chestergreen
Goto Top

MS Forefront Threat Management Gateway (TMG) 2010 einsetzen - Hat jemand bereits Erfahrungen?

Folgendes Einsatzszenario: Vernetzung einer Zentrale mit 3 Standorten, VPN bereits vorhanden, Exchange Server 2007 für alle Benutzer verfügbar machen, in jedem Standort nur ein DC vorhanden und Exchange OWA für alle bereitstellen.

Hallo,

unsere Firma möchte den bisher nur in der Zentrale genutzten Exchange 2007 nun auch für die User der Standorte verfügbar machen (direkt über VPN, nicht OWA). Dies KANN man lt. Mikrosoft auch machen, in dem man den TMG 2010 direkt auf einem DC eines Standortes installiert. Ich persönlich habe mit dem Gedanken, einen DC mit TMG 2010 direkt im Internet verfügbar zu machen, allerdings ein paar Probleme. Hat jemand diese Lösung schon mal ausprobiert und wie steht es mit der Sicherheit in diesem Falle?
Wäre dieses Szenario auch mit nur einem TMG 2010-Server in der Zentrale zu realisieren (Standorte über FremdVPN angebunden)?
Was ist sicherer?

Mfg. CG

Content-ID: 151857

Url: https://administrator.de/forum/ms-forefront-threat-management-gateway-tmg-2010-einsetzen-hat-jemand-bereits-erfahrungen-151857.html

Ausgedruckt am: 23.12.2024 um 07:12 Uhr

dog
dog 27.09.2010 um 18:05:14 Uhr
Goto Top
Der TMG dient ja hier nur als VPN-Server.
Und ob du dafür TMG, Cisco oder Wasweißich nimmst ist dem Exchange relativ egal.

Außerdem würde ich nie einen ISA auf einem DC installieren.
Nicht weil es zu unsicher ist, sondern weil es zu sicher ist. face-wink
Du wirst haufenweise Sachen nachkonfigurieren müssen, bis das Netz wieder läuft.
ChesterGreen
ChesterGreen 28.09.2010 um 12:14:07 Uhr
Goto Top
Mmmh, der TMG soll nicht nur VPN Server spielen sondern auch die Zugriffe über OWA auf den Exchange "absichern", ausserdem kommt da bald das Thema Iphone hinzu. Nur für VPN wäre uns das zu teuer und .. ach ja, ein Webproxy wird auch noch gebraucht.

zum Thema ISA auf DC: wir haben an den Standorten halt nur einen Server und der hat noch ne Menge Kapazität frei. D.H. wenn ich den TMG dort einsetzen wollte, sollte ich also dann einen zweiten Server anschaffen? Wie groß ist denn der Aufwand, das "Netz wieder zum Laufen" zu bekommen?

Wenn ich deinen Aussagen also folgen wollte würde also dieses Szenario herauskommen: Zentrale: TMG als VPN&Proxy&Firewall, dahinter exchange, Standorte: kein TMG, oder einen 2.ten Server, VPN dann also wie gehabt über den Router.

Wie gut würde der TMG mit der bisherigen VPN-Lösung (Lancom Router/IPFire) zusammenarbeiten? Ich kenne doch Microsoft, da gibt es doch bestimmt wieder irgendeinen Stolperstein, bei dem es dann heisst: dann nehmen Sie auf der Gegenseite des VPN halt auch einen TMG ...

noch jemand mit Erfahrungen oder Hinweisen zu diesem Szenario?
Data1701
Data1701 24.10.2010 um 11:16:50 Uhr
Goto Top
ChesterGreen,

anscheined hast Du Dich noch nie mit ISA oder Forefront befasst. Forefront ist das Software-Firewallsystem von Mircosoft.
Installierst Du dass auf einem DC dann musst Du esrt einmal sukzessive alle Ports öffnen die so ein DC benötigt, DNS, LDAP,
Netbios und alles was das Active-Directory so für die Replikation benötigt... Wenn Du schnell bist 2-3 h, wenn Du Dich nicht
auskennst 2-3 Tage. Das geht dann aber nur am Wochenende, da ohne offen Ports eine Anmelung in der Domäne im Zweifel auch nicht
gehen wird, da ja Dein DC "gelockt" ist. Daher mein Rat: "Schaft euch einen extra Server dafür an, welcher über 2 Netzwerkkarten
verfügt". Eine NIC ins LAN die andere ins INET zeigen lassen.

Wenn es nur um den Exchange geht, dann heißt das Zauberwort "RPC over HTTPS", sprich Outlook in den Außenstandorten
verbindet sich dann mit Eurem Exchange via HTTPS. Outlookprofile müssen dafür nur angepasst werden. VPN kannst Du auch darüber
implementieren, die einzigen Stolpersteine sind evtl. nur Unwissenheit, sorry so ist es aber.

Proxy kein Problem daher kommt das TMG ja eigentlich. Content- Malewarefiltering sowie Exchangehygiene sind auch dabei,
allerdings kommen dann zusätzliche Kosten für Patternupdates auf Euch zu.

Gruß Data
ChesterGreen
ChesterGreen 25.10.2010 um 08:55:02 Uhr
Goto Top
Hallo Data1701,

erstmal danke für deine Antwort. Es ist richtig, ich bin bei ISA/Forefront blutiger Anfänger, deswegen ja auch meine Frage nach jemandem mit Erfahrung in diesen Dingen.
Von dem Plan, ISA bzw. jetzt ja TMG auf einem DC zu installieren bin ich schnell wieder abgekommen, vielen Dank für die Hinweise.
Kommen wir zum zweiten Teil von deinem Posting:
Leider geht es nicht nur um Exchange, RPC over HTTPS ist bekannt und wird für OWA/Zugriff der Aussendienstler ja bereits eingesetzt. Es gibt bereits eine bestehende VPN Infrastuktur aus LanCom-Routern, IP-Fire (Linux) und einer grösseren Telekomappliance in der Zentrale.
Da die Renovierung und Erhöhung der VPN-Kapazität ansteht, zielte meine Frage darauf, festzustellen, ob eine Microsoft-Lösung hier eventuell Vorteile beim VPN und beim Exchange-Handling bzw. der Administration bringen kann. Bis jetzt sehe ich das, ehrlich gesagt, eher weniger, stelle das aber gerne mal zur Diskussion:

-Wäre beim Einsatz von ISA/TMG Vorteile bei der Administration gegeben?
meine Sicht: Wahrscheinlich ja, da einheitlicher (alles in der MMC?)

- Wäre die Lösung sicherer?
kann ich mangels Erfahrung mit ISA nicht beurteilen.

- Wie skaliert ISA/TMG bei höheren VPN-Bandbreiten? Clustering möglich / zu welchen Kosten?
Erfahrung damit?

Proxy ist dabei eher nur Nebenschauplatz, das bietet der Squid der Linuxlösungen ebenfalls.
Gruss,
Chester
dog
dog 25.10.2010 um 17:35:19 Uhr
Goto Top
-Wäre beim Einsatz von ISA/TMG Vorteile bei der Administration gegeben?

ISA ist eine der am einfachsten zu konfigurierenden Firewalls, die ich kenne und grade wenn man ein reines Windows-Umfeld hat wird einiges leichter (sicher, es ist auch in allen anderen Kombinationen möglich, aber eben aufwändig).

- Wie skaliert ISA/TMG bei höheren VPN-Bandbreiten? Clustering möglich / zu welchen Kosten?

Kann man IIRC mit der Enterprise-Version machen, aber das ist nicht mein Gebiet.

Ich bekomme auch für 50€ einen Router, da sieht der ISA bei den Firewall-Funktionen ziemlich alt aus und wenn ich noch ein paar hundert für Hardware drauflege bekomme ich wahrscheinlich auch mehr Performance.
Dafür ist das Teil aber wesentlich schwerer zu konfigurieren und eine schwer zu konfigurierende Firewall ist eben sehr fehleranfällig.
Dazu hat der ISA Plugin-Support, so dass ich auch mal zusätzliche Dinge reinhängen kann (wie z.B. Protokoll-Level-Filtering für andere Dinge außer HTTP).
Was ebenfalls nur wenige machen können, ist die Möglichkeit HTTPS-Verbindungen zu überwachen, was der ISA seit TMG 2007 kann.
Data1701
Data1701 25.10.2010 um 19:58:24 Uhr
Goto Top
Nun, das sind ja viele Frage.

Mal vorweg, das TMG ist bei einer sicheren Veröffentlichung von Microsoftprodukten, wie Exchange (egal ob OWA oder RPC over HTTPs), Sharepoint und Terminalserver mit sicherheit ganz weit vorne. Wenn Du davon sprichst Deine VPN-Clients abzulösen dann geht das mit Sicherheit auch, siehe z.B. http://araihan.wordpress.com/2010/04/23/how-to-configure-l2tpipsec-vpn- ....
Schön bei Forefront ist die Möglichkeit der NAP (Network Access Protection) Integration. Entspricht ein Client nicht gewissen Richtlinien (Patchstand oder Virenpatternupdate) landet dieser erst einmal zur Gernalüberholung in einer Quarantäne-Zone.

Das "ultimative" an userunabhängigen VPN-Lösungen ist natürlich TMG in Verbindung mit DirectAccess SSLVPN. Da brauchst Du dann gar kein VPN-Client mehr, jedoch Win7 Enterprise bzw. Ultimate.

Mehr Bandbreite ist beim ISA nur eine Frage von CPU und RAM. Das Outside-Interface ist im Zweifel Deine 1 Gbit NIC, aber bist Du einen 1 Gbit WAN-Zugang hast vergehen wohl noch ein paar Tage face-wink.

Thema Ausfallsicherheit. Mit dem Enterpriseprodukt kein Problem, kostet natürlich enstprechend. 2 Firewalls von Cisco kommen da günstiger, ist aber auch nicht ganz so leicht zu konfigurieren. Aber mal Hand auf Herz, ist Dein Exchange ausfallsicher, sprich CAS im NLB und eine Maibox-DAG ?! Zeichne einmal Dein Netzwerk und makiere Dir die "Single-Point of failure" im Plan und dann Entscheide nocheinmal face-smile.

Gruß Data
ChesterGreen
ChesterGreen 27.10.2010 um 08:13:58 Uhr
Goto Top
Danke für deine Hinweise,

das mit der Möglichkeit HTTPS-Verbindungen zu überwachen wusste ich noch nicht, ist sicherlich ein nettes Feature. Ich besorge mir dann doch mal eine Testversion, deinen Hinweis auf einfache Konfiguration muss ich einfach mal verifizieren face-smile
ChesterGreen
ChesterGreen 27.10.2010 um 09:31:35 Uhr
Goto Top
Zitat von @Data1701:
Mal vorweg, das TMG ist bei einer sicheren Veröffentlichung von Microsoftprodukten, wie Exchange (egal ob OWA oder RPC over
HTTPs), Sharepoint und Terminalserver mit sicherheit ganz weit vorne.

Ok, das beruhigt mich etwas.

Schön bei Forefront ist die Möglichkeit der NAP (Network Access Protection) Integration. Entspricht ein Client nicht
gewissen Richtlinien (Patchstand oder Virenpatternupdate) landet dieser erst einmal zur Gernalüberholung in einer
Quarantäne-Zone.

Vielen Dank, an eine solche Möglichkeit hatte ich gar nicht gedacht, wäre natürlich für unsere mobilen User, die öfter zwischen den Standorten wechseln, ein guter Ansatz, die Sicherheit an dieser Stelle zu erhöhen.

TMG in Verbindung mit DirectAccess SSLVPN. Da brauchst Du dann gar kein VPN-Client mehr, jedoch Win7 Enterprise bzw. Ultimate.

Wäre vielleicht etwas für die Zukunft, unsere Basis ist allerdings noch, und das nicht grundlos, Win XP auf den Clients

Mehr Bandbreite ist beim ISA nur eine Frage von CPU und RAM. Das Outside-Interface ist im Zweifel Deine 1 Gbit NIC, aber bist Du
einen 1 Gbit WAN-Zugang hast vergehen wohl noch ein paar Tage face-wink.

Hoffentlich. Entspräche die Bandbreite der Useranzahl als Equivalent , könnte es leicht stressig werden, so etwas als \"Einzelkämpfer\" zu administrieren.. face-smile

Thema Ausfallsicherheit. Mit dem Enterpriseprodukt kein Problem, kostet natürlich enstprechend. 2 Firewalls von Cisco kommen
da günstiger, ist aber auch nicht ganz so leicht zu konfigurieren.
DAS stimmt. Wir haben hier auch Cisco\'s.. *seufz*

Aber mal Hand auf Herz, ist Dein Exchange ausfallsicher,
sprich CAS im NLB und eine Maibox-DAG ?!

ähm... *hüstel* GENAU das steht nächstes Jahr zur Realisierung beim Umstieg auf den 2010er an. Hast du ne Glaskugel..?

Zeichne einmal Dein Netzwerk und makiere Dir die \"Single-Point of failure\" im
Plan und dann Entscheide nocheinmal face-smile.
hm.. sagen wir so, wenn ich den Plan mal \"fertig\" gezeichnet habe, sollte es dort keine S-P-O-Fs mehr geben.. Das ist zumindest das Ziel..

Gruß Data

Grüße und Dank,
Chester
Data1701
Data1701 27.10.2010 um 20:04:47 Uhr
Goto Top
Viel Erfolg dabei, Testversion direkt bei MS erhältlich. Bei Fagen konsultiere dieses Board, oder die andern TOP-Adressen zum Thema TMG / ISA.

Mark Grote: www.it-training-grote.de (Nein ich bekomme kein Geld für die Empfehlung)

http://msmvps.com/blogs/rauscher/default.aspx

oder

www.isaserver.org

Ein kleiner Tipp: Forefront kann als Workgroup DMZ Server betrieben werden entfaltet allerdinsg erst sein volles portential als Memeberserver. Da gibt es schon jahrelange Diskussion drüber, aber so ist es halt. Memberserver mit zwei oder drei NICs und die Welt wird schön. Für mich als kleiner Sicherheitsfanatiker und Prinzipienreiter, der auch viel mit CISCO regelt, war das nur schwer zu schlucken, aber Du sollst ja von unserer Erfahrung profitieren.

Gruß Data

PS: Zum Thema CISCO und SSLVPN. Da wird es bei Cisco richtig teuer, 25 Lizenzen schlagen mit ca 1500 € zu buche, das nur am Rande........
ChesterGreen
ChesterGreen 27.10.2010 um 22:10:05 Uhr
Goto Top
Hallo Data,

Habe beim Kramen im Softwarefundus (MS Partner) noch eine ISA Server 2006 Version gefunden, die werde ich am WE mal in nem Testnetz installieren.

Die Testversion vom neuen TMG gibts auch bald.. Die Zeit fehlt einfach etwas. Ich wäre ja fast geneigt, einen Memberserver zu konfigurieren. das wären halt 4 NICs geht aber denke ich. Naja mal reinlesen, wird sowieso erst ausführlich getestet. Bin da auch eher ein Sicherheitsfanatiker und bastle immer erst ein Testnetz.

Danke für die Links,

bis demnächst mit weiteren Fragen

Gruß, Chester