התקנת Forefront TMG 2010

התקנת TMG 2010
בעוד שראוטר מאפשר לנתב בין רשתות ולייצר סט של חוקים לחסימה
או קבלת תעבורה ברמה הבסיסית ביותר, פיירוול הוא סוג של ראוטר על סטרואידים.
מעבר לניתוב התעבורה בין רשתות, הוא מספק פתרון הכולל בתוכו פונקציות נוספות כגון:
פרסום של פרוטוקולים ושירותי רשת שונים, סינון כתובות, הגנות בפני פרצות,
שירותי פרוקסי, הגנה בפני וירוסים ועוד…

ה Forefront TMG 2010 הינו מוצר מבית מיקרוסופט שפותח כולו בישראל
ומשמש להגנת הרשת הארגונית מפני איומים מבוססי אינטרנט על ידי שילוב של מספר שכבות אבטחה.
במדריך זה נעבור על תהליך התקנת המוצר.

ה TMG מורכב מהשירותים הבאים:

יש לציין כי למיקרוסופט ישנם שני מוצרי פיירוול: TMG ו UAG.
בדומה לשאר מוצרי האבטחה של מיקרוסופט, שניהם הוכנסו תחת משפחת ה Forefront Protection Suite.
ה Forefront Unified Access Gateway או בקיצור UAG – מסופק בד"כ כרכיב חומרה (Appliance).
וה Forefront Threat Management Gateway, או בקיצורTMG  המתפקד כמוצר תוכנה
אותו ניתן להתקין על מערכת ההפעלה
.

דרישות חומרה מינימליות:

דרישות תוכנה
מערכת הפעלה:SP2  Windows 2008 x64 ומעלה.

הכנות מקדימות

  1. נתקין מערכת הפעלה- מומלץ Windows 2008 Server R2 SP1.

  2. נבצע התקנה של כל העדכונים הרלוונטיים (Windows Updates).

  3. נגדיר כתובת IP קבועה לרשת הפנימית ולרשת החיצונית.
    מספר כרטיסי הרשת הנדרשים על השרת תלויים בטופולוגית הרשת המתבקשת:
    External- בכרטיס הרשת החיצוני (זה שמחובר לראוטר של ספק האינטרנט) נגדיר את
    כתובת ה Public IP שקבלנו מהספק (ה DG -הינו הכתובת של הראוטר).
    Internal- בכרטיס רשת הפנימי (זה שמחובר למתג של ה LAN) נגדיר
    כתובת IP פנימית, וכתובת DNS (בדרך כלל שרת ה Active directory).
    DMZ-  בכרטיס רשת ה Perimeter נגדיר את כתובת ה IP של ה DMZ.
    רשת זו משמשת בדרך כלל להצבת שרתי ווב, שרתי DNS, או רשת  WLANהמחוברת
    לרשת האחרת. כתובת ה IP יכולה להיות Public או Private תלוי בטופולוגית הרשת.
    TMG- IP Settings

  4. נצרף את המכונה לדומיין או נשאיר אותה כ Workgroup בהתאם לשיקולים הנדרשים.
    *במידה ובחרנו שה TMG יהיה חבר בדומיין, נגדיר את ה FQDN בטאב של ל DNS Suffix.
    TMG-DNS Suffix

  5. נגדיר משתמש מקומי או משתמש ב Active Directory (לדוגמה: TMGAdmin), נצרף אותו
    לקבוצת ה Administrators המקומית שבשרת ונבצע אתו לוגין.

  6. מומלץ, אך לא חובה- להוריד ולהגדיר את bginfoפרטים נוספים.

התקנת TMG
מדריך התקנה רשמי: Installing Forefront TMG
ניתן להוריד גרסת ניסיון ל 180 יום מהקישור הנ"ל.
ה TMG זמין בשתי גרסאות:
גרסת ה Enterprise Edition -המאפשרת זמינות מידית ופריסת תפקידי השרת למען חלוקת עומסים.

גרסת ה Standard Edition- ראה מרכיבי רישוי.

להלן ווידאו המלווה את תהליך ההתקנה
YouTube Preview Image

1. נכניס את דיסק ההתקנה של TMG 2010 לכונן.
2. נקליק על אופציית Run Windows Updates, על מנת לבצע עדכונים קריטיים למערכת ההפעלה.
3. נקליק על אופציית ה- Run Preparation Tool על מנת ש TMG יבצע התקנה של הקומפוננטות הדרושות
למערכת הפעלה.
4. נקליק על Run Installation Wizard כדי להפעיל את אשף ההתקנה של TMG.
TMG Installation Wizard

בחלון ה Installation Type נבחר באופציית ה Forefront TMG Services and Management
כדי להתקין את מוצר הTMG  וכן גם את ממשק הניהול.
TMG Installation Type

בחלון ה Define Internal Network, נגדיר את מתחם הכתובות של הרשת הפנימית
ע"י לחיצה על כפתור ה Add. לאחר מכן ניתן להוסיף את הכתובות באופן ידני ע"י
בחירת אופציית ה Add Range או באופן אוטומטי ע"י בחירה בכפתור ה Add Adapter.
TMG- Define Internal Network

בסיום ההתקנה, נסמן את ה  Launch Forefront TMG Management ונקליק על Finish.
פעולה זו תעלה את חלון ה Getting Started wizard בו נבצע את ההגדרות הראשוניות.
ניתן להעלות חלון זה גם ע"י כניסה לממשק הניהול של ה TMG, ע"י סימון ה TMG Array
ובחירה באופציה Getting Started wizard.

בחלון ה Getting Started wizard מוצגים בפנינו שלושה אשפי הגדרות:
Configure network Settings- בו נגדיר את טופולוגית הרשת.
Configure system settings- בו נגדיר את שם השרת ושייכות לקבוצת מחשבים או דומיין.
Define deployment options- בו ניתן להפעיל שירותי אבטחה נוספים בהתאם לסוג הרישוי שברשותנו.

חלון ה Configure network Settings
אשף זה ילווה אותנו בהגדרת טופולוגית הרשת, הרשתות / כרטיסי הרשת המחוברים לפיירוול.
TMG -Configure network Settings

בחירת טופולוגית הרשת הרצויה
בחלון ה Network Template Selection נדרש לבחור את טופולוגית הרשת
שברצוננו להגדיר- TMG network topology.
TMG network topology

Edge Firewall
נבחר בטופולוגיה זו במידה וברצוננו למקם את הפיירוול בקצה של הרשת.
כלומר, ה"רגל" החיצונית תהיה מחוברת לראוטר וה"רגל" הפנימית תהיה מחוברת
למתג של הרשת הפנימית. כך שה TMG יהיה הDG  של הרשת הפנימית
וכל תעבורת הרשת תעבור דרכו לאינטרנט.

3Leg Perimeter
נבחר בטופולוגיה זו במידה וברצוננו לחבר ל TMG שלוש רשתות: DMZ, פנימית וחיצונית.

Back firewall
נבחר בטופולוגיה זו במידה וברצוננו למקם את הפיירוול ברשת הפנימית מאחורי רכיב רשת
כגון ראוטר או פיירוול נוסף. כלומר הפיירוול לא יענה לבקשות הבאות מהאינטרנט,
אלא התעבורה תנותב אליו מרכיב רשת אחר-
פרטים נוספים.

Single network adapter
בטופולוגיה זו ל TMG מחובר רגל אחת בלבד (פנימית או DMZ), ולכן לא יכול לשמש כ"פיירוול אמיתי",
אלא כפרוקסי, דיסק מטמון, או כ שרת VPN  לצורך התחברות מרחוק-
פרטים נוספים.

מדריך זה מבוסס על התקנת TMG שעליו מוגדרים שני כרטיסי רשת (פנימי וחיצוני) בלבד
ולכן בחרתי בתבנית הרשת של Edge firewall.
TMG - Network Template

בחלון ה LAN Settings, נבחר את כרטיס הרשת המחובר לרשת הפנימית.
אין צורך בהגדרת Default gateway לרשת הפנימית.
*כתובות ה IP הרלוונטיות יילקחו באופן אוטומטי מהגדרות של כרטיס הרשת.
TMG - LAN Settings

בחלון ה Internet Settings, נבחר בכרטיס הרשת החיצוני.
אין צורך בהגדרת כתובת DNS לרשת החיצונית.
*כתובות ה IP הרלוונטיות ילקחו באופן אוטומטי מהגדרות של כרטיס הרשת.
TMG - Internet Settings

בחלון הבא יוצג בפנינו סיכום של ההגדרות שביצענו,
נאשר אותן ונקליק על כפתור ה Finish.

חלון ה Configure system settings
השלב הבא בתהליך מאפשר לנו להגדיר את שם השרת ושייכות לקבוצת מחשבים או דומיין.
במידה וצרפנו את שרת ה TMG  כחבר בדומיין, נסמן את אופציית ה "Windows domain"
במידה ולא, נסמן את אופציית ה Workgroup ונקליק על כפתור ה Next.
TMG - Configure system settings

חלון ה Define deployment options
TMG - Define deployment options

בחלון זה ניתן להפעיל שירותי אבטחה נוספים: NIS וה Web Protection בהתאם לסוג הרישוי שברשותנו.
את ה Malware Inspection, וה URL Filtering ניתן להפעיל אך ורק במידה והפעלנו את
ה Web Protection
- פרטים נוספים.
TMG - Features Settings

חלון ה Getting Started Wizard
לאחר שסיימנו לבצע את ההגדרות בחלונות ה: Network, System ו Deployment, נשאיר את הסימון
של ה Run the Web Access wizard ונקליק על כפתור ה Close.
TMG -Run the Web Access wizard

בחלון ה Web Access Policy Rules, ניתן לאפשר ל TMG לייצר "חוק" חסימה באופן אוטומטי  (מומלץ)
ע"י בחירה באופציית ה "Yes" או לבטל זאת ולייצר את ה"חוק" באופן עצמאי לאחר מכן.
TMG -Web Access Policy Rules

בחלון ה Block Web Destination, ניתן לאפשר ל TMG לייצר "חוק" שיבצע חסימה לאתרים
ותכנים הנחשבים "מסוכנים". ניתן להוסיף או להסיר חוקים נוספים.
TMG -Block Web Destination

בחלון ה "Block Web Destinations Exceptions"  ניתן להוסיף משתמשי "VIP" שעליהם
לא תחול החסימה שהגדרנו ב"חוק" הקודם.
TMG -Block Web Destinations Exceptions

בחלון ה Malware Inspection Settings (במידה והפעלנו אופציה זו בעת ההתקנה),
ניתן לאפשר ל TMG לבצע סריקה וחסימה של קבצים (כגון zip) שבתוכם עלול להימצא קוד זדוני.
TMG -Malware Inspection Settings

בחלון ה "HTTPS Inspection Settings" ניתן לאפשר לTMG  לבצע סריקה לתכנים "מסוכנים"
כאשר מתבצעת גלישה לאתרים מוצפנים (https).
TMG -HTTPS Inspection Settings

בחלון ה " Web Cache Configuration" נאפשר ל TMG  לייצר קובץ cache מקומי (פרוקסי),
על מנת להאיץ גישה לאתרים.

לאחר התקנת TMG
1. לאחר התקנת TMG, נפעיל את ממשק הניהול,
נכנס לטאב ה Firewall Policy ונייצר "חוק" חדש
שיאפשר גישה מהרשת הפנימית לרשת החיצונית.
TMG - Outbound Rule

2. נתחבר לכל השרתים והתחנות שברשת הפנימית ונגדיר (נחליף או נוסיף)
להם את ה Default Gateway.
כתובת ה DG צריכה להיות כתובת ה IP של כרטיס הרשת הפנימי (Internal) של ה TMG.
* במידה ואנו משתמשים בשרת DHCP, נגדיר גם בו את כתובת ה DG,
כדי שכל המחשבים ברשת הפנימית יקבלו את ההגדרות החדשות
.

3.  נבצע התקנה של TMG 2010 SP1.
ניתן לבצע זאת באמצעות Windows Update או ע"י הורדה והתקנה באופן יזום.
TMG 2010 SP1

יצירת חוקים
ב TMG ניתן לייצר שני סוגי חוקים: חוק גישה (Access Rule), וחוק פרסום (Publishing Rule):
חוק גישה – בשיטה זו, כאשר משתמש יוצר תקשורת מהרשת הפנימית לאינטרנט
הוא יזוהה עם כתובת ה IP  של הפיירוול. כלומר ה TMG יספק לו את כתובת ה IP החיצונית של הרשת.
חוק פרסום- בשיטה זו, הפיירוול מאפשר גישה למשתמשים חיצוניים (הבאים מהאינטרנט) לשרתים
הממוקמים מאחורי הפיירוול. לאחר יצירת החוק, הTMG  יאזין לבקשות המגיעות אליו ויעביר אותן לרשת המיועד
.

ראה ווידאו המסביר את המנגנון: Route vs NAT Routing
YouTube Preview Image

ראה ווידאו המלווה את התהליך של יצירת חוק פרסום של פרוטוקול ה RDP המספק
גישה של Remote Desktop לשרת הממוקם ברשת הפנימית.

YouTube Preview Image

ראה ווידאו המלווה את התהליך של יצירת חוק פרסום Web של שירות
ה OWA המספק גישה לדף ההתחברות לשרת ה Exchange הממוקם ברשת הפנימית.

YouTube Preview Image
YouTube Preview Image

[Slashdot] [Digg] [Reddit] [del.icio.us] [Facebook] [Technorati] [Google] [StumbleUpon]

Related posts


נהנית מהפוסט? ניתן להביע זאת בעזרת השארת תגובה ויצירת המשך דיון, או הרשמה לפיד ה-RSS וקבלת כל הפוסטים ישידות לקורא ה-RSS שלך.

טרקבקים & פינגים

עדיין לא נשלחו טרקבקים ופינגים.

תגובות

שלום הראל ראשית אני מאוד נהנה מהתוכן שיש כאן זה מוסיף הרבה.
ברשותך אני מחפש פתרון עניין הבא:

אצלנו ברשת התקנתי את ה-TMG והוא מוגדר כ-Back Firewall
יש ברשתנו כ-8 חיגנים של חברת רימון, ואני מעוניין להגדיר שכל קבוצה תצא לאינטרנט דרך חייגן אחר, נסתי למצוא זמן רב פתרון אך עדיין לא מצאתי אולי תוכל לעזור
תודה מראש מיכאל

השארת תגובה

(חובה)

(חובה)