Installing TMG 2010 (Workgroup mode)
TMG sau Forefront Trusted Management Gateway este inlocuitorul lui ISA Server, Enterprise Firewall-ul produs de Microsoft. Incepand cu aceasta versiune, TMG vine doar in versiunea pe 64 de biti spre deosebire de ISA care rula doar pe Windows x86. OS-urile suportate sunt Windows Server 2008 & R2 (numai x64).
Anumite componente ale produsului sunt schimbate semnificativ fata de vechile versiuni, insa acestea fiind destul de low level, nu vor fi observate de un administrator obisnuit. Si ma refer in special la integrarea cu Windows Filtering Platform.
Cate ceva despre system requirements:
– 64bit processor – dual core
– 2Gb RAM
Nota: merge si cu un core si doar 1Gb RAM, insa performantele lasa de dorit (de folosit in configuratia asta numai in mediu de test)
– 2.5Gb spatiu pe disk
– 2 placi de retea (pentru operarea in firewall mode)
– Windows 2008 SP2 sau R2 (x64)
– .Net Framework 3.5 SP1
– Windows Installer 4.5
– nu este suportata instalarea pe domain controller 🙂
– este suportata instalarea in VM
Astea sunt cerintele asa in mare. Restul de componente (roluri & features) sunt instalate de catre TMG Preparation Tool.
Mai multe detalii puteti gasi aici:
http://technet.microsoft.com/en-us/library/dd896981.aspx
Scenariu pentru care m-am decis sa fac acest tutorial arata cam asa:
Un server cu 2 placi de retea, una conectata la Internet si una in LAN, pe care ruleaza Windows 2008R2 + TMG 2010. In LAN am sisteme stand alone fara domain controller. Sau daca am, in acest scenariu nu doresc integrarea TMG cu Active Directory.
Inainte de a incepe instalarea este bine sa configurati partea de networking si sa va asigurati ca aveti conectivitata in retelele conectate, altfel dupa instalarea TMG lucrurile se complica, filtrarile de pe TMG facand diagnosticul mai dificil.
Tip:denumiti adapatoarele de retea cu nume sugestive.
Gateway se seteaza numai pe placa externa. In scenariul fara AD, setam DNS doar pe placa externa a serverului.
Inainte de pornirea setup-ului e bine sa actualizam sistemul de operare cu ultimele update-uri pentru a evita urmatoarele reboot-uri.
Preparation tool-ul imi instaleaza toate componentele necesare pentru ca TMG sa se poate instala. Cei care s-au jucat cu versiunea beta cunosc chinul de a instala manual aceste componente.
Normal ca vom dori sa instalam si serviciile TMG si consola de administrare.
Si abia in clipa asta incepe instalarea propriu zisa a TMG-ului.
Nota: Instalarea nu mai este la fel de rapida ca la versiunile ISA2000/2004/2006.
Acum urmeaza pasul cel mai important. Definirea zonei de adrese interne. Atentie! Aici trebuie sa puneti doar range-urile de adrese interne. Wizard-ul o poate face pentru voi selectand placa de retea interna (o sa adauge subnetul la care este atasata placa).
Instalaea este completa, acum urmeaza setup-ul initial care mi se pare enervant. As fi preferat sa ma lase sa imi fac eu regulile asa cum vreau fara nici o interventie din partea lui. Oricum este folositor pentru cei fara prea mare experienta cu acest produs.
Aici selectati modelul retelei voastre. Ceea ce am selectat eu mai jos se refera la un server cu 2 placi de retea care face legatura intre extern si intern. In lista se mai afla, modelul cu TMG in spatele altui firewall, si modelul cu TMG doar cu o placa de retea, folosit doar pentru webp proxy, caching si publishing.
Network template-urile iti definesc relatiile dintre retelele conectatae la TMG.
Avem si optiunea sa joinam serverul la domeniu insa nu o sa o facem pentru ca am spus ca mergem pe scenariul cu server standalone.
Web Protection se licentiaza separat ca subscriptie, insa din clipa in care instalati TMG aveti acces la acest feature cat trial 120 de zile.
Recomand sa bifati si Enable URL Filtering pentru ca este un feature foarte util.
NIS aka Network Inspection System este modulul de IPS si inspecteaza traficul pe baza unor semnaturi publicate de catre MS. Foarte util atunci cand nu a aparut fix pentru anumite vulnerabilitati, insa exista un model pentru traficul facut de exploit.
Acum instalarea si configurarea initiala a produsului fiind completa, rulam acest Web Access wizard, care ne poate ajuta sa definim primele reguli de acces.
Nota: by default dupa instalare, TMG blocheaza tot traficul (aproape) in & out, asa ca fara sa definiti reguli de acces, nu o sa functioneze nimic.
Urmatoarea optine va crea o regula care va bloca tot traficul ce se incadreaza in anumite categorii predefinite in TMG.
Categoriile le vedeti in fereastra urmatoare iar in spate sta serviciul Microsoft Reputation Service (o imensa baza de date folosita pentru a clasificata site-urile de pe Internet).
Urmatoarea optiune se refera la scanarea malware a traficului web ce trece prin TMG.
Nou in TMG exista optiunea de a face inspectie pe conexiuni HTTPS. Cu toate ca wizard-ul sugereaza activarea optiunii de inspectie HTTPS, recomand ca in aceasta etapa sa nu o activati si sa selectati Allow all HTTPS traffic. Activarea acestei optiuni fara sa intelegi foarte bine ce face si fara sa anunti end user-ul despre cum se poate schimba experienta lui de navigare pe web, poate crea probleme.
Urmeaza partea de web caching, unde e bine sa specificam dimensiunea cache-ului (in functie de spatiul pe care il avem la dispozitie si de traficul la care este supus serverul).
Si acum sa inspectam putin consola de administrare. Primul lucru observat sunt cele doua butoane Apply & Discard. Pentru a salva regula nou creata si setarile din Wizardul de configurare e nevoie sa aplicam modificarile cu Apply.
Mai jos am pus cateva imagini din consola:
Cam aici in Firewall Policy se desfasoara majoritatea activitatii de administrare.
Web access policy este de fapt un alt view al regulilor, dar doar pentru cele care contin protocoalele HTTP si FTP.
Putem observa aici ca prima regula blocheaza accesul la anumite categorii, iar ce trece mai departe este permis de urmatoarea regula.
Mai departe, m-am conectat pe un sistem din reteaua interna si am incercat sa accesez o pagina de pe internet. Inainte de asta am configurat in Internet Explorer adresa TMG-ului ca si web proxy. Este necesar sa configurez IE-ul asa pentru ca in regulile de acces nu am si regula pentru traficul DNS, iar clientul neputand sa interogheze servere DNS externe trebuie sa apeleze la TMG pentru rezolutia de nume.
Sesiunea web proxy poate fi vazuta in interfata de administrare si pot afla detalii mai amanuntite despre modul in care s-a efectuat conexiunea.
Si iata ca TMG functioneaza si este gata pentru a imbunatati performantele conexiunii la internet si pentru a bloca traficul de tip malware sau cel catre destinatii riscante pentru utilizatorii din reteaua mea.
Atat de aceasta data, insa voi mai reveni si cu alte scenarii si detalii de configurare mai avansate despre acest produs.
10 Responses to “Installing TMG 2010 (Workgroup mode)”
Comment from Cosmin
Time June 23, 2010 at 12:35 am
Felicitari pentru articol. Multumim pentru tot efortul depus.
Comment from Andrei Ungureanu
Time June 23, 2010 at 12:35 pm
Cu placere.
Comment from Adrian Beizdadea
Time June 23, 2010 at 12:58 pm
Salutare,
Este un articol util, am ceva experienta cu produsele anterioare ISA dar TMG-ul inca nu l-am instalat sau aprofundat…pare interesant si are cateva lucruri noi (pare f. utila facilitatea MS Reputation Services;)
Dar am si o intrebare daca stie default TMG-ul cu ISA 2006 stiu ca nu se putea, stie sa faca SNAT IP Addresses Static Mapping? Un exemplu in link-ul de mai jos http://forums.isaserver.org/m_80042200/mpage_1/key_/tm.htm#2002089679
Adrian
Comment from Andrei Ungureanu
Time June 23, 2010 at 3:26 pm
Parca merge. Adica tin minte ca exista ceva de genul asta cand am testat versiunile beta si se numea Enhanced NAT.
O sa ma uit zilele astea si o sa las loc de un post pe tema asta.
Comment from Geo
Time June 26, 2010 at 1:16 am
Si pe mine tot partea de NAT 1:1 ma interesa. Din cate am vazut eu la ISA2006 nu exista functionalitatea asta singura solutie ar fi IPBinder. habar nu am cum e la TMG dar ar fi bine de aflat daca stie careva.
Nu inteleg cum o chestie atat de simpla nu poate fi implementata intr-un produs atat de des folosit.
Comment from Andrei Ungureanu
Time June 28, 2010 at 1:18 pm
Nu e chiar asa, anumite “bucati” din acest NAT 1:1 la care va referiti sunt incluse si in ISA si TMG. Sunt doua aspecte separate la NAT 1:1, inbound access si outbound access. Partea asta de outbound access e inclusa numai in TMG, insa pentru scenariile de inbound si ISA 2006 poate fi folosit fara probleme.
IP Binder face doar partea de outbound, asa ca daca il cumparati aveti grija sa nu dati banii de pomana.
Chiar lucrez la un articol care sa clarifice lucrurile astea.
Pingback from Tweets that mention Installing TMG 2010 (Workgroup mode) » RO Windows Administrators Weblog — Topsy.com
Time June 30, 2010 at 11:56 pm
[…] This post was mentioned on Twitter by Emil CHERICHEȘ. Emil CHERICHEȘ said: Pe linux se poate obține același efect din mult mai puține clickuri :)) http://is.gd/d8IjY […]
Pingback from TMG 2010 Recap » RO Windows Administrators Weblog
Time January 20, 2011 at 8:09 am
[…] trecut am postat un articol introductiv despre TMG http://www.winadmin.ro/2010/06/22/installing-tmg-2010-workgroup-mode/ si o sa […]
Pingback from TMG 2010–Install Options » RO Windows Administrators Weblog
Time January 21, 2011 at 8:03 am
[…] articol precedent am discutat despre o varianta de instalare a TMG. Cea mai simpla de fapt. Standalone […]
Pingback from Andrei Ungureanu’s Blog : Tutorial TMG
Time June 22, 2010 at 10:41 am
[…] Articolul il gasiti aici: http://www.winadmin.ro/2010/06/22/installing-tmg-2010-workgroup-mode/ […]