Forefront Threat Management Gateway


Forefront Threat Management Gateway (TMG) bliver afløseren for den nuværende Microsoft ISA Server.
Den er en del af den samlede sikkerhedspakke Forefront “Stirling”, som pt. ligger i en beta 1 release.
For mere se nedenstående Press Release:
http://www.microsoft.com/presspass/press/2008/apr08/04-08ForefrontBetaPR.mspx?rss_fdn=Press%20Releases

Den kan hentes som et separat download her:
http://technet.microsoft.com/en-us/evalcenter/cc339029.aspx

Jeg vil i denne blogpost fokusere på at opsætte Forefront TMG, som en Secure Proxy (Single Nic/Unihomed).
Forefront TMG kommer nu med indbygget malware inspection, som jeg har savnet siden ISA 2004. Det er netop den feature, som har givet mig anledning til denne blogpost.
Det betyder at dens vigtigste funktion i dette senario er, at beskytte et givent LAN segment mod malware fra internettet.

System requirements:
http://technet.microsoft.com/en-us/library/cc441727.aspx

About single network adapter limitations:
http://technet.microsoft.com/en-us/library/cc441616.aspx

Installationen af Forefront TMG forløb uden problemer, hvor man her blev hjulpet igennem af en installation wizard som minder lidt om den der findes i ISA 2006.
 
 
 

Efter installation og efter vi har konfigureret vores Web Access Policy, som bla inderholder malware inspection, er vi nu klar til at starte Forefront TMG Management.
Selve interfacet og de enkelte konfigurationsmuligheder minder meget om det der findes i ISA 2006.

Når man konfigurere Forefront TMG i “single nic mode” er det kun netværkerne Local host og internal man opererer med. Dette gælder også for ISA 2004/2006.
Vores Web Access Policy ser således ud, som følger:

Vi har her disablet “Web proxy authentication” for selve Forefront TMG serveren (local host), idet den skal hente opdateringer fra Microsoft Update.
Denne settings er vist på nedenstående billede.
 
For alle workstation klienter, kræver vi authentication. Det betyder at brugernavn bliver valideret inden en given bruger får adgang til intenettet.
For mere info, se nedenstående link:
http://technet.microsoft.com/en-us/library/cc441637.aspx

Med hensyn til konfiguration af Http filter, se denne tidligere blogpost. Dette har ikke ændret sig i Forefront TMG.
http://jravn.dk/?p=41

Konfiguration af anti-malware settings, sker under “Update Center Tasks”, hvilket er dejligt enkelt.


Den sidste ting der skal gøres, er at aktivere malware inspection under Web Access Policy.
 
Brugerne slippes nu løs på internettet og surfer igennem den nyopsatte “Secure Proxy Server”.
Som Forefront TMG administrator, har man en række rigtig gode værktøjer til at overvåge malware settings og uønsket malware traffik.
De er som følger: Alerts – Reports – Web Proxy Logging

De malware alerts jeg har valgt er:
Definition Updating Failed – Malware Inspection Detected Attempted Content Theft – Malware Inspection Filter Detected Malware
Man kan til hver alert konfigurere en række Actions, herunder e-mail alerts, som hammer ind i inboxen, hver gang en virus eller spyware bliver blokeret.


Næste skridt er at konfigurere en central malware rapport.
Et lille udsnit af denne rapport er vist på nedenstående billeder.



Med “Web Proxy Logging”, kan man ligeledes få detaljeret informationer omkring malware detection.


Brugerne bliver præsenteret for nedenstående besked, hvis de prøver at downloade malware.

 
Med Forefront TMG Beta1 er den største nyhed for mig, at der nu er kommet indbygget malware inspection.
Man har tidligere været henvist til 3 parts produkter/plugins (GFI Web Monitor, Kaspersky og BitdDefender), som til tider har givet en del problemer.
Ellers er den næsten en tro kopi af den den eksisterende ISA 2006 (interface og funktionalitet), hvilket i sig selv er lidt skuffende.
Vi kan nu håbe på, at Microsoft også implementere andre features, som Content filtering – P2P blocking – Antispam (IMF) i RTM versionen.
I forbindelse med Microsoft’s Anti-malware implemtering, kommer der en række spændende tiltag, i form af integration til Forefront Client Security og NAP/NPS (shared intelligence and response).
For mere info se nedenstående link:
http://blogs.technet.com/isablog/archive/2008/04/09/introducing-a-new-era-for-isa-server.aspx

Comments are closed.