Category: MS FOREFRONT TMG

I Giới thiệu:

Như các bạn đã biết, MS ISA Server là sản phẩm Firewall do Microsoft phát triển, nhưng hiện nay sản phẩm MS ISA Server đã dừng lại ở phiên bản cuối cùng là MS ISA Server 2006. Để thay thế cho MS ISA Server, Microsoft đã đưa ra sản phẩm Firewall mới có tên gọi là Forefront Threat Management Gateway (Forefront TMG)

Forefront Threat Management Gateway là sản phẩm cung cấp đầy đủ các tính năng bảo mật tích hợp giữa Internet Security and Acceleration Server (ISA) , Forefront Client Security, Forefront Security for Exchange Server, Forefront Security for SharePoint. Các bạn có thể xem chi tiết các tính năng của Forefront TMG trong bài viết “Tổng quan Microsoft Forefront Threat Management Gateway”

Nhằm mục đích cập nhật công nghệ mới, trong bài lab này chúng tôi xin giới thiệu với các bạn cách cài đặt Forefront TMG Beta1.

Bài lab bao gồm các bước:

1. Cài đặt Forefront TMG:
2. Cài đặt và cấu hình Firewall Client
3. Kiểm tra truy cập Internet

 

II Mô hình :

III Chuẩn bị :

– Download Forefront TMG tại đây : http://technet.microsoft.com/en-us/evalcenter/cc339029.aspx . Forefront TMG cũng là 1 phẩn của tổng thể dự án xung quanh Forefront gọi là “Stirling”. Bạn có thể tải về tất cả hoặc chỉ TMG. TMG sẽ hoạt động tốt mà không cần đến “Stirling”, trong các bài viết sau tôi sẽ giới thiệu với các bạn về “Stirling”.

Xem chi tiết

Vừa qua, Microsoft đã công bố sản phẩm Forefront Threat Management Gateway (Forefront TMG) Beta1, đây là sản phẩm cung cấp tính năng bảo mật tích hợp giữa Internet Security and Acceleration Server (ISA) , Forefront Client Security, Forefront Security for Exchange Server, Forefront Security for SharePoint.

Các đặc điểm của Forefront TMG:

– Bảo vệ hệ thống toàn diện

– Quản lý đơn giản

– Đơn giản giám sát hệ thống

Forefront TMG cung cấp đầy đủ các tính năng của một Firewall:

A. Các tính năng mới:

Tính năng	Mô tả
Tương thích với Windows Server 2008, 64-bit	TMG chỉ có thể chạy trên Windows Server 2008 64-bit
Tùy chọn Antivirus, Antimalware	– Quét những file bị lây nhiễm – Ngăn chặn những file bị nghi ngờ – Ngăn chặn những file tìm thấy đã bị hỏng – Ngăn chặn những file không thể scan – Ngăn chặn tất cả file đã được mã hóa – Ngăn chặn những file vượt quá thời gian admin qui định cho phép quét – Ngăn chặn những file có kích thước lớn do admin qui định – Loại bỏ các trang web một cách linh hoạt dựa trên địa chỉ IP, tên domain,  các URL do admin định nghĩa – Kiểm soát nội dung:  những sự lây nhiễm từ malware, virus có thể gây ra sự chậm trễ trong việc truyền tải nội dung từ server đến client.  TMG sẽ kiểm sóat nội dung trong khi quét nhằm giúp phát hiện các phần mềm độc hại.  Nếu như việc truyền tải dữ liệu từ server đến client bị chậm trễ, TMG sẽ tự động thông báo tiến trình đang quét file đến client, chẳng hạn như ”Nội dung đang được kiểm tra”
Cấu hình quản lý truy cập web	Cho phép cấu hình quản lý việc truy cập web chỉ bằng 1 thao tác
Ngăn chặn việc truy cập đến 1 địa chỉ đã được định trước	– Bật tính năng kiểm tra các phần mềm độc hại và theo dõi lưu lượng web – Bật tính năng Web Cache

B. Những tính năng cốt lõi:

I. Server Publishing: Bảo mật truy cập đến các server trong hệ thống nội bộ

Tính năng	Mô tả
Tường lửa sẽ tạo ra những form để bạn điền vào bằng cách chứng thực theo dạng form base	Tạo ra các form được khi truy cập vào những trang Outlook Web Access dựa trên form base. Điều này tăng cường an ninh cho việc truy cập từ xa vào Outlook Web Access bằng cách ngăn ngừa những user không được chứng thực liên lạc đến máy chủ Outlook Web Access.
Remote access đến Terminal Services bằng SSL	Những máy tính chạy HĐH Windows Server 2003 hỗ trợ RDP thông qua SSL cho phép kết nối SSL đến Windows Server 2003 Terminal Services.
Thi hành các kết nối RPC trong Microsoft Exchange từ Microsoft Outlook và client dùng kết nối MAPI	– Publishing Rule cho phép người sử dụng kết nối từ xa đến Exchange Server bằng cách sử dụng đầy đủ chức năng Outlook MAPI client thông qua Internet. Client sẽ được cấu hình để sử dụng an toàn rpc đó. Vì thế kết nối được mã hóa – RPC policy cho phép bạn khóa tất cả những kết nối không được mã hóa
Outlook Web Access Publishing	– Truy cập từ xa thông qua các hình thức kết nối SSL của SSL VPNs – Tạo một bức tường lửa và tạo ra các quy định của Outlook Web Access SSL kết nối để Exchange Server của bạn
Microsoft Office SharePoint Server Publishing	Giao diện wizard mới hướng dẫn publishes nhiềuWindows SharePoint Services sites

II. Virtual Private Networking (VPN)

Tính năng	Mô tả
Kết nối đến văn phòng chi nhánh bằng VPN	Tự động cấu hình kết nối VPN Site to site giữa 2 văn phòng.
Tích hợp giữa VPN với dịch vụ Microsoft Firewall	Bao gồm các chức năng đầy đủ của VPN.
Thanh lọc và kiểm tra cho VPN	VPN Client được cấu hình như một vùng mạng riêng Tạo chính sách cho các VPN client.
SecureNAT client hỗ trợ cho VPN clients kết nối đến TMG VPN server	– Mở rộng hỗ trợ VPN Client bằng cách cho phép Secure NAT  truy cập Internet mà không yêu cầu Firewall Client cài đặt trên máy Client. – Tăng cường an ninh mạng cho công ty, buộc người sử dụng dựa trên hoặc nhóm dựa trên firewall policy trên VPN SecureNAT client.
VPN Quarantine	Dùng công cụ VPN quarantine trên Windows Server 2003 cho việc thanh lọc và tích hợp vào firewall policy.
Publishing VPN servers	– Publish IP protocols và PPTP servers. – Ứng dụng bộ lọc Smart PPTP để quản lý các kết nối phức tạp – Publish Windows Server 2003 NAT-T L2TP over IPSec VPN server bằng cách sử dụng TMG 06 server publishing.
Chế độ IPSec tunnel hỗ trợ cho kết nối site-to-site VPN links	Phát triển site-to-site link dùng chế độ IPSec tunnel như giao thức VPN

III. Các tính năng quản lý

Tính năng	Mô tả
Dễ dàng sử dụng các tính năng quản lý	– Bao gồm các tính năng quản l‎ý nhằm nâng cao mức độ an ninh mạng – Giao diện người dùng quen thuộc với task panes, context-sensitive Help panes, và Getting Started Wizard.
Export và import dữ liệu đã được cấu hình	Lưu dữ liệu đã được cấu hình thành file .xml và sau đó bạn có thể import file này vào 1 server khác
Ủy quyền cho firewall administrator roles	Bạn có thể gán quyền quản l‎ý administrative roles cho user hoặc group.
TMG Microsoft Operations Manager (MOM) Management Pack	MOM Management Pack cho phép doanh nghiệp xem sự kiện giám sát và củng cố cho các bức tường lửa hoạt động.
Mở rộng SDK	Bao gồm một bộ SDK toàn diện cho việc phát triển những công cụ xây dựng trên TMG firewall, bộ nhớ đệm, và các tính năng quản lý.
Mở rộng hỗ trợ các sản phẩm khác	Cung cấp các sản phẩm, chẳng hạn như  quét virus, công cụ quản lý, và lọc các nội dung và báo cáo, trên đó xây dựng và hội nhập với TMG.

IV. Monitoring and Reporting: Giám sát và báo cáo hiệu quả hơn

Tính năng	Mô tả
Giám sát việc đăng nhập	– Xem firewall, Web Proxy, và SMTP Message Screener logs – TMG Server Management hiển thị thị trực quan các mục đăng nhập giống như đang quay lại quá trình đăng nhập của người dùng.
Xây dựng truy vấn cơ sở đăng nhập	– Truy vấn các tập tin log  bằng cách sử dụng trong truy vấn cơ sở đăng nhập. – Truy vấn cho các bản ghi thông tin chứa trong bất kỳ lĩnh vực nào được ghi trong truy vấn cơ sở đăng nhập.. – Giới hạn phạm vi điều chỉnh của các truy vấn đến một khung thời gian cụ thể. – Kết quả sẽ được hiển thị trong TMG MBE Management , có thể được sao chép vào Clipboard và dán vào một ứng dụng khác cho phân tích chi tiết hơn.
Giám sát và lọc session dựa trên firewall sessions	Xem tất cả các hoạt động kết nối đến firewall. Từ việc xem một session, bạn có thể phân loại hoặc ngắt session của 1 cá nhân hoặc 1 group.
Kết nối xác thực	Xác minh kết nối bằng cách thường xuyên theo dõi cụ thể kết nối tới một máy tính hoặc URL từ TMG MBE bằng cách sử dụng kết nối xác thực. Bạn có thể cấu hình để sử dụng phương pháp đó để xác định loại kết nối: Ping, kết nối TCP đến một cổng cụ thể, hoặc HTTP GET.
Tùy biến báo cáo TMG	Tuỳ biến nâng cao tính năng cho thêm thông tin chi tiết trong firewall report
Report publishing	– Cấu hình TMG báo cáo một cách tự động. Bạn có thể lưu file báo cáo này vào folder được chỉ định. – Map folders hoặc file đến Web site virtual directory để người dùng có thể xem các báo cáo.
Thông báo bằng email sau khi tạo ra báo cáo	Cấu hình email , sau khi một báo cáo được hoàn thành,  TMG sẽ gửi email cho bạn

C. Yêu cầu cài đặt

Processor	Memory	Operating System	Software	Hard Disk
Tối thiểu 1GHz	Tối thiểu 1GB	Windows Server 2008 x64 edition	Microsoft SQL Server 2005 Express Edition	Tối thiểu 150MB

ISA Server 2006 là phiên bản mới nhất của sản phẩm Microsoft  ISA Server. Về giao diện thì ISA 2006 giống ISA 2004 đến 90%. Tuy nhiên, nó có những tính năng mới nổi trội hơn mà ISA 2004 vẫn còn hạn chế, chẳng hạn như:

+ Phát triển hỗ trợ OWA, OMA , ActiveSync và RPC/HTTP pubishing

+ Hổ trợ SharePoint Portal Server

+ Hổ trợ cho việc kết nối nhiều certificates tới 1 Web listener

+ Hỗ trợ việc chứng thực LDAP cho Web Publishing Rules

+…

Ở phần 1 này, các bạn sẽ bắt đầu làm quen với ISA Firewall thông qua việc cài đặt ISA Server 2006

Bài lab bao gồm các bước:

1. Cài đặt ISA Server 2006

2. Cài đặt và cấu hình Firewall Client

3. Cấu hình Auto Discovery

4. Tạo Access Rule để kiểm tra kết nối Internet

Nội dung bài lab

 

Cài đặt ISA? Thật là đơn giản!!!

Trong quá trình công tác và giao tiếp với một số quản trị viên hệ thống, tôi thỉnh thoảng được nghe bày tỏ quan điểm như vừa nói trên. Quả thật, không hề đại ngôn khi cho rằng cài ISA thật là đơn giản.
Chính vì “thật là đơn giản” nên “có khi mưa ngoài trời là giọt nước mắt em, đã tan theo vào đời làm thành nỗi ưu phiền” (lời của nhạc sĩ Trịnh Công Sơn chứ không phải của Mr. Bill Gates). Tức là sau khi cài xong rồi thì không chỉ riêng server ISA mà cả hệ thống LAN bỗng dưng trở nên chập chờn như mưa nắng Sài Gòn làm anh quản trị ưu phiền không dứt!!! Vì thế bài viết này không nhằm hướng dẫn từng bước mà chỉ nêu lên một số vấn đề cần đặc biệt quan tâm khi cài đặt với mong muốn giúp quý vị xây dưng một server ISA 2006 hoàn chỉnh ngay từ những bước đầu tiên.

1. Cấu hình máy chủ cần thiết:
– CPU Intel hoặc AMD tối thiểu 773 MHz.
– RAM tối thiểu 512MB.
– Tối thiểu 01 card mạng (nếu chỉ dùng ISA làm proxy server).
– Đĩa cứng trống tối thiểu 150MB, định dạng NTFS.
– Hệ điều hành Windows server 2003 SP1 32 bit hoặc Windows Server 2003 R2 32 bit
Băng thông internet và cấu hình đề nghị tương ứng:
Băng thông: đến 25 Mbps
CPU: 3 đến 4 GHz
RAM: 512 MB
Card mạng: 10/100 Mbps
Số kết nối VPN đồng thời tối đa: 700
Băng thông: đến 90 Mbps
CPU: Dual core 2 đến 3 GHz
RAM: 2 GB
Card mạng: 100/1000 Mbps
Số kết nối VPN đồng thời tối đa: 2000
Tham khảo thêm cấu hình tối ưu tại: http://www.microsoft.com/technet/isa/2006/perf_bp.mspx

2. Hoàn chỉnh bảng định tuyến (routing table)
Bảng định tuyến trên máy ISA và các router nội bộ nên được cấu hình hoàn chỉnh trước khi cài ISA. Bảng định tuyến phải có định tuyến mặc định (default route) hướng đến cổng (gateway) phù hợp và phải có đủ các định tuyến (route) đến mọi mạng con (network – subnet) trong nội bộ. Trong hầu hết các mô hình mạng thông dụng, định tuyến mặc định sẽ được tạo ra bằng cách khai báo giá trị default gateway trên card mạng mà ISA dùng để kết nối internet.
Theo nguyên tắc định tuyến, chỉ có thể có 01 default gateway khả dụng (nghĩa là chỉ có 01 định tuyến mặc định khả dụng); vì thế, phải tạo thêm các định tuyến đến các mạng con trong nội bộ để ISA có thể giao tiếp (và phục vụ) mọi thành phần mạng trong nội bộ. Xin đơn cử một cấu trúc mạng đơn giản thông thường:

Chú ý rằng trên interface 192.168.3.254 của router nội bộ phải có default gateway 192.168.3.1
Với cấu hình IP như trên, bảng định tuyến của ISA sẽ có các định tuyến:
Dest. Subnet mask Gateway Interface
0.0.0.0 0.0.0.0 192.168.0.2 192.168.0.1
192.168.0.0 255.255.255.0 192.168.0.1 192.168.0.1
192.168.3.0 255.255.255.0 192.168.3.1 192.168.3.1

Để ISA có thể giao tiếp với hệ thống mạng nội bộ, phải thêm 2 định tuyến:
Dest. Subnet mask Gateway Interface
192.168.1.0 255.255.255.0 192.168.3.254 192.168.3.1
192.168.2.0 255.255.255.0 192.168.3.254 192.168.3.1
Để tạo thêm định tuyến, có thể dùng console Routing and Remote Access hoặc các lệnh NETSH và ROUTE
ví dụ:
route add 192.168.1.0 mask 255.255.255.0 192.168.3.254 metric 1
route add 192.168.2.0 mask 255.255.255.0 192.168.3.254 metric 1

3. Chú ý thông số DNS
Để có thể phục vụ cho Proxy client và Firewall client, ISA phải có khả năng phân giải được các tên miền (DNS name) của nội bộ và của internet. Để thoả yêu cầu này, chỉ khai báo thông số preferred DNS server trên card mạng trong (card nối với mạng nội bô – internal interface):
– Preferred DNS server: địa chỉ IP của máy chủ DNS nội bộ. (xem lại hình minh hoạ).
– Alternate DNS server: địa chỉ IP của máy chủ DNS thứ hai (backup / secondary DNS server) nội bộ.
– Có thể tuỳ chọn tăng tốc phân giải bằng cách khai báo DNS forwarder trên máy chủ DNS nội bộ.
Cho dù ISA được triển khai trên máy đơn (stand-alone server) hay trên thành viên của domain (domain member server) thì vẫn khai báo máy chủ DNS như vừa nêu trên. Không bao giờ dùng máy chủ DNS của nhà cung cấp dịch vụ internet (ISP). Đây là một lỗi thường gặp khi cấu hình thông số IP trên máy ISA. Lỗi cấu hình này sẽ dẫn đến quá trình phân giải DNS của ISA bị chậm hoặc thậm chí bị thất bại.
Dĩ nhiên vẫn phải loại trừ trường hợp mạng nội bộ không có máy chủ DNS – nghĩa là không có domain – thì thông số DNS được cấu hình trên card mạng nối internet (external interface) là địa chỉ IP máy chủ DNS của ISP.

4. Tinh chỉnh cấu hình external interface
Để bảo đảm nhân viên bảo vệ – ISA – toàn tâm toàn ý với công việc của mình, cần có một số quy định sau đây:
– Quy định 1: Không được … đi nhậu!!!
– Quy định 2: Không được mời ai đến phòng bảo vệ để … nhậu!!!
– Quy định 3: Không được nghe lời … bọn xấu dụ dỗ!!!
Để tăng cường bảo vệ chính máy ISA, cần thiết lập các hạn chế trên external interface:
– Để thoả quy định 1 và quy định 2: External interface properties: bỏ các dấu kiểm “Client for Microsoft Networks” và “File and Printer Sharing for Microsoft Networks”

– Để thoả quy định 3: External interface properties > Internet Protocol (TCP/IP) properties > nút Advanced > tab WINS: bỏ dấu kiểm “Enable LMHOSTS lookup” và chọn “Disable NetBIOS over TCP/IP”

5. Cài ISA trên một máy chủ “sạch”
Cũng với mục tiêu “đào tạo” một nhân viên bảo vệ chuyên trách & để giúp nhân viên này “vô cảm” trước “gợi ý” của những kẻ “bất chính”, nên cài ISA trên một máy sạch, nghĩa là chỉ có hệ điều hành như yêu cầu.
Cài thêm bất cứ dịch vụ gì trên ISA cũng đồng nghĩa với việc chia sẻ hiệu suất giành cho hoạt động định tuyến và chặn lọc thông tin.
Cài thêm bất cứ dịch vụ gì trên ISA cũng đồng nghĩa với việc gia tăng nguy cơ chính ISA bị tấn công.
Tất nhiên không được phép tiết kiệm đến mức cài ISA ngay trên Domain Controller. Khi đó không chỉ ISA không hoàn thành nhiệm vụ mà Domain Cotroller cũng “tê liệt ” nốt. Nếu nhân viên bảo vệ đồng thời là … giám đốc doanh nghiệp thì … xin miễn ý kiến!!!

6. Nên cài ISA trên stand-alone server hay domain member server?
Khi cài ISA trên stand-alone server, đương nhiên ISA sẽ không có bất cứ quan hệ luận lý nào với domain. Ưu điểm của cấu trúc này là kẻ tấn công không thể thông qua ISA để “với tới” dịch vụ danh bạ động (Active Directory service) hay domain controller. Thế nhưng giá phải trả là ISA không thể kiểm soát và chứng thực được domain user nếu không thông qua RADIUS server (Remote Authentication Dial-In User Service).
Chọn phương án cho ISA giao tiếp AD qua trung gian RADIUS được xem là một phương pháp tăng cường bảo vệ hệ thống bằng cách phức tạp hóa “lộ trình” đến AD của kẻ tấn công. Và tất yếu là công tác của quản trị viên cũng sẽ … phức tạp hơn.
Cài ISA trên member server: Có thể dùng quyền local administrator để cài ISA trên domain member server. Khi cấu hình các rule với quyền của domain administrator, có thể triển khai kiểm soát và chứng thực được domain user.
Lựa chọn stand-alone hay member server có thể xem là lựa chọn giữa độ bảo mật với độ phức tạp cấu hình và … túi tiền. Xét trên khả năng chặn lọc hữu hiệu của ISA, đa số tổ chức thiên về phương án giảm độ phức tạp và bảo toàn … ngân quỹ tức cài ISA trên domain member server.
Tuy nhiên, các bước cài đặt là như nhau trên cả hai môi trường

7. Những lưu ý rất quan trọng khi cài đặt:
– Kích hoạt tập tin ISAAutorun.exe từ đĩa cài đặt ISA 2006.
– Hộp thoại Microsoft Internet Security and Acceleration Server 2006: Nếu ISA có thể truy cập internet, nên chọn Review Release Notes và đọc release notes. Văn bản này có một số thông tin quan trọng mô tả những thay đổi chức năng cơ bản mà ta không thể tìm được trong phần giúp đỡ (Help) của chương trình ISA. Sau khi tham khảo release notes, chọn Install ISA Server 2006.
– Hộp thoại Setup Type: Khác với ISA 2004, ISA 2006 không có phương thức cài Firewall Client Installation Share trên ISA server. Do vậy, chỉ chọn Custom (trên hộp thoại kế tiếp, chọn Change) nếu không muốn cài ISA trên đĩa hệ thống hiện hành. Nếu không, chọn Next.
– Hộp thoại Internal Network: Khai báo tất cả các khoảng IP thuộc hệ mạng nội bộ. Giả sử hệ mạng có cấu trúc như ở đầu bài viết, cần phải khai báo 03 khoảng: 192.168.1.0 – 192.168.1.255, 192.168.2.0 – 192.168.2.255 và 192.168.3.0 – 192.168.3.255 (ISA tương thích RFC 1812). Nếu khai báo thiếu một phân đoạn mạng nào trong LAN thì thông tin từ phân đoạn mạng đó (khi đến với ISA) sẽ bị ISA xem như “người ngoài” (External). ISA xem Internal Network là một “vùng tin cậy” (trusted zone) và dùng Internal Network trong các System Policy rule để phục vụ hoạt động cũa hệ điều hành. Khai báo Internal Network sai hoặc thiếu sẽ ảnh hưởng không chỉ hoạt động của các máy trong LAN mà còn ảnh hưởng đến chính ISA.
– Hộp thoại Firewall Client Connections: Chỉ cần check “Allow non-encrypted Firewall client connections” nếu trong LAN có các máy được cài các phiên bản trước của WinSock Proxy (MS Proxy Server 2.0) hoặc Firewall Client ISA 2000. Nếu chọn phương thức này thì user name và password từ các máy trong LAN gửi đến ISA sẽ không được mã hóa. Cách tối ưu là nên cài Firewall Client ISA 2006 trên các máy trạm.

———

Bài viết của MCT Lê Ngọc Hiến – NHAT NGHE IT TRAINING CENTER

 

 

Hi bà con, do một thời gian qua làm lab với ISA Server 2006 Std thì Hiếu có gặp 1 số lỗi ở ISA Firewall Client 2006, các “triệu chứng” thường gặp sau đây :

– User loggon domains không được hoặc chậm, kể cả user thuộc nhóm Administrator.

– Không lấy được AD Users khi tạo các Access Rules …

Các bạn có thể khắc phục bằng cách sau đây :

B1. UnJoin máy ISA Server ra khỏi Domain.

B2. Remove ISA Firewall Client ra khỏi các máy client. Restart lại.

B3. Cho máy ISA Server join lại Domain.

B4. Download ISA Firewall Client và cài lại trên các máy client. (Không dùng ISA Client đi theo ISA)

http://www.microsoft.com/downloadS/details.aspx?FamilyID=05c2c932-b15a-4990-b525-66380743da89&displaylang=en

VPN (Virtual Private Network) là giải pháp hữu hiệu để kết nối các hệ thống mạng của doanh nghiệp có nhiều chi nhánh và nằm khác vị trí địa lý hoặc doanh nghiệp của bạn có nhiều nhân viên phải thường xuyên đi công tác xa và họ muốn truy cập vào tài nguyên mạng nội bộ. Để đáp ứng các nhu cầu trên,trong phần 3 này tôi sẽ trình bày cách cấu hình VPN Client to Gateway thông qua ISA Server 2006

Bài lab bao gồm các bước:

1. Cấu hình VPN Client to Gateway trên máy ISA Server

2. Tạo access rule cho phép kết nối VPN

3. Cấu hình NAT Inbout trên Router ADSL

4. Kiểm tra kết nối VPN

Nội dung bài LAB