MS Forefront Threat Management Gateway (TMG) 2010 einsetzen - Hat jemand bereits Erfahrungen?
Folgendes Einsatzszenario: Vernetzung einer Zentrale mit 3 Standorten, VPN bereits vorhanden, Exchange Server 2007 für alle Benutzer verfügbar machen, in jedem Standort nur ein DC vorhanden und Exchange OWA für alle bereitstellen.
Hallo,
unsere Firma möchte den bisher nur in der Zentrale genutzten Exchange 2007 nun auch für die User der Standorte verfügbar machen (direkt über VPN, nicht OWA). Dies KANN man lt. Mikrosoft auch machen, in dem man den TMG 2010 direkt auf einem DC eines Standortes installiert. Ich persönlich habe mit dem Gedanken, einen DC mit TMG 2010 direkt im Internet verfügbar zu machen, allerdings ein paar Probleme. Hat jemand diese Lösung schon mal ausprobiert und wie steht es mit der Sicherheit in diesem Falle?
Wäre dieses Szenario auch mit nur einem TMG 2010-Server in der Zentrale zu realisieren (Standorte über FremdVPN angebunden)?
Was ist sicherer?
Mfg. CG
Hallo,
unsere Firma möchte den bisher nur in der Zentrale genutzten Exchange 2007 nun auch für die User der Standorte verfügbar machen (direkt über VPN, nicht OWA). Dies KANN man lt. Mikrosoft auch machen, in dem man den TMG 2010 direkt auf einem DC eines Standortes installiert. Ich persönlich habe mit dem Gedanken, einen DC mit TMG 2010 direkt im Internet verfügbar zu machen, allerdings ein paar Probleme. Hat jemand diese Lösung schon mal ausprobiert und wie steht es mit der Sicherheit in diesem Falle?
Wäre dieses Szenario auch mit nur einem TMG 2010-Server in der Zentrale zu realisieren (Standorte über FremdVPN angebunden)?
Was ist sicherer?
Mfg. CG
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 151857
Url: https://administrator.de/forum/ms-forefront-threat-management-gateway-tmg-2010-einsetzen-hat-jemand-bereits-erfahrungen-151857.html
Ausgedruckt am: 23.12.2024 um 07:12 Uhr
10 Kommentare
Neuester Kommentar
Der TMG dient ja hier nur als VPN-Server.
Und ob du dafür TMG, Cisco oder Wasweißich nimmst ist dem Exchange relativ egal.
Außerdem würde ich nie einen ISA auf einem DC installieren.
Nicht weil es zu unsicher ist, sondern weil es zu sicher ist.
Du wirst haufenweise Sachen nachkonfigurieren müssen, bis das Netz wieder läuft.
Und ob du dafür TMG, Cisco oder Wasweißich nimmst ist dem Exchange relativ egal.
Außerdem würde ich nie einen ISA auf einem DC installieren.
Nicht weil es zu unsicher ist, sondern weil es zu sicher ist.
Du wirst haufenweise Sachen nachkonfigurieren müssen, bis das Netz wieder läuft.
ChesterGreen,
anscheined hast Du Dich noch nie mit ISA oder Forefront befasst. Forefront ist das Software-Firewallsystem von Mircosoft.
Installierst Du dass auf einem DC dann musst Du esrt einmal sukzessive alle Ports öffnen die so ein DC benötigt, DNS, LDAP,
Netbios und alles was das Active-Directory so für die Replikation benötigt... Wenn Du schnell bist 2-3 h, wenn Du Dich nicht
auskennst 2-3 Tage. Das geht dann aber nur am Wochenende, da ohne offen Ports eine Anmelung in der Domäne im Zweifel auch nicht
gehen wird, da ja Dein DC "gelockt" ist. Daher mein Rat: "Schaft euch einen extra Server dafür an, welcher über 2 Netzwerkkarten
verfügt". Eine NIC ins LAN die andere ins INET zeigen lassen.
Wenn es nur um den Exchange geht, dann heißt das Zauberwort "RPC over HTTPS", sprich Outlook in den Außenstandorten
verbindet sich dann mit Eurem Exchange via HTTPS. Outlookprofile müssen dafür nur angepasst werden. VPN kannst Du auch darüber
implementieren, die einzigen Stolpersteine sind evtl. nur Unwissenheit, sorry so ist es aber.
Proxy kein Problem daher kommt das TMG ja eigentlich. Content- Malewarefiltering sowie Exchangehygiene sind auch dabei,
allerdings kommen dann zusätzliche Kosten für Patternupdates auf Euch zu.
Gruß Data
anscheined hast Du Dich noch nie mit ISA oder Forefront befasst. Forefront ist das Software-Firewallsystem von Mircosoft.
Installierst Du dass auf einem DC dann musst Du esrt einmal sukzessive alle Ports öffnen die so ein DC benötigt, DNS, LDAP,
Netbios und alles was das Active-Directory so für die Replikation benötigt... Wenn Du schnell bist 2-3 h, wenn Du Dich nicht
auskennst 2-3 Tage. Das geht dann aber nur am Wochenende, da ohne offen Ports eine Anmelung in der Domäne im Zweifel auch nicht
gehen wird, da ja Dein DC "gelockt" ist. Daher mein Rat: "Schaft euch einen extra Server dafür an, welcher über 2 Netzwerkkarten
verfügt". Eine NIC ins LAN die andere ins INET zeigen lassen.
Wenn es nur um den Exchange geht, dann heißt das Zauberwort "RPC over HTTPS", sprich Outlook in den Außenstandorten
verbindet sich dann mit Eurem Exchange via HTTPS. Outlookprofile müssen dafür nur angepasst werden. VPN kannst Du auch darüber
implementieren, die einzigen Stolpersteine sind evtl. nur Unwissenheit, sorry so ist es aber.
Proxy kein Problem daher kommt das TMG ja eigentlich. Content- Malewarefiltering sowie Exchangehygiene sind auch dabei,
allerdings kommen dann zusätzliche Kosten für Patternupdates auf Euch zu.
Gruß Data
-Wäre beim Einsatz von ISA/TMG Vorteile bei der Administration gegeben?
ISA ist eine der am einfachsten zu konfigurierenden Firewalls, die ich kenne und grade wenn man ein reines Windows-Umfeld hat wird einiges leichter (sicher, es ist auch in allen anderen Kombinationen möglich, aber eben aufwändig).
- Wie skaliert ISA/TMG bei höheren VPN-Bandbreiten? Clustering möglich / zu welchen Kosten?
Kann man IIRC mit der Enterprise-Version machen, aber das ist nicht mein Gebiet.
Ich bekomme auch für 50€ einen Router, da sieht der ISA bei den Firewall-Funktionen ziemlich alt aus und wenn ich noch ein paar hundert für Hardware drauflege bekomme ich wahrscheinlich auch mehr Performance.
Dafür ist das Teil aber wesentlich schwerer zu konfigurieren und eine schwer zu konfigurierende Firewall ist eben sehr fehleranfällig.
Dazu hat der ISA Plugin-Support, so dass ich auch mal zusätzliche Dinge reinhängen kann (wie z.B. Protokoll-Level-Filtering für andere Dinge außer HTTP).
Was ebenfalls nur wenige machen können, ist die Möglichkeit HTTPS-Verbindungen zu überwachen, was der ISA seit TMG 2007 kann.
Nun, das sind ja viele Frage.
Mal vorweg, das TMG ist bei einer sicheren Veröffentlichung von Microsoftprodukten, wie Exchange (egal ob OWA oder RPC over HTTPs), Sharepoint und Terminalserver mit sicherheit ganz weit vorne. Wenn Du davon sprichst Deine VPN-Clients abzulösen dann geht das mit Sicherheit auch, siehe z.B. http://araihan.wordpress.com/2010/04/23/how-to-configure-l2tpipsec-vpn- ....
Schön bei Forefront ist die Möglichkeit der NAP (Network Access Protection) Integration. Entspricht ein Client nicht gewissen Richtlinien (Patchstand oder Virenpatternupdate) landet dieser erst einmal zur Gernalüberholung in einer Quarantäne-Zone.
Das "ultimative" an userunabhängigen VPN-Lösungen ist natürlich TMG in Verbindung mit DirectAccess SSLVPN. Da brauchst Du dann gar kein VPN-Client mehr, jedoch Win7 Enterprise bzw. Ultimate.
Mehr Bandbreite ist beim ISA nur eine Frage von CPU und RAM. Das Outside-Interface ist im Zweifel Deine 1 Gbit NIC, aber bist Du einen 1 Gbit WAN-Zugang hast vergehen wohl noch ein paar Tage .
Thema Ausfallsicherheit. Mit dem Enterpriseprodukt kein Problem, kostet natürlich enstprechend. 2 Firewalls von Cisco kommen da günstiger, ist aber auch nicht ganz so leicht zu konfigurieren. Aber mal Hand auf Herz, ist Dein Exchange ausfallsicher, sprich CAS im NLB und eine Maibox-DAG ?! Zeichne einmal Dein Netzwerk und makiere Dir die "Single-Point of failure" im Plan und dann Entscheide nocheinmal .
Gruß Data
Mal vorweg, das TMG ist bei einer sicheren Veröffentlichung von Microsoftprodukten, wie Exchange (egal ob OWA oder RPC over HTTPs), Sharepoint und Terminalserver mit sicherheit ganz weit vorne. Wenn Du davon sprichst Deine VPN-Clients abzulösen dann geht das mit Sicherheit auch, siehe z.B. http://araihan.wordpress.com/2010/04/23/how-to-configure-l2tpipsec-vpn- ....
Schön bei Forefront ist die Möglichkeit der NAP (Network Access Protection) Integration. Entspricht ein Client nicht gewissen Richtlinien (Patchstand oder Virenpatternupdate) landet dieser erst einmal zur Gernalüberholung in einer Quarantäne-Zone.
Das "ultimative" an userunabhängigen VPN-Lösungen ist natürlich TMG in Verbindung mit DirectAccess SSLVPN. Da brauchst Du dann gar kein VPN-Client mehr, jedoch Win7 Enterprise bzw. Ultimate.
Mehr Bandbreite ist beim ISA nur eine Frage von CPU und RAM. Das Outside-Interface ist im Zweifel Deine 1 Gbit NIC, aber bist Du einen 1 Gbit WAN-Zugang hast vergehen wohl noch ein paar Tage .
Thema Ausfallsicherheit. Mit dem Enterpriseprodukt kein Problem, kostet natürlich enstprechend. 2 Firewalls von Cisco kommen da günstiger, ist aber auch nicht ganz so leicht zu konfigurieren. Aber mal Hand auf Herz, ist Dein Exchange ausfallsicher, sprich CAS im NLB und eine Maibox-DAG ?! Zeichne einmal Dein Netzwerk und makiere Dir die "Single-Point of failure" im Plan und dann Entscheide nocheinmal .
Gruß Data
Viel Erfolg dabei, Testversion direkt bei MS erhältlich. Bei Fagen konsultiere dieses Board, oder die andern TOP-Adressen zum Thema TMG / ISA.
Mark Grote: www.it-training-grote.de (Nein ich bekomme kein Geld für die Empfehlung)
http://msmvps.com/blogs/rauscher/default.aspx
oder
www.isaserver.org
Ein kleiner Tipp: Forefront kann als Workgroup DMZ Server betrieben werden entfaltet allerdinsg erst sein volles portential als Memeberserver. Da gibt es schon jahrelange Diskussion drüber, aber so ist es halt. Memberserver mit zwei oder drei NICs und die Welt wird schön. Für mich als kleiner Sicherheitsfanatiker und Prinzipienreiter, der auch viel mit CISCO regelt, war das nur schwer zu schlucken, aber Du sollst ja von unserer Erfahrung profitieren.
Gruß Data
PS: Zum Thema CISCO und SSLVPN. Da wird es bei Cisco richtig teuer, 25 Lizenzen schlagen mit ca 1500 € zu buche, das nur am Rande........
Mark Grote: www.it-training-grote.de (Nein ich bekomme kein Geld für die Empfehlung)
http://msmvps.com/blogs/rauscher/default.aspx
oder
www.isaserver.org
Ein kleiner Tipp: Forefront kann als Workgroup DMZ Server betrieben werden entfaltet allerdinsg erst sein volles portential als Memeberserver. Da gibt es schon jahrelange Diskussion drüber, aber so ist es halt. Memberserver mit zwei oder drei NICs und die Welt wird schön. Für mich als kleiner Sicherheitsfanatiker und Prinzipienreiter, der auch viel mit CISCO regelt, war das nur schwer zu schlucken, aber Du sollst ja von unserer Erfahrung profitieren.
Gruß Data
PS: Zum Thema CISCO und SSLVPN. Da wird es bei Cisco richtig teuer, 25 Lizenzen schlagen mit ca 1500 € zu buche, das nur am Rande........