Archive for the ‘Forefront’ Category.

Forefront UAG – DirectAccess Part 4

Jeg har grundinstalleret Forefront UAG med update 1.
Inden jeg konfigurerer UAG netærks-topologi og DirectAccess, vil jeg forinden tjekke og optimerer netkorts-konfigurationen.
Jeg starter med at rename de to netkorts-interface, så de stemmer overens med den fysiske opkobling.

 

Tjek at LAN interfacet er konfigureret korrekt i forhold til blank gateway og intern DNS.

 

For LAN interface, tjek at DNS suffix er udfyldt med internt domæne navn.

For WAN interfacet fravælg “Client for Microsoft Networks” og “File and Printer Sharing for Microsoft Networks”.

Tjek at WAN interfacet står med korrekt IP informationer og blank DNS.

 

For WAN interfacet, sikre at det er de korrekte public IP adresser der er indtastet.

For WAN interface, tjek at DNS suffix er udfyldt med ekternt domæne navn og “Register this connection’s address in DNS” er fravalgt.

For WAN interface, tjek at “Enable LMHOSTS lookup” og “NetBIOS over TCP/IP” er fravalgt/disablet.

Gå til “Advanced” – “Advanced Settings”.

Konfigurer “connect order”, som vist på nedenstående billede.

 

Forefront UAG – DirectAccess Part 4 er nu afsluttet.

Forefront UAG – DirectAccess Part 3

Jeg er nu kommet til det punkt, hvor jeg vil aktivere “autoenrollment” for computer certifikater.
I forbindelse med DirectAccess (IPsec), benyttes der computer certifikter til klient validering/authentication.
Jeg laver her disse settings i min føroprettede GPO WIN_DA.

Vælg “Edit” på WIN_DA GPO’en og gå til:
Computer ConfigurationPoliciesWindows SettingsSecurity SettingsPublic Key Policies
Højre musetast på “Automatic Certificate Request Settings”, vælg “New” og klik på “Automatic Certificate Request”.

Klik “Next”.

Vælg “Computer” og klik “Next”.

 

Klik på “Finish” knappen”.

 

Jeg har nu følgende settings i min WIN_DA GPO.

 

Kør herefter kommandoen dnscmd /config /globalqueryblocklist wpad på alle de interne DNS servere. I mit tilfælde er det WIN-DC-002 og WIN-DC-003.
Denne kommando fjerner ISATAP fra DNS’ens globale “query block list”.

Opret en sikkerhedsgruppe (DirectAccess) med de Windows 7 computer der skal kunne anvende DirectAccess.

Jeg er nu kommet til opsætnings- og konfigurationsfasen af Forefront UAG serveren.
For mere info til konfiguration se nedenstående link.
Forefront UAG DirectAccess prerequisites.
http://technet.microsoft.com/en-us/library/dd857262.aspx

Installer Windows 2008 R2 Std. som en member server. Den skal være konfigureret med 2 netkort.
Computername = WIN-UAG-001. Sikre at Firewall er enablet og at den har fået firewall GPO settings.
På WAN netkortet skal man angive 2 public IPv4 adresser.

Angiv IP adresser som følger.

LAN: (Private IP)
IP = 192.168.35.5
Subnet = 255.255.255.0
Gateway = Blank
DNS = Interne DNS adresser
DNS suffix = win.local

WAN: (Public IP)
IP = 87.61.11.194 og 87.61.11.195
Subnet = 255.255.255.0
Gateway = 87.61.11.1
DNS = Blank
DNS suffix = jravn.dk

Opret herefter en DNS A-record for ISATAP, som peger på den private IP adresse for UAG serveren.
UAG serveren vil således fungere som  ISATAP router for IPv6 klienter på firma netværket.

Næste step er, at oprette en public DNS A-record, samt tilhørende certifikat til UAG serverens IP-HTTPS listner.
Hvis DirectAccess klienter sidder bag firewall-devices, som kun tillader HTTP/HTTPS traffik, vil klienterne benytte IP-HTTPS.
Public DNS A-record hedder i mit tilfælde “da.jravn.dk”, som peger på min public IP 87.61.11.195.
Jeg vælger her et standard SSL web certifikat fra GoDaddy. Jeg har forinden lavet et certifikat request fra en server med IIS installeret.


 

Mit public SSL certifikat er implementeret og jeg installere nu Forefront UAG.
Kør filen “splash.hta” og vælg “Install Forefront UAG”.
Under “Welcome”, vælg “Next”.

 

Klik herefter Next – Next – Next – Finish.
Afslut med at genstarte UAG serveren.

Download og installer “Forefront Unified Access Gateway (UAG) Update 1”. Genstart herefter serveren.
http://www.microsoft.com/downloads/details.aspx?displaylang=en&FamilyID=a862c57f-5c27-4cd0-8528-91b3cc5cd758

 

Forefront UAG – DirectAccess Part 3 er nu afsluttet.

Forefront UAG – DirectAccess Part 2

Jeg har udstedt et computer certifikat til “Network Location Server”.
Næste punkt er at oprette en Host A-record i den interne DNS (win.local) med navnet  “nls.win.local”.
Den peger på IP-addressen for DC’eren WIN-DC-002, som også har NLS rollen.

Jeg er nu klar til at oprette og aktiverer firewall regler for ICMPv4 and ICMPv6 “Echo Request” traffik.
Jeg ønsker ikke at lave disse tilføjelser i “Default Domain Policy”, men vælger her at oprette en ny GPO, som jeg kalder WIN_DA.

 

Vælg “Edit” på WIN_DA GPO’en og gå til:
Computer ConfigurationPoliciesWindows SettingsSecurity SettingsWindows Firewall with Advanced SecurityWindows Firewall with Advanced Security-LDAP.
Højre musetast på “Inbound Rules” og vælg “New Rule”.

Vælg “Custom” og klik på knappen “Next”.

Klik “Next”.

Under “Protocol type”, vælg “ICMPv4”. Klik på knappen “Customize”.

Vælg “Specific ICMP types”. Vælg “select Echo Request”. Klik på “OK” knappen – “Next”.

 

For “Scope” – “Action” – “Profile”, vælg her “Next” med default værdier.
Under “Name”, skriv “Inbound ICMPv4 Echo Requests”. Klik på knappen “Finish”.

Udfør nøjagtig den samme øvelse for “Inbound ICMPv6 Echo Request”.
Jeg har nu 2 inbound firewall regler for ICMPv4 og ICMPv6.

 

Oprettelse af outbound ICMPv4/ICMPv6 Echo Request, sker som som følger.
Højre musetast på “Outbound Rules” og vælg “New Rule”.
Vælg “Custom” og klik “Next”.

Klik “Next”.

Under “Protocol type”, vælg “ICMPv4”. Klik på knappen “Customize”.

Vælg “Specific ICMP types”. Vælg “select Echo Request”. Klik på “OK” knappen – “Next”.

For “Scope”, vælg “Next”.
Under “Action”, vælg “Allow the connection”. Klik “Next”.

For “Profile”, vælg “Next”.
Under “Name”, skriv “Outbound ICMPv4 Echo Requests”. Klik på knappen “Finish”.

 

Udfør nøjagtig den samme øvelse for “Outbound ICMPv6 Echo Request”.
Jeg har nu 2 outbound firewall regler for ICMPv4 og ICMPv6.

Forefront UAG – DirectAccess Part 2 er nu afsluttet.

Forefront UAG – DirectAccess Part 1

Forefront Unified Access Gateway (UAG) er afløseren for den tidligere Intelligent Application Gateway (IAG).
Den tilbyder sikker remote access i form af SSL VPN, DirectAccess, samt en applikations-portal (IIS,Exchange,Sharepoint,RDS,Citrix mfl).
For mere info, se nedenstående link.
http://www.microsoft.com/forefront/unified-access-gateway/en/us/

Jeg vil i denne blog-post serie opsætte og teste DirectAccess i Forefront UAG, udfra nedenstående step-by-step guide.
http://technet.microsoft.com/en-us/library/ee861167.aspx

Jeg har tidligere testet og bekrevet “Native DirectAccess” i Windows 2008 R2, som kan ses her.
Windows 2008 R2 – Native DirectAccess

DirectAccess teknologien gør at man under opstart af sine remote Windows 7 klienter, skaber en transperant og sikker forbindelse til firma domænet via UAG/DirectAccess serveren.
Man udvider således sit netværk, så alle klienter altid er opkoblet til firma netværket. Det giver en lang række fordele, også i forhold til klient management.
For mere overordnet info til UAG og DirectAccess, se nedenstående links.
http://blogs.technet.com/edgeaccessblog/archive/2009/06/22/introducing-uag-directaccess-solution.aspx
http://blogs.isaserver.org/shinder/2009/06/24/unified-access-gateway-uag-means-directaccess/

UAG DirectAccess giver følgende fordele, som ikke er med i “Native DirectAccess”.

1. Support for adgang mod IPv4 servere/klienter i infrastrukturen(Windows 2003/XP). Man skal således ikke lave noget om i infrastrukturen.
    Dette sker via NAT64 og DNS64. Disse teknologier er beskrevet her.
    http://blogs.technet.com/edgeaccessblog/archive/2009/09/08/deep-dive-into-directaccess-nat64-and-dns64-in-action.aspx
2. Support for remote access via SSL VPN til IPv4 klienter (XP), herunder klienter der ikke kører Windows.
3. Har et centralt management interface til flere UAG servere.
4. Fleksibel og redundant. Har indbygget failover via NLB.
5. Kan implementeres parallelt med firmates eksisterende frontend firewall. UAG bliver her beskyttet af en fuld version af TMG.
    Det derfor ikke nødvendigt at oprette en DMZ med public IP adresser.

Ok, ovenstående var en kort beskrivelse af Forefront UAG og DirectAccess. Jeg vil nu opsætte mit test-miljø, som består af følgende enheder.

– Domain Controller (Windows 2008 R2)
– Forefront UAG server (Windows 2008 R2)
– IIS server (Windows 2008 R2)
– Fil server (Windows 2003)
– Windows 7 klient direkte tilsluttet på WAN siden.
– Windows 7 klient bag en NAT/firewall device.

– Internt domæne = win.local
– Eksternt domæne = jravn.dk

Jeg vælger her i dette setup at sætte Forefront UAG parallelt med min frontend firewall, som vist på nedenstående billede.

 

Ovenstående skitse er taget fra dette link, som også beskriver andre løsningsforslag.
http://blogs.technet.com/tomshinder/archive/2010/04/01/uag-directaccess-server-deployment-scenarios.aspx

Se også dette link med hensyn til UAG og “Support boundaries”.
http://technet.microsoft.com/en-us/library/ee522953.aspx

Konfigurering af Domain Controller (WIN-DC-002).

IP = 192.168.35.8
Subnet = 255.255.255.0
Gateway = 192.168.35.1
DNS = 192.168.35.8/9
DNS suffix = win.local

Den er installeret med Windows 2008 R2 Std. og har følgende roller.
GC + DNS + DHCP + IIS + Enterprise CA.

Den skal yderligere have rollen som Network Location Server (NLS).
For mere info til NLS rollen, se nedenstående link.

Planning the placement of a network location server
http://technet.microsoft.com/en-us/library/ee809056.aspx

Første step er, at udstede et computer certifikat til NLS serveren (WIN-DC-002),via en version 2 (windows 2003) eller 3 (Windows 2008) template.
Det kræver at man har en intern Enterprise CA server, samt at det underliggende OS er enterprise for Windows 2003 og Windows 2008.
Med Windows 2008 R2, er dette ændret, så der nu er support for V2/V3 autoenrollment certifikater i standard OS versionen.
For mere info til dette, se nedenstående link.
http://blogs.technet.com/pki/archive/2009/09/03/active-directory-certificate-services-features-by-sku.aspx

Start “Certification Authority Console” og højre musetast på  “Certificate Templates”.
Jeg vælger manage og “Certificates Templates Console” bliver herefter åbnet.

Marker Web Server og vælg “Duplicate Template”.

Vælg “Windows Server 2003 Enterprise”.

I “Template display name” skriv Web Server 2003.

Gå til “Request Handling” fanebladet og sæt hak i “Allow private key to be exported”.

Gå til Security fanebladet og Add “Authenticated Users” og “Domain Computers” og giv dem “Enroll” rettigheder.

 

Luk herefter “Certificate Templates Console”.
Højre musetast på “Certificate Templates” og vælg “Certificate Template to Issue”.

Vælg “Web Server 2003” template – Ok. Luk herefter “Certification Authority console”.

 

Jeg  er nu klar til at oprette et certifikat til “Network Location Server” rollen (WIN-DC-002) med værdien “nls.win.local”.

Start MMC – Add/Remove Snap-in – Vælg Certificates – Vælg Computer account – Gå til “Certificates (Local Computer)PersonalCertificates”.
Højre musetast på Certificates – Vælg “All Tasks” – Vælg “Request New Certificate” – Next – Next.
Klik på linket for “Web Server 2003” – “More information is required to enroll for this certificate”.

Under “Subject name”, vælg her “Common Name”. Angiv Value til “nls.win.local”.
Under “Alternative name”, vælg her DNS. Angiv Value til “nls.win.local”.
Klik på Add for “Subject name” og “Alternative name”.

 

Gå til fanebladet “General” og indtast “nls.win.local” under “Friendly name”. Klik OK.

Sæt hak udfra “Web Server 2003” templaten og klik på knappen “Enroll”.

Certifikatet bliver herefter udstedt.

Tjek at certifikatet nls.win.lokal, er af typen “Server Authentication”.

 

Afslut konfigurationen for WIN-DC-002 med at enable “HTTPS security binding”.
Start IIS Manager – Vælg “Default Web Site” – Vælg Bindings under “Actions”.
Klik på Add under “Site Bindings”- Vælg Https – Vælg det føroprettede certifikat “nls.win.local” – OK – Close – Luk IIS manageren.



 

Forefront UAG – DirectAccess Part 1 er nu afsluttet.

Forefront Threat Management Gateway


Forefront Threat Management Gateway (TMG) bliver afløseren for den nuværende Microsoft ISA Server.
Den er en del af den samlede sikkerhedspakke Forefront “Stirling”, som pt. ligger i en beta 1 release.
For mere se nedenstående Press Release:
http://www.microsoft.com/presspass/press/2008/apr08/04-08ForefrontBetaPR.mspx?rss_fdn=Press%20Releases

Den kan hentes som et separat download her:
http://technet.microsoft.com/en-us/evalcenter/cc339029.aspx

Jeg vil i denne blogpost fokusere på at opsætte Forefront TMG, som en Secure Proxy (Single Nic/Unihomed).
Forefront TMG kommer nu med indbygget malware inspection, som jeg har savnet siden ISA 2004. Det er netop den feature, som har givet mig anledning til denne blogpost.
Det betyder at dens vigtigste funktion i dette senario er, at beskytte et givent LAN segment mod malware fra internettet.

System requirements:
http://technet.microsoft.com/en-us/library/cc441727.aspx

About single network adapter limitations:
http://technet.microsoft.com/en-us/library/cc441616.aspx

Installationen af Forefront TMG forløb uden problemer, hvor man her blev hjulpet igennem af en installation wizard som minder lidt om den der findes i ISA 2006.
 
 
 

Efter installation og efter vi har konfigureret vores Web Access Policy, som bla inderholder malware inspection, er vi nu klar til at starte Forefront TMG Management.
Selve interfacet og de enkelte konfigurationsmuligheder minder meget om det der findes i ISA 2006.

Når man konfigurere Forefront TMG i “single nic mode” er det kun netværkerne Local host og internal man opererer med. Dette gælder også for ISA 2004/2006.
Vores Web Access Policy ser således ud, som følger:

Vi har her disablet “Web proxy authentication” for selve Forefront TMG serveren (local host), idet den skal hente opdateringer fra Microsoft Update.
Denne settings er vist på nedenstående billede.
 
For alle workstation klienter, kræver vi authentication. Det betyder at brugernavn bliver valideret inden en given bruger får adgang til intenettet.
For mere info, se nedenstående link:
http://technet.microsoft.com/en-us/library/cc441637.aspx

Med hensyn til konfiguration af Http filter, se denne tidligere blogpost. Dette har ikke ændret sig i Forefront TMG.
http://jravn.dk/?p=41

Konfiguration af anti-malware settings, sker under “Update Center Tasks”, hvilket er dejligt enkelt.


Den sidste ting der skal gøres, er at aktivere malware inspection under Web Access Policy.
 
Brugerne slippes nu løs på internettet og surfer igennem den nyopsatte “Secure Proxy Server”.
Som Forefront TMG administrator, har man en række rigtig gode værktøjer til at overvåge malware settings og uønsket malware traffik.
De er som følger: Alerts – Reports – Web Proxy Logging

De malware alerts jeg har valgt er:
Definition Updating Failed – Malware Inspection Detected Attempted Content Theft – Malware Inspection Filter Detected Malware
Man kan til hver alert konfigurere en række Actions, herunder e-mail alerts, som hammer ind i inboxen, hver gang en virus eller spyware bliver blokeret.


Næste skridt er at konfigurere en central malware rapport.
Et lille udsnit af denne rapport er vist på nedenstående billeder.



Med “Web Proxy Logging”, kan man ligeledes få detaljeret informationer omkring malware detection.


Brugerne bliver præsenteret for nedenstående besked, hvis de prøver at downloade malware.

 
Med Forefront TMG Beta1 er den største nyhed for mig, at der nu er kommet indbygget malware inspection.
Man har tidligere været henvist til 3 parts produkter/plugins (GFI Web Monitor, Kaspersky og BitdDefender), som til tider har givet en del problemer.
Ellers er den næsten en tro kopi af den den eksisterende ISA 2006 (interface og funktionalitet), hvilket i sig selv er lidt skuffende.
Vi kan nu håbe på, at Microsoft også implementere andre features, som Content filtering – P2P blocking – Antispam (IMF) i RTM versionen.
I forbindelse med Microsoft’s Anti-malware implemtering, kommer der en række spændende tiltag, i form af integration til Forefront Client Security og NAP/NPS (shared intelligence and response).
For mere info se nedenstående link:
http://blogs.technet.com/isablog/archive/2008/04/09/introducing-a-new-era-for-isa-server.aspx