Vor dem Setup des Threat Management Gateway 2010 (TMG) sollte man aus Sicherheitsgründen alle aktuell notwendigen oder verfügbaren Windows Updates auf dem System eingerichtet haben. Hat der Anwender diese versäumt, dann wird er während des TMG-Setups durch ein Vorbereitungs-Tool über die möglichen Sicherheitsrisiken informiert. Denn das Tool überprüft zu Beginn des Setups, ob alle für das TMG notwendigen Vorbereitungen richtig getroffen wurden und ob die Funktionen des Rechners richtig eingestellt sind.
Das Vorbereitungs-Tool richtet außerdem die folgenden Softwarebausteine ein: Microsoft .NET Framework 3.5 SP1, Microsoft Windows Installer 4.5 und die Windows-Rolle „Active Directory Lightweight Directory Services“. Bei der nachfolgenden Installation ist dann nach den TMG-Diensten, der Verwaltungskonsole, einer Remote-Verwaltung von entfernten TMGs und dem Aufbau einer Enterprise-Umgebung für den TMG mit mehreren Sicherheitsinstanzen (TMG-Array) zu unterscheiden.
Dieser Artikel basiert auf einem Beitrag unserer Schwesterpublikation TecChannel. (pah)
Die Testumgebung
Für unseren Test installieren wir den TMG mit allen bestehenden Softwarekomponenten und der Verwaltungskonsole auf einem Rechner mit dem Betriebssystem Windows Server 2008 R2. Der Rechner ist mit drei 1-Gbit-Netzwerkkarten ausgestattet; davon wurden dem TMG zwei zur Verfügung gestellt. Für die Separierung von zwei internen Netzen oder den Einsatz als Perimeter-Firewall sind zwei Netzwerkkarten notwendig und ausreichend. Sollte noch eine zusätzliche DMZ verwalten werden, so muss dafür ein dritte Netzwerkkarte vorhanden sein.
Zur Authentifizierung benutzen wir einen Server mit Active Directory und den Namensdiensten. Ferner richtet wir einen weiteren Windows Server mit aktivierten IIS-Diensten und Remote-Desktop-Services ein. Schlussendlich werden noch Clients benötigt.
Diese sind mit Windows XP, Vista und Windows 7 und dem Internet Explorer ausgestattet. Die Clients dienen als Testsysteme für den Zugriff. Sie werden netzwerktechnisch so verschaltet, das sie sich entweder innerhalb des durch den TMG geschützten Netzwerks befinden oder außerhalb. Diese Konfiguration entspricht damit einem praxisnahen Unternehmens-LAN oder dem Internet. Der Zugriff von „innen“ nach „außen“ wird dabei zur Prüfung des Internetzugriffes eingesetzt. Der umgekehrte Weg dient dem Zugriff eines Rechners von draußen auf einen internen Webserver oder dergleichen.
Netztopologie des TMG definieren
Im Zusammenhang mit dem Setup und der initialen Konfiguration sind die Netzwerke zu definieren. Hier gilt es festzulegen, über welches Interface der TMG mit dem LAN, dem Internet und gegebenfalls der DMZ kommuniziert. Dabei wird auch die Netzwerktopologie festgelegt.
Sie beschreibt die Architektur des abzusichernden Netzes und somit die Position des TMG im Netzwerk. Das TMG ist vom Konzept her so ausgelegt, dass es prinzipiell an jeder beliebigen Stelle des Netzes, an der Grenze LAN–WAN, zwischen den LAN-Subnetzen oder auch als DMZ-Firewall operieren kann.
Die Grundkonzepte der TMG-Firewall-Verwaltung kennt einige grundlegende Objekte: die Netze, zwischen denen kommuniziert wird, die Benutzergruppen, die kommunizieren wollen, und die Firewall-Regeln, die die Kommunikation steuern. Alle drei Verwaltungsobjekte werden prinzipiell unabhängig voneinander definiert und dann in Relation zueinander gebracht. Das erlaubt einen recht flexiblen Aufbau der Gesamtkonfiguration. Die Regelsätze der Firewall definieren, was erlaubt ist und was nicht. Zur Erstellung der Regeln liefert das TMG Assistenten.
TMG im Praxiseinsatz
Um die eigene Grundkonfiguration zu prüfen, sollte man zuerst einige Firewall-Regeln aufbauen. Im Test formulierten wir dazu diverse Regeln, die den http-Zugriff vom LAN auf das Internet erlauben. Damit sollte das Browsen möglich sein, nicht aber der Zugriff auf gesicherte https-Seiten. Für einen ersten Test hinsichtlich der prinzipiellen Funktionsfähigkeit reicht ein solches Szenario aus. Gegebenenfalls sind die Einstellung der Namensauflösung zu prüfen und DNS gegebenenfalls zu aktivieren.
Im Test erweiterten wir im nächsten Schritt unseren Regelsatz um https-, FTP- und POP3-Zugriffe auf SSL-gesicherte Webseiten, FTP-Sites und Mailserver. Besonderes Augenmerk sollte man bei den Arbeiten auf alle Namensdienste, gepufferte IP-Adresseinträge und Rechnernamen legen. Dies deshalb, weil das TMG in seiner Firewall-Funktion in der Voreinstellung jeglichen Datenverkehr unterbindet und auch nicht auf Ping und ähnliche Testroutinen reagiert. Diese Vorgehensweise hat der Hersteller absichtlich gewählt, um das Ausspähen der Firewall zu erschweren. Beachten muss man außerdem, dass bei allen Änderungen an der Konfiguration des TMG diese Änderungen auch explizit zu aktivieren sind.
Im Test verhielten sich unsere erstellten Regeln wie erwartet und wie im Handbuch entsprechend beschrieben. Die durchgeführten Konfigurationen für den Zugriff von „drinnen“ nach „draußen“ sind schlüssig und wurden korrekt durchgeführt.
Server für den Webzugriff vorbereiten
Zu den Funktionen des TMG gehören auch gezielte Freigaben von Serverdiensten im LAN gegenüber dem Internet. Damit sollen Mitarbeiter oder Partner, die „draußen“ sind, Zugang zu den Unternehmensressourcen im Unternehmensnetz erhalten. Um diese Konfiguration der Zugriffe zu vereinfachen, hat Microsoft dem TMG diverse Assistenten beigefügt.
Im Test definierten wir im nächsten Schritt einen RDP-Zugriff (Remote Desktop Services) von „draußen“ auf einen RDP-Server im LAN. Dazu wird das RDP-Protokoll benötigt. Es dient dem Zugriff auf die Remote Desktop Services (früher Terminal-Server-Dienste) und erlaubt den direkten Zugriff auf einen Desktop oder Server. Sollte es sich dabei um einen Windows Server 2008 R2 handeln wie in unserem Testszenario, so müssen diese Remote Desktop Services vorher durch den Servermanager freigeschaltet worden sein. Durch die Konfiguration der RDS-Freigabe erstellen die Assistenten des TMG einen Tunnel für den Zugriff auf den internen Server. Anschließend haben wir einen Zugriff von unserem Testgerät auf die Server im LAN simuliert – mit Erfolg.
Des Weiteren haben wir eine Regel zur Veröffentlichung einer IIS-Website definiert. Dese Website wird auf einem weiteren Windows-Server betrieben. Hierzu sind die Internet Information Services im Servermanager zu aktivieren. Auch dazu bietet der TMG eine Hilfe durch Assistenten. Diese können zwar eine generelle Hilfe leisten, dennoch muss der Administrator natürlich die Bedeutung und Einstellung der benötigten Parameter kennen, dies nimmt ihm kein Assistent ab. In unserem Test war nach der Veröffentlichung der Website der Zugriff auf unseren internen Webserver problemlos möglich.
Fazit
Microsoft hat das Fehler! Hyperlink-Referenz ungültig. in vielen Details verbessert. Installation und Konfiguration des Systems laufen dabei in der bekannten Variante mit vielen Assistenten und grafischer Unterstützung ab und geben, wie unser kleiner Praxistest zeigt, keinen Anlass zu Beanstandungen.
Neben diesen im Rahmen des Testszenarios gezeigten Möglichkeiten stehen natürlich noch all die weiteren Funktionen des TMG zur Verfügung. Diese haben wir bereits im ersten Teil zum TMG vorgestellt. Sie betreffen beispielsweise die Veröffentlichung weiterer Serverdienste, die HTTPS-Untersuchung oder auch die URL-Filter. (TecChannel/hal)