Serverskolen del 5: Installasjon av TMG (Microsoft Threat Managment Gateway)

Da har vi nå en fysisk server med hyper-v som inneholder to virtuelle maskiner, en domenekontroller og og den blanke serveren som vi nå skal installere knutepunkter for nettverket vårt på. Det vi nå skal sette opp er serveren som knytter alt sammen i tillegg til å beskytte nettet vårt fra det store skumle Internett. TMG (Threat Managment Gateway) er Microsoft sin brannmur som jeg personlig har fått et veldig godt forhold til. Den er lett å sette opp og lett å administrere, men gir også noen svært avanserte muligheter. Slik som du ser på designet på løsningen vår under, som vi tittet på i den første posten, så fungerer TMG-serveren vi skal sette opp som en ruter hvor vi definerer både nettverk og hvordan informasjon som skal rutes mellom de.

Hva tilbyr TMG?

  • URL filtrering
  • HTTP filtrering
  • HTTPS inspeksjon – Gjør at TMG kan se hva som skjuler seg inne i HTTPS krypterte pakker.
  • E-post beskyttelse
  • Network Inspection Systems (NIS)
  • Forhindring og detektering av inntrengere
  • Sikker ruting og VPN

Installasjon av TMG

Da vi allerede har en ferdig virtuell maskin fra forrige del av serverskolen satt opp med navnet TMG så er det bare å sette igang. IP-konfigurasjonen skal som alltid være som i nettverkskonfigurasjonsdokumentet vårt.

HUSK! Å være pålogget som en domeneadministrator når du installerer TMG.

  • Mount TMG-ISO-fil på VM’et (Forefront Threat management Gateway 2010 Standard Edition)
  • Start DVD’n
  • Run Preparation Tool
  • Velg Forefront TMG Services and Management
  • Launch Forefront TMG Installation Wizard
  • Aksepter Lisens, Serialcode, Path
  • Legg til IP range for Internal-nett: 192.168.0.0 – 192.168.0.255

Ikke start management console etter install (avbryt om du startet det).

Kjør så følgende oppdateringer:

1

Microsoft Forefront Threat Management Gateway (TMG) 2010 Service Pack 1
http://www.microsoft.com/download/en/details.aspx?displaylang=en&id=16734

2

Software Update 1 for Microsoft Forefront Threat Management Gateway (TMG) 2010 Service Pack 1
http://www.microsoft.com/download/en/details.aspx?id=11445

3

Software Update 1 Rollup 4 for Forefront Threat Management Gateway (TMG) 2010 Service Pack 1
http://support.microsoft.com/kb/2517957

4

Microsoft SQL Server 2008 Service Pack 2
http://www.microsoft.com/download/en/details.aspx?id=12548

Reboot

Start Forefront TMG Management

Getting Started Wizard

Configure network settings

3-Leg Perimeter

Local Area Network (LAN) Settings – Velg Internal-nettet

Network Adapter connected to The Internet – Velg External-nettet

Network Adapter connected to the perimeter network – Velg Perimeter-nettet

  • What type of IP addresses servers in the perimeter network use? – Velg Private

Configure system settings

Define deployment options

Microsoft Update Setup – Use Microsoft Update service to check for updates (recommended)

Web Protection

License: Activate purchased license and enable Web Protection

Key: (nøkkel du fikk på Technet)

Customer feedback: No, I don’t want to participate

Microsoft Telemetry Reporting Service: None. No information is sent to Microsoft

Velg å fortsette med Web Access Policy Wizard.

 

Konfigurasjon av TMG

Etter at TMG er installert slik som beskrevet overfor så er den egentlig klar for bruk. Det er svært mye man kan gjøre fra TMG Dashboardet, men jeg skal peke på de elementene som kanskje er viktigst i begynnelser. I den senere delen hvor vi skal sette opp VPN kommer vi til å bruke litt mer avanserte deler av TMG’en sine innstillinger.

Her har jeg markert de tre menyvalgene som er viktigst i begynnelsen i bruk av TMG.

I vårt oppsett skal TMG benyttes til to ting, en softwareruter som binder sammen nettverket vårt og en brannmur som bestemmer hva som kommer inn og ut av nettet vårt.

Firewall Policy:

Det er her vi setter opp reglene for hva som skal komme inn og ut av av nettet. Default er det kun 2 regler som du trenger:

Disse reglene betyr at all trafikk fra all utgående protokoller kan gå fra Internal og VPN Clients til External fra alle brukere. Dette er primært rettet mot webtrafikk osv. Den siste regelen som alltid bør ligge i bunn er at alt som ikke er spesifisert over skal blokkeres. En annen regel som jeg har laget er eksempelvis regelen for å få Plex til å fungere:

Her er det altså bare å se på den høyre fanen i administrasjonsgrensesnittet hvor man finner snarveier for å opprette det meste. Under fanen toolbox kan du se hvilke forhåndsdefinerte protokoller som finnes samt å lage både nye protokoller og objekter som f.eks datamaskiner. Under Tasks har du forhåndsdefinerte brannmuroppsett samt de to mer dynamiske wizardene Publish Non-Web Server Protocols og Configure Access Rules, som kan defineres til å kunne gjøre det meste, her må man bare eksperimentere for å gi applikasjonene man har på internnettverket riktig tilgang til Internett.

Networking:

Det er her du setter opp hvordan rutingen skal foregå i nettverket ditt. Her kan du dele opp nettverket ditt og sette opp hvordan og hvilken kommunikasjon som skal kunne utveksles mellom nettverkene.

Logs and Reports:

Dette menyvalget her er helt essensielt i forhold til å feilsøke. Ved å kunne monitorere all trafikk som kommer ut og inn av nettverket ditt vil du også finne ut hva du må endre for å gi applikasjoner som ikke får kontakt med omverden de riktige portåpningene.

1. Hvorfor bygge egen server?
2. Budsjett, hardware og planlegging
3. Bygging og installasjon av OS
4. Installasjon av hyper-v, syspreppet image og domenekontroller
5. Installasjon av TMG (Threat Managment Gateway)
6. Hvordan sette opp VPN på TMG
7. Automatiske oppdateringer med WSUS
8. Backup av virtuelle maskiner
9. 13 må ha applikasjoner for en hjemmeserver