Forefront Threat Management Gateway 2010 ersetzt ISA-Server Gateway-Security, VPN und URL-Filter spielend einrichten

Autor / Redakteur: Johann Baumeister / Peter Schmitz

Vor wenigen Wochen erneuerte Microsoft seine Forefront-Suite. Ein zentraler Baustein darin ist das Threat Management Gateway (TMG) 2010. Das TMG umfasst Funktionen die man traditionell einer Firewall, einem VPN-Gateway oder einem Proxy zuschreiben würde, bietet aber darüber hinaus auch neue Funktionen und einfaches Handling. Speziell die neuen Funktionen und die einfache Konfiguration haben wir uns anhand einer Testinstallation genauer angesehen.

Firma zum Thema

Forefront Threat Management Gateway ist mehr als nur eine Firewall, sondern bietet auch Funktionen eines Reverse Proxy und URL-Filters.
Forefront Threat Management Gateway ist mehr als nur eine Firewall, sondern bietet auch Funktionen eines Reverse Proxy und URL-Filters.
( Archiv: Vogel Business Media )

Das Forefront Threat Management Gateway (TMG) 2010 löst den ISA-Server 2006 ab. Es ist eine eigenständige Komponente aus dem Verbund der Sicherheitssuite Microsoft Forefront. Das Gateway kann daher auch völlig getrennt von den restlichen Forefront-Bausteinen eingesetzt werden. Das TMG umfasst die Komponenten einer Applikations-Firewall, die Proxy-Dienste und die Verwaltung der VPN-Verbindungen. Hinzu kommt eine Reihe an Assistenten zur Veröffentlichung von Microsoft Servern für den Zugang aus dem Internet.

Durch die Funktionen zur Serververöffentlichung will Microsoft dem Anwender im Internet, in der Regel den eigenen Mitarbeiter oder jenen von Partnerunternehmen, einen Zugriff auf die Dienste und Server im Unternehmensnetz bieten. Dies betrifft vor allem die Maildienste des Exchange-Servers, die Informationsdienste des SharePoint-Servers und die Webdienste des Internet Information Server.

Bildergalerie

Somit ist das TMG nicht nur eine Firewall, wenngleich dessen Vorgänger oftmals als solche bezeichnet wurde. Durch die Funktion eines Reverse Proxy, der Hilfen zu Serververöffentlichung und der VPN-Verwaltung ist das TMG entsprechen dem Namen eher ein universeller Sicherheitsbaustein an der Grenze zwischen dem Internet und Unternehmensnetz.

Mehr Sicherheit durch Trennung der Netze

Die Architektur des TMG unterscheidet nach drei Netzwerkbereichen: dem Internet, der DMZ und ein oder mehreren internen Netzsegmenten. Diese drei Netzbereiche werden in der Netzwerktopologie des TMG definiert. Der Einsatz des TMG ist an unterschiedlichen Stellen in diesen Netzen denkbar.

An der Grenze zwischen dem internen Netz und dem Internet (dem Perimeter). Dies entspricht dem Einsatz des TMG als Edgefirewall. Ferner der Absicherung der DMZ (Demilitarisierter Zone) im Kontext eines 3-Abschnitt-Umkreisnetzwerks. Daneben sind auch komplexere Szenarien mit einer DMZ und dem Umkreisnetzwerk oder der Trennung des Unternehmensnetzes in unterschiedliche Sicherheitsbereiche machbar.

Seite 2: Die Firewall-Funktionen sichern die Kommunikation

Die Firewall-Funktionen sichern die Kommunikation

Firewall- und VPN-Funktionen sind seit Jahren erprobt und ausgereift. Dies gilt auch für die Kernfunktionen des TMG bzw. dessen Vorgänger ISA 2006. Die wichtigsten Verbesserungen des TMG 2010 gegenüber dem ISA 2006 sind daher auch nicht in diesen Basisfunktion zu sehen, sondern vielmehr in der Erweiterung des Einsatzzwecks oder den neuen Anforderungen an die Sicherheit. Dazu zählt unter anderem die Untersuchung einer gesicherten HTTPS-Verbindung durch das TMG. Notwendig wird dies deswegen, da Angriffe mittlerweile oftmals auch über gesicherte Verbindungen durchgeführt werden.

Bis dato wurde gesichert HTTPS-Verbindungen, weil sie ja als sicher galten, durch die Firewalls nicht untersucht. Dies ist nun anders. Das TMG terminiert nun eine HTTPS-Verbindung aus dem Internet, analysiert den Inhalt und baut eine zweite HTTPS-Verbindung zum Benutzer auf. Für Kommunikationen die aus Datenschutzgründen nicht durch das TMG untersucht werden sollen, kann diese Möglichkeit aber abgeschaltet werden. Neu im TMG 2010 ist auch das Filtern der URL. Diese Filterfunktion ist mit den Möglichkeiten der gängigen Sicherheitstools vergleichbar. Der ISA kannte diese Filtervorkehrungen noch nicht, das TMG ist damit ausgestattet.

Daneben stehen aber auch eine Reihe weiterer Verbesserungen für eine gesicherte Kommunikation. Zu den Zu den weiteren Neuerungen zählen ein Abonnementsdienst für E-Mail-Schutz. Dieser basiert auf der Technologie von Forefront Protection 2010 für Exchange Server, ferner eine Schutz vor Malware und anderen Bedrohungen. Erweitert wurde auch die VoIP-Unterstützung. Diese Erweiterung hilft bei der Integration des Kommunikationsprotokoll SIP in die TMG-Überwachung. Ferner gibt es Anpassungen hinsichtlich der Netzwerkadressübersetzung (Network Address Translation, NAT). Das TMG ermöglicht nun die Bestimmung einzelner E-Mail-Server, die auf einer 1:1-NAT-Basis veröffentlicht werden können.

Setup und Konfiguration des TMG

Um die Funktionen und Arbeitsweise auch in der Praxis zu erproben führten wir eine Installierten und Konfiguration der wichtigsten Einstellungen durch. Die Verwaltung des TMG ist der des ISA sehr ähnlich. Die wichtigsten Aktionen sind in einem eigenen Aufgabenfenster zusammengefasst und mit vielen Hilfen unterlegt. Diese Hilfen werden immer in Abhängigkeit vom gewählten Element eingeblendet. Hinterlegt sind außerdem die Handbücher, sowie Links auf die Microsoft-Webseiten. Durch Assistenten gesteuert richteten wir anschließend die Basiskonfiguration unseres Testnetzes ein.

Die Netzwerktopologie ist anhand eines Diagramms auswählen. Anschließend gilt es, die Zugriffsregeln (Access Rules) für den Verkehr zwischen den Netzwerksegment festzulegen. Diese Regeln bestimmen, was zwischen den jeweiligen Netzen erlaubt ist oder nicht. Für das TMG macht es von der Logik der Access Rules und der Arbeitsweise keinen Unterschied, um welches Netz es sich dabei handelt. Die Zugriffsregeln gelten für jegliche Kommunikation zwischen dem internen Netz und dem externen Netz, aber auch zwischen internen Netzen untereinander. Das TMG unterstützt die Separierung des Netzes in mehrere Teilsegmente, einschließlich einer DMZ.

Seite 3: Die Zugriffsregeln definieren die Kommunikation

Die Zugriffsregeln definieren die Kommunikation

In den Firewall-Regeln wird festgelegt, wer wie mit wem kommunizieren darf - oder eben nicht. Microsoft hat im TMG alle gängigen Protokolle vordefiniert. Der Administrator kann daneben aber auch eigene Protokolle einbringen und das TMG anweisen, den Netzverkehr auf eigene definierte Protokolle hin zu überwachen. Im Test erstellten wir mehrere Zugriffsregeln, um den kontrollierten und überwachten http-Zugriff vom LAN auf das Internet zu erlauben. Anschließend erweiterten wir unseren Regelsatz um Https, FTP- und POP3-Zugriffe auf SSL-gesicherte Webseiten, FTP-Sites und Mailserver. Diese Funktionen sind allesamt erprobt und Fehler kaum zu erwarten. Dies deckte sich auch mit den Ergebnissen unserer Arbeit mit dem TMG.

Im nächsten Schritt wandten wir uns der Freigabe von Serverdiensten im LAN gegenüber dem Internet zu. Hierzu hat Microsoft diverse Assistenten in das TMG integriert.

Im Rahmen des Testszenarios konfigurierten wir einen RDP-Zugriff (Remote Desktop Services) von „draußen“ auf einen RDP-Server im LAN. Hierzu muss das RDP-Protokoll das TMG passieren können. Es dient dem Zugriff auf die Remote Desktop Services (früher Terminal Server Dienste) und erlaubt einen Zugriff aus der Ferne auf einen Desktop oder Server. Die Prüfung des Zugriffs und der passenden TMG-Konfiguration erfolgte durch unseren „externen“ Client.

Nach der Kontaktaufnahme des Clients mit seinen Server konnten wir im Test erfolgreich auf den – durch das TMG gesicherten – Server zugreifen. Anschließend definierten wir eine Regel zur Veröffentlichung einer IIS-Website. Auch hierzu liefert das TMG einen Assistenten. Nach unserer Veröffentlichung der Website war der Zugriff auf unseren internen Webserver möglich.

Fazit

Im TMG 2010 baut Microsoft die Funktionen des ISA 2006 weiter aus. Die neuen Funktionen zu HTTPS-Untersuchung und der URL-Filterung runden den Umfang des TMG weiter ab. Vor allem in der Zusammenarbeit mit dem eigenen Serverdiensten wie etwa Exchange oder dem SharePoint Server kann das TMG auf die Vorzüge der einfachen Konfiguration bauen. Daneben stehen auch weiterhin die Basisfunktion für VPN-Zugriffe oder die Application Firewall. Diese Funktionen aber sind seit Jahren ausgereift und etabliert. Die Assistenten des TMG machen die Konfiguration einfach, das GUI mit seinen Hilfen liefert Hintergrundinformationen zu den Aspekten der Sicherheit.

(ID:2044265)