по умолчанию? Что, если я добавлю статичный маршрут на внутреннем интерфейсе TMG? Будет ли это изменение отражено в определении внутренней сети по умолчанию? Я не знаю, но собираюсь провести некоторые исследования в будущем.

Я не буду вносить никаких изменений на этой странице, поскольку я уже настроил внутренний интерфейс и необходимую информацию IP адресации. Нажмите Далее .

Рисунок 24

На странице Параметры Интернета вы можете настраивать информацию IP адресации для внешнего интерфейса TMG firewall. Как и на предыдущей странице, вы выбираете NIC, которую вы хотите сделать внешним интерфейсом, выбрав в навигационном меню строку Сетевой адаптер, подключенный к Интернету . Здесь вы также можете изменить информацию IP адресации. Поскольку я уже настроил внешний интерфейс и информацию IP адресов, то не буду вносить здесь никаких изменений. Жмем Далее .

Рисунок 25

На странице Завершение работы мастера настройки сети показаны результаты внесенных изменений. Нажмите Завершить .

Рисунок 26

Вы окажетесь обратно на странице Getting Started Wizard . Следующий мастер – это Мастер настройки параметров системы . Перейдите по ссылке Настроить параметры системы .

Рисунок 27

Рисунок 28

На странице Идентификация хоста вам будет задан вопрос об имени хоста и доменной принадлежности брандмауэра TMG. В этом примере, мастер автоматически определил имя хоста машины, коим является TMG2009 . Мастер также определил принадлежность машины домену. Полагаю, что этот мастер позволит вам присоединиться к домену, если вы еще не сделали этого, или покинуть домен, если вы пожелаете. Также, если машина принадлежит рабочей группе, у вас будет возможность ввести первичный DNS суффикс, который ISA Firewall сможет использовать для регистрации вашего домена DNS, если у вас активирован DDNS и вам не требуются надежные обновления DDNS.

Поскольку я уже настроил эту машину в качестве члена домена, мне не нужно вносить никаких изменений на этой странице. Нажимаем Далее .

Рисунок 29

На этом работа с Мастером конфигурации системы закончена. Жмем Завершить на странице завершения работы мастера Completing the System Configuration Wizard .

Рисунок 30

У нас остался еще один мастер на странице Getting Started Wizard . Перейдите по ссылке Определить опции установки .

Рисунок 31

Рисунок 32

На странице Настройка Microsoft Update у вас есть опции Использовать службу Microsoft Update для поиска обновлений и Я не хочу использовать службу Microsoft Update Service . Обратите внимание на то, что TMG использует службу Microsoft Update не только для обновления OС и ПО брандмауэра TMG, но и для проверки наличия вредоносного ПО, причем делает он это несколько раз в день (по умолчанию, каждые 15 минут). Поскольку одним из основных преимуществ использования брандмауэра Microsoft перед другими брандмауэрами является его отличная функция автоматического обновления, то мы продолжим, и будем использовать сайт Microsoft Update. Нажимаем Далее .

Рисунок 33

На странице Определение параметров обновления вы указываете, хотите ли вы, чтобы брандмауэр TMG искал и устанавливал , просто искал или не делал ничего для обновления осмотра на вредоносное ПО. Вы также можете устанавливать частоту осмотра, которая по умолчанию имеет значение, равное каждым 15 минутам. Но вы можете установить значение загрузки обновлений раз в день, а затем настроить время дня, когда эти обновления будут устанавливаться. Нажмите Далее .

Рисунок 34

На странице Обратная связь с потребителем можно указать, хотите ли вы предоставить анонимную информацию компании Microsoft о конфигурации вашего оборудования и того, как используется продукт. Никакая информация, переданная Microsoft, не может быть использована для определения вашей личности, а также никакая личная информация не передается компании Microsoft. Полагаю, что мне нужно указать свое имя, дату рождения, номер социального страхования, лицензионный номер драйвера и адрес своего банка, а компании Microsoft я доверяю гораздо больше, чем своему банку, если учесть требования к банкам передавать информацию федеральному правительству. Поэтому передача этой технической информации компании Microsoft не представляет никакой опасности, и помогает ей создавать свою продукцию более стабильной и надежной. Выберите опцию Да, я хочу анонимно участвовать в программе Customer Experience Improvement (рекомендуется) .

Рисунок 35

На странице Служба телеметрии Microsoft вы можете настроить свой уровень принадлежности к службе телеметрии Microsoft. Служба Microsoft Telemetry помогает защититься от вредоносного ПО и несанкционированного доступа, путем предоставления компании информации о потенциальных атаках, которую компания Microsoft использует, чтобы помочь определить тип атаки и улучшить точность и эффективность снижения угроз. В некоторых случаях личная информация может по неосторожности быть отправлена Microsoft, однако компания не будет использовать эту информацию, чтобы определить вашу личность или связаться с вами. Сложно определить, какая именно личная информация может быть отправлена, но поскольку я привык доверять компании Microsoft, я выберу опцию Присоединиться с повышенным уровнем принадлежности . Нажимаем Далее .

Рисунок 36

На странице Завершение работы мастера установки показаны выбранные вами параметры. Нажимаем Завершить .

Рисунок 37

Вот и все! Мы закончили работу с мастером Getting Started Wizard . Но это не означает, что все закончено. Если вы отметите опцию Запустить мастера веб доступа , то откроется окно этого мастера. Давайте отметим эту опцию и посмотрим, что произойдет.

Рисунок 38

У нас откроется приветственное окно мастера Welcome to the Web Access Policy Wizard . Поскольку это новый способ создания политики брандмауэра TMG, думаю, мы подождем до следующей части, чтобы подробно рассмотреть этого мастера. Кажется, TMG позволит вам настраивать политику веб доступа немного иначе, чем в предыдущих версиях ISA Firewall, поэтому мы посвятим этому следующую часть.

Рисунок 39

Теперь, когда установка завершена, у нас появилась новая консоль. Если вы посмотрите на левую панель консоли, то увидите, что в ней абсолютно отсутствуют вкладки, что немного облегчает процесс навигации. Также мы видим новую вкладку Центр обновлений . Отсюда вы можете получить информацию об обновлениях службы защиты против вредоносного ПО TMG, и узнать, когда устанавливались эти обновления.

Рисунок 40

По завершении процесса установки я обнаружил, что были некоторые ошибки. Но это, наверное, связано с тем, что TMG вообще не работал после установки. Я смог решить эту проблему путем перезагрузки компьютера. Я не уверен, было ли это связано с тем, что брандмауэр TMG устанавливался на виртуальный сервер VMware, или с тем, что это бета версия.

Рисунок 41

Обращая внимание на Первичные задачи настройки , вы можете заметить, что несколько ролей и служб было установлено на этот компьютер, как часть установки TMG. Сюда входят:

Резюме

В этой статье мы рассмотрели процесс установки брандмауэра TMG. Здесь были некоторые изменения по сравнению с предыдущими версиями ISA Firewall, но ничего сверхъестественного. Это нормально, установка – это не тот процесс, от которого ждешь чего-то удивительного. Мы видели несколько замечательных улучшений в процессе установки, которые придают дополнительную гибкость во время настройки.

Если вы потратите еще немного времени на рассмотрение ПО брандмауэра TMG после установки, и не найдете ни одной черты, которую ожидали найти, не стоит беспокоиться. Это очень ранняя бета версия, и я полагаю, что она далека от завершения. Я знаю, что были запросы на дюжины других характеристик, когда была выпущена версия ISA 2000. Хотя иногда первые впечатления являются длительными, я не хочу быть причиной вашего первого впечатления от TMG. Помните, что это всего лишь первая бета версия, поэтому следует ожидать множества новых параметров и характеристик в будущем, которые могут сделать вас счастливыми. Спасибо!

На днях озадачились, и решили пересадить всех юзеров на проксю в TMG. Решил на виртуалке опробовать данный процесс.

Стандартные функции TMG клиента

• Политика брандмауэра на базе пользователей или групп для Web- и non-Web proxy по TCP и UDP протоколу (только для этих протоколов)
• Поддержка комплексных протоколов без необходимости использования прикладного фильтра TMG
• Упрощенная настройка маршрутизации в больших организациях
• Автоматическое обнаружение (Auto Discovery) информации TMG на базе настроек DNS и DHCP сервера.

Системные требования

TMG клиент имеет некоторые системные требования:

Поддерживаемые ОС

• Windows 7
• Windows Server 2003
• Windows Server 2008
• Windows Vista
• Windows XP

Поддерживаемые версии ISA Server и Forefront TMG

• ISA Server 2004 Standard Edition
• ISA Server 2004 Enterprise Edition
• ISA Server 2006 Standard Edition
• ISA Server 2006 Enterprise Edition
• Forefront TMG MBE (Medium Business Edition)
• Forefront TMG 2010 Standard Edition
• Forefront TMG 2010 Enterprise Edition

Настройки TMG клиента на TMG сервере

Есть лишь несколько параметров на сервере Forefront TMG, которые отвечают за настройку поведения Forefront TMG клиента. Прежде всего, можно включить поддержку TMG клиента для дефиниции внутренней сети на сервере TMG, как показано на рисунке ниже.

Рисунок 1: Параметры TMG клиента на TMG

После того, как поддержка TMG клиента включена (это умолчание при обычной установке TMG), можно также автоматизировать конфигурацию веб браузера на клиентских компьютерах. Во время нормальных интервалов обновления TMG клиента или во время запуска служб, браузер получает параметры, настроенные в консоли управления TMG.

В параметрах «Приложения» на TMG клиенте в консоли TMG можно включить или отключить некоторые настройки зависимости приложений.

AD Marker

Microsoft Forefront TMG предоставляет новую функцию автоматического определения TMG сервера для TMG клиента. В отличие от предыдущих версий Firewall клиентов, Forefront TMG клиент теперь может использовать маркер в Active Directory для поиска соответствующего TMG сервера. TMG клиент использует LDAP для поиска требуемой информации в Active Directory.

Примечание: если TMG клиент не нашел AD маркер, он не перейдет на классическую схему автоматического обнаружения через DHCP и DNS по соображениям безопасности. Это сделано для снижения риска возникновения ситуации, в которой взломщик пытается заставить клиента использовать менее безопасный способ. Если подключение к Active Directory удалось создать, но невозможно найти AD Marker, клиенты TMG переходят к DHCP и DNS.

Инструмент TMGADConfig

Для создания конфигурации маркера AD Marker в Active Directory вы можете загрузить TMG AD Config инструмент из центра загрузки Microsoft Download Center (вам нужно найти AdConfigPack.EXE). После загрузки и установки инструмента на TMG вам нужно выполнить следующую команду в интерпретаторе, чтобы внести ключ маркера AD в раздел реестра:

Tmgadconfig add ‘default ‘type winsock ‘url http://nameoftmgserver.domain.tld:8080/wspad.dat

Можно также удалить AD маркер с помощью инструмента tmgadconfig, если вы решите не использовать поддержку AD Marker.

Установка TMG клиента

Самую последнюю версию TMG клиента можно загрузить с веб-сайта компании Microsoft.

Начните процесс установки и следуйте указаниям мастера.

Рисунок 3: Установка TMG клиента

Можно указать месторасположение TMG сервера вручную, или автоматически во время процесса установки TMG клиента. После установки можно перенастроить параметры механизма определения в TMG клиенте с помощью инструмента настройки TMG клиента, который расположен в панели задач вашего клиента.

Рисунок 4: Выбор компьютера для установки TMG клиента

Расширенное автоматическое определение

Если вы хотите изменить поведение процесса автоматического определения, в клиенте TMG теперь есть новая опция для настройки метода автоматического определения.

Рисунок 5: Расширенное автоматическое определение

Уведомления HTTPS осмотра

Microsoft Forefront TMG обладает новой функцией осмотра HTTPS трафика для исходящих клиентских соединений. Для информирования пользователей об этом процессе новый TMG клиент может использоваться, чтобы информировать пользователей о том, что исходящие HTTPS подключения подвергаются проверке, если вам это нужно. У администраторов TMG также есть возможность отключения процесса уведомления централизованно с сервера TMG, или вручную на каждом Forefront TMG клиенте.

Одной из функций Forefront TMG является поддержка нескольких клиентов, которые используются для подключения к Forefront TMG Firewall. Одним из типов клиентов является Microsoft Forefront TMG клиент, также известный под названием Winsock клиент для ОС Windows. Использование TMG клиента предоставляет несколько усовершенствований по сравнению с другими клиентами (Web proxy и Secure NAT). Forefront TMG клиент может быть установлен на несколько клиентских и серверных ОС Windows (что я не рекомендую делать за исключением серверов терминалов (Terminal Servers)), которые защищены с помощью Forefront TMG 2010. Forefront TMG клиент предоставляет уведомления HTTPS проверки (используемой в TMG 2010), автоматическое обнаружение, улучшенную безопасность, поддержку приложений и управление доступом для клиентских компьютеров. Когда клиентский компьютер с работающим на нем клиентом Forefront TMG делает Firewall запрос, этот запрос направляется на Forefront TMG 2010 компьютер для дальнейшей обработки. Никакой специальной инфраструктуры маршрутизации не требуется из-за наличия процесса Winsock. Клиент Forefront TMG прозрачно направляет информацию пользователя с каждым запросом, позволяя вам создавать политику брандмауэра на компьютере Forefront TMG 2010 с правилами, которые используют учетные данные, пересылаемые клиентом, но только по TCP и UDP трафику. Для всех остальных протоколов вы должны использовать Secure NAT клиентское соединение.

Помимо стандартных функций предыдущих версий клиентов Firewall, TMG клиент поддерживает:

• уведомления HTTPS осмотра
• поддержку AD Marker

Стандартные функции TMG клиента

• Политика брандмауэра на базе пользователей или групп для Web- и non-Web proxy по TCP и UDP протоколу (только для этих протоколов)
• Поддержка комплексных протоколов без необходимости использования прикладного фильтра TMG
• Упрощенная настройка маршрутизации в больших организациях
• Автоматическое обнаружение (Auto Discovery) информации TMG на базе настроек DNS и DHCP сервера.

Системные требования

TMG клиент имеет некоторые системные требования:

Поддерживаемые ОС

• Windows 7
• Windows Server 2003
• Windows Server 2008
• Windows Vista
• Windows XP

Поддерживаемые версии ISA Server и Forefront TMG

• ISA Server 2004 Standard Edition
• ISA Server 2004 Enterprise Edition
• ISA Server 2006 Standard Edition
• ISA Server 2006 Enterprise Edition
• Forefront TMG MBE (Medium Business Edition)
• Forefront TMG 2010 Standard Edition
• Forefront TMG 2010 Enterprise Edition

Настройки TMG клиента на TMG сервере

Есть лишь несколько параметров на сервере Forefront TMG, которые отвечают за настройку поведения Forefront TMG клиента. Прежде всего, можно включить поддержку TMG клиента для дефиниции внутренней сети на сервере TMG, как показано на рисунке ниже.

Рисунок 1: Параметры TMG клиента на TMG

После того, как поддержка TMG клиента включена (это умолчание при обычной установке TMG), можно также автоматизировать конфигурацию веб браузера на клиентских компьютерах. Во время нормальных интервалов обновления TMG клиента или во время запуска служб, браузер получает параметры, настроенные в консоли управления TMG.

В параметрах «Приложения» на TMG клиенте в консоли TMG можно включить или отключить некоторые настройки зависимости приложений.

Рисунок 2: Настройки TMG клиента

AD Marker

Microsoft Forefront TMG предоставляет новую функцию автоматического определения TMG сервера для TMG клиента. В отличие от предыдущих версий Firewall клиентов, Forefront TMG клиент теперь может использовать маркер в Active Directory для поиска соответствующего TMG сервера. TMG клиент использует LDAP для поиска требуемой информации в Active Directory.

Примечание: если TMG клиент не нашел AD маркер, он не перейдет на классическую схему автоматического обнаружения через DHCP и DNS по соображениям безопасности. Это сделано для снижения риска возникновения ситуации, в которой взломщик пытается заставить клиента использовать менее безопасный способ. Если подключение к Active Directory удалось создать, но невозможно найти AD Marker, клиенты TMG переходят к DHCP и DNS.

Инструмент TMGADConfig

Для создания конфигурации маркера AD Marker в Active Directory вы можете загрузить TMG AD Config инструмент из центра загрузки Microsoft Download Center (вам нужно найти AdConfigPack.EXE). После загрузки и установки инструмента на TMG вам нужно выполнить следующую команду в интерпретаторе, чтобы внести ключ маркера AD в раздел реестра:

Tmgadconfig add ‘default ‘type winsock ‘url http://nameoftmgserver.domain.tld:8080/wspad.dat

Можно также удалить AD маркер с помощью инструмента tmgadconfig, если вы решите не использовать поддержку AD Marker.

Установка TMG клиента

Самую последнюю версию TMG клиента можно загрузить с веб-сайта компании Microsoft.

Начните процесс установки и следуйте указаниям мастера.

Рисунок 3: Установка TMG клиента

Можно указать месторасположение TMG сервера вручную, или автоматически во время процесса установки TMG клиента. После установки можно перенастроить параметры механизма определения в TMG клиенте с помощью инструмента настройки TMG клиента, который расположен в панели задач вашего клиента.

Рисунок 4: Выбор компьютера для установки TMG клиента

Расширенное автоматическое определение

Если вы хотите изменить поведение процесса автоматического определения, в клиенте TMG теперь есть новая опция для настройки метода автоматического определения.

Рисунок 5: Расширенное автоматическое определение

Уведомления HTTPS осмотра

Microsoft Forefront TMG обладает новой функцией осмотра HTTPS трафика для исходящих клиентских соединений. Для информирования пользователей об этом процессе новый TMG клиент может использоваться, чтобы информировать пользователей о том, что исходящие HTTPS подключения подвергаются проверке, если вам это нужно. У администраторов TMG также есть возможность отключения процесса уведомления централизованно с сервера TMG, или вручную на каждом Forefront TMG клиенте.

Рисунок 6: Осмотр защищенных подключений

Если осмотр исходящих HTTPS подключений включен и параметр уведомления пользователей об этом процессе также включен, пользователи, на компьютерах которых установлен Forefront TMG клиент, будут получать сообщение подобное тому, что показано на рисунке ниже.

Рисунок 7: Сообщение об использовании осмотра защищенных подключений

Заключение

В этой статье я предоставил вам обзор процесса установки и настройки нового Microsoft Forefront TMG клиента. Я также показал вам некоторые новые функции этого Forefront TMG клиента. На мой взгляд, вам следует использовать TMG клиента в любой возможной среде, поскольку он предоставляет вам дополнительные функции безопасности.

Я планирую создание нового сайта и на этот раз собираюсь использовать Drupal. Ибо WordPress показал себя не очень хорошо на возросших нагрузках. На Drupal создание сайтов так же просто и надежно, а маштабируемость и надежность решения намного выше.

Очень хороший сайт с достойным ассортиментом детских игр:обучающие игры для ребенка , развивающие игры и многое другое.

Большинство сказанного ниже в равной степени относится как к TMG (Threat Management Gateway 2010), так и к ISA 2006.

Многое в этих микрософтовских произведениях можно понять, многое увидеть и разобраться, глядя на графический интерфейс, но некоторые вещи необходимо просто знать, иначе ничего не заработает.

Ресурсов для ТМГ, как и для любого продукта микрософт, требуется несуразно много. ЦПУ — не меньше 4 ядер, больше-лучше, (гипертрейдинг) HT — приветствуется, ОЗУ — не меньше 4 Гб, в нагруженных конфигурациях (до 12 000 клиентов) требуется до 12 Гб. (_http://technet.microsoft.com/ru-ru/library/ff382651.aspx). В частности, на TMG 2010, к которому подключен 1 клиент, не обращающийся в данный момент к интернету, монитор производительности показал загрузку 2 ЦПУ = 1…5 %, ОЗУ = 2.37 Гб.

Сервер TMG поддерживает 3 способа работы через него:
— Клиент TMG — специальная программа устанавливается на ПК (годится клиент от ISA 2006);
— Клиент Web-proxy — настройка клиентского приложения для работы через прокси;
— Клиент SecureNat — в свойствах TCP/IP в качестве шлюза по умолчанию указан сервер TMG.

Управление доступом на основании учетных записей (AD или на самом TMG 2010) возможно либо с использованием Клиента TMG либо клиентом Web-proxy. Последнее означает, что никакого специального клиента на ПК не ставится, а клиентское приложение умеет работать через прокси-сервер и на нем настроены в качестве proxy-сервера адрес и порт сервера TMG. Клиент SecureNat авторизацию НЕ поддерживает.

Правила доступа на сервер TMG проверяются последовательно сверху вниз. Как только запрос клиента подошел под одно из правил (по трем полям: Protocol, From, To), так просмотр правил прекращается, т.е. остальные — игнорируются. И если запрос не удовлетворяет полю Condition этого правила, то доступ клиенту не предоставляется, несмотря на то, что следом может идти правило, разрешающее такой доступ.

Пример . Пользователь с установленным клиентом ТМГ и шлюзом по умолчанию, настроенным на сервер ТМГ запускает программу Outlook 2010. Учетная запись этого пользователя входит в группу безопасности AD-Internet.

Правило 3 разрешает весь исходящий трафик для пользователей, входящих в группу AD-Internet. Но программа Outlook не сможет связаться с внешним почтовым сервером, потому что с настройками по умолчанию Клиент ТМГ НЕ перехватывает запросы Outlook, а клиент SecureNat не умеет авторизоваться, и не сможет доказать серверу TMG, что его пользователь входит в группу AD-Internet. Однако, почтовый протокол попадает под определение “All Outbound Traffic”, а направление «From: Internal, To:External» соответствует запросу клиента, и поэтому обработка правил прекращается именно на правиле №3.

Если правила 3 и 4 переставить местами, то Outlook работать будет, потому что правило 4 не требует авторизации. Другой способ — в правиле 3 (не перемещая его) ограничить список протоколов, например оставить только HTTP и FTP. Тогда запрос от программы Outlook не “зацепится” за правило 3 и проверка дойдет до правила 4, по которому клиент получит доступ.

Есть еще способ пробиться через правила рис.1. Вернемся к упомянутым выше настройкам по умолчанию . Клиент ТМГ не перехватывает запросы Outlook потому, что в настройках приложений (Application Settings) клиент ТМГ отключен.

В левом дереве консоли управления Forefront TMG узел Networking, в средней части закладка Networks, сеть Internal, на правой панели закладка Tasks, пункт Configure Forefront TMG Client Settings. (На ISA 2006: Configuration — General — Define Firewall Client Settings.)

Если изменить здесь значение с 1 на 0, то Outlook будет работать через ТМГ по правилу доступа №3, приведенному на рис. 1.

А теперь вопрос на засыпку: почему в конфигурации Рис.1 не ходят пинги?

Ответ . Ping соответствует по параметрам (Protocol, From, To) правилу №3, и по этому просмотр правил доступа прекращается именно на правиле №3. Но Ping не умеет авторизоваться, поэтому для него доступ запрещен. Можно, например, над правилом №3 сделать отдельное правило:

Протокол = PING
From = Internal или All Networks
To = External
Users = All Users

Как подключить аудитора (чужака) к Интернету

Предполагается, что у аудитора свой ноут и его в свой домен вводить не будем.

Способ 1 . Задать на его ПК IP-адрес из разрешенного диапазона (требуются права администратора на его ПК).

Способ 2 . В браузере указать Прокси: IP-адрес и порт своего ТМГ. Предварительно на ТМГ сделать локальную учетку и дать её аудитору. Оптичить Basic в вариантах авторизации.

Параметры адаптеров

(в трехзвенной архитектуре):

Int — внутренний (смотрит в локальную сеть), Per — сеть периметра (она же DMZ), Ext (внешний, подключен к интернету непосредственно или через другое оборудование).

Обратите внимание : Отключение ‘File and Print Sharing for Microsoft Networks’ на внутреннем интерфейсе ISA сервера не позволит подключаться к общим папкам (шарам) этого ISA сервера, независимо от системной политики или каких-то других правил доступа. Это рекомендуется для лучшей безопасности, т.к. общим папкам совершенно не место на фаерволе.

Порядок соединений (в окне Network Connections меню Advanced — Advanced Settings — вкладка Adapters and Bindings):
— Int,
— Per,
— Ext.