Portal Zarządzających Bezpieczeństwem

Jak zainstalować Bramę Forefront Threat Management Gateway (Forefront TMG) Beta 1.

Jeśli jeszcze tego nie słyszałeś, ISA Firewall odchodzi. Jednak nie oznacza to, że oprogramowanie ISA, które pokochaliśmy przez te lata, również odchodzi. W czasie gdy marka ISA przechodzi do lamusa, zobaczymy kolejną wersję zapory ISA Firewall z nową nazwą: Forefront Threat Management Gateway.

Istnieje wiele powodów zniknięcia nazwy ISA. Prawdopodobnie głównym powodem jest fakt, że ogół społeczeństwa nigdy nie był w stanie domyślić się o co chodzi z ISA Firewall. Niektórym się wydawało, że był to tylko sieciowy serwer proxy (coś takiego jak Proxy 2.0), inni myśleli, że była to tylko zapora sieciowa, kolejni, że był to serwer VPN lub brama VPN, a jeszcze inni brali to za coś w rodzaju Frankensteina i nie mogli nic z tego pojąć. Dzięki zmianie nazwy produktu, Forefront TMG powinien być w stanie wzbudzić uwagę, a sama nazwa dostarczy jaśniejszej informacji o głównym celu, który przyświecał pracom przy projektowaniu tego produktu.

W tym artykule zajrzymy w głąb procesu instalacji. Zanim jednak zainstalujemy TMG, należy wiedzieć następujące rzeczy:

• TMG będzie działał tylko na 64-bitowym systemie Windows Server 2008. Pojawi się 32-bitowa wersja demo, gdy TMG będzie gotowy do wypuszczenia na rynek, ale nie będzie wersji beta, działającej na 32-bitowych systemach Windows.
• TMG wymaga przynajmniej 1 GB pamięci (prawdopodobnie da się uruchomić na mniejszej, ale niezbyt szybko)
• 150 MB miejsca na dysku
• Przynajmniej jedna karta sieciowa (jednak aby zapewnić prawdziwe bezpieczeństwo, zaleca się dwie lub więcej kart)
• Należy go zainstalować w folderze domyślnym na dysku C:
• TMG zainstaluje IIS 7 na komputerze, aby móc obsługiwać usługi raportowania SQL. Jeśli usuniesz TMG z komputera, II7 nie zostanie usunięty i należy to zrobić ręcznie
• Pliki usług i sterownika TMG są instalowane w folderze instalacyjnym
• Przy wersji beta 1 TMG komputer TMG musi być członkiem domeny. W kolejnych wersjach beta obsługiwane będzie członkostwo spoza domeny.

W tej serii artykułów (powinna się skończyć na dwóch częściach) zainstaluję TMG na komputerze z systemem Windows Server 2008 Enterprise edition, działającym jako VM na VMware Virtual Server 1.0. VM ma dwa interfejsy: jeden połączony mostkiem z siecią zewnętrzną i służący jako interfejs zewnętrzny, a drugi umiejscowiony na VMNet2 i będący interfejsem w domyślnej sieci wewnętrznej. Zauważ, że model sieciowy dla TMG nie zmienił się w stosunku do tego wykorzystywanego przez ISA Firewall.

TMG jest jedną z wielu części oprogramowania, które tworzą zbiór produktów Forefront Stirling. Można ściągnąć wszystkie z nich lub tylko TMG. TMG będzie sprawnie działać bez Stirlinga, ale Stirling jest czymś, co z pewnością zechcesz poznać w przyszłości.

Kliknij dwukrotnie na plik, który ściągnąłeś. Zobaczysz stronę powitania Welcome to the InstallShield Wizard for the Forefront Threat Management Gateway. Kliknij Next.

Rysunek 1

Zainstaluj pliki na domyślnej lokalizacji, którą jest C:\Program Files (x86)\Microsoft ISA Server. Kliknij Next.

Rysunek 2

Rysunek 3

Kliknij Finish, gdy rozpakowywanie zostanie zakończone.

Rysunek 4

Przejdź do folderu C:\Program Files (x86)\Microsoft ISA Server i kliknij dwukrotnie plik ISAAutorun.exe.

Rysunek 5

Otworzy się okno dialogowe Microsoft Forefront TMG 270-Day Evaluation Setup. Kliknij link Install Forefront TMG.

Rysunek 6

Wywołana zostanie strona Welcome to the Installation Wizard for Microsoft Forefront Threat Management Gateway. Kliknij Next.

Rysunek 7

Na stronie License Agreement wybierz opcję I accept the terms in the license agreement i kliknij Next. Zauważ, że licencja nadal zawiera stary kryptonim produktu, czyli Nitrogen.

Rysunek 8

Na stronie Customer Information wpisz swoje dane: User Name (nazwa użytkownika) oraz Organization (organizacja). Product Serial Number (Numer seryjny produktu) zostanie automatycznie wpisany. Kliknij Next.

Rysunek 9

Widzimy tutaj opcję nowej konfiguracji, która nie była dostępna w poprzedniej wersji produktu.Na stronie Setup Scenarios masz opcję zainstalowania Forefront TMG lub tylko konsoli zarządzania TMG. W tym przykładzie instalujemy cały produkt, więc wybieramy Install Forefront Threat Management Gateway i klikamy Next.

Rysunek 10

Na stronie Component Selection masz opcje instalacji oprogramowania zapory sieciowej TMG, konsoli zarządzania TMG i CSS. Nie ma innych edycji Standard ani Enterprise zapory sieciowej ISA. TMG będzie sprzedawany jako pojedyncza edycja i będzie ona korzystać z CSS, nawet jeśli masz tylko pojedynczego członka TMG. Jednak będziesz w stanie stworzyć układy przy użyciu TMG. Ta funkcjonalność nie jest jednak dostępna w tej wersji TMG, ale będzie dostępna w późniejszych wersjach beta.

W tym przykładzie zainstalujemy wszystkie z tych opcji w folderze domyślnym (musimy zainstalować w folderze domyślnym dla tej wersji TMG). Kliknij Next.

Rysunek 11

Wygląda na to, że mamy tu problem. Jako że komputer jest członkiem domeny, zapomniałem zalogować użytkownika z konta, które jest członkiem domeny. Aby zainstalować TMG, należy być zalogowanym jako użytkownik domeny z prawami lokalnego administratora na komputerze z TMG.

Rysunek 12

Wydaje się, że muszę rozpocząć instalację od nowa. Zaczniemy od momentu, na którym skończyliśmy, rozpocznę instalację od nowa po wylogowaniu i zalogowaniu się ponownie.

Rysunek 13

Teraz, gdy jestem zalogowany jako użytkownik domeny w prawami lokalnego administratora, rozpoczynamy proces instalacji na stronie Internal Network. Jeśli masz zainstalowaną zaporę ISA Firewall, zauważysz różnicę między tą stroną a poprzednią wersją ISA Firewall. To tutaj definiujesz domyślną sieć wewnętrzną. Prawie we wszystkich przypadkach powinno się wybrać opcję Add Adapter, ponieważ zdefiniuje to Twoją sieć wewnętrzną opartą o tablicę tras skonfigurowaną na zaporze ISA Firewall. Jednak pozostaje pytanie czy jeśli zmienię konfigurację tablicy tras na ISA Firewall, to definicja domyślnej sieci wewnętrznej zmieni się automatycznie – tego nie wiem. Mógłbym się założyć, że się nie zmieni, ale jest to coś, co wymaga sprawdzenia w przyszłości.

Rysunek 14

Strona Internal Network pokazuje teraz definicję domyślnej sieci wewnętrznej. Kliknij Next.

Rysunek 15

Strona Services Warning informuje, że SNMP Service, IIS Admin Service, World Wide Web Publishing Service oraz Microsoft Operations Manager Service zostaną uruchomione od nowa w czasie instalacji. Jest mało prawopodobne, żebyś miał już zainstalowaną rolę serwera www na tym komputerze, więc nie musisz się martwić o IIS Admin Service ani o World Wide Web Publishing Service, ale powinieneś pamiętać o restarcie SNMP i Microsoft Operation Manager Service. Pamiętaj też, że TMG sam zainstaluje i skonfiguruje IIS 7.

Rysunek 16

Kliknij Install na stronie Ready to Install the Program.

Rysunek 17

Pasek postępu pokazuje postęp instalacji. Tutaj widać instalację CSS.

Rysunek 18

Działa! Strona Installation Wizard Completed pokazuje, że instalacja zakończyła się pomyślnie. Zaznacz pole wyboru Invoke Forefront TMG Management when the wizard closes. Kliknij Finish.

Rysunek 19

W tym miejscu zobaczysz stronę www Protect the Forefront TMG Server. Są tu informacje na temat włączania Microsoft Update, uruchamiania ISA BPA oraz czytania sekcji Security and Protection w pliku Help. To, co mogę powiedzieć o pliku Help jest to, że uaktualnienie jego treści jest imponujące. Jest w niej o wiele więcej informacji i dużo więcej informacji na temat rzeczywistego wdrożenia w nowym, poprawionym pliku Help. Polecam poświęcenie czasu na przeczytanie tego pliku pomocy. Gwarantuję, że nawet jeśli jesteś doświadczonym administratorem ISA Firewall, TMG Help File dostarczy Ci kilku nowości.

Rysunek 20

Gdy początkowa instalacja jest zakończona, zobaczysz kreatora Getting Started Wizard. Kreator ten jest nowością w TMG i nie był dostępny w poprzednich wersjach ISA Firewall. Kreator Getting Started Wizard zawiera trzy podstawowe kreatory oraz dodatkowo czwartego, któremu się przyglądniemy, gdy skończymy pierwsze trzy.

Pierwszy kreator to Configure network settings. Kliknij link Configure network settings na stronie Getting Started Wizard.

Rysunek 21

Na Welcome to the Network Setup Wizard, kliknij Next.

Rysunek 22

Na stronie Network Template Selection wybierz szablon sieci, jaki chcesz zastosować przy TMG. Są to te same szablony sieci, które były dostępne w poprzednich wersjach ISA Firewall. Kliknij na każdą opcję i przeczytaj informacje na dole strony.

W tym przykładzie użyjemy preferowanego szablonu, którym jest Edge firewall. Kliknij Next.

Rysunek 23

Na stronie Local Area Network (LAN) Settings masz możliwość skonfigurowania adresowania IP na interfejsie LAN. Najpierw należy wybrać kartę sieciową, którą chcesz mieć jako interfejs LAN na ISA Firewall, poprzez kliknięcie rozwiniętego menu Network adapter connect to the LAN. Adresowanie IP dla tej karty sieciowej pojawi się automatycznie. Możesz tu dokonać zmian w adresach. Możesz także stworzyć dodatkową trasę statyczną poprzez kliknięcie na przycisk Add.

Nie dokonam żadnych zmian na tej stronie, ponieważ już zainstalowałem wewnętrzny interfejs za pomocą adresów IP, jakich potrzebowałem. Kliknij Next.

Rysunek 24

Strona Internet Settings umożliwia konfigurację adresów IP na zewnętrznym interfejsie zapory TMG. Tak jak przy ostatniej stronie, wybierasz kartę sieciową, która ma reprezentować zewnętrzny interfejs, klikając rozwijaną listę Network adapter connected to the Internet. Również w podobny sposób jak przy ostatniej stronie, możesz zmienić adresowanie. Ponieważ już skonfigurowałem zewnętrzny interfejs z adresami IP, jakie chciałem mieć, nie dokonam tu żadnych zmian. Kliknij Next.

Rysunek 25

Strona kreatora Completing the Network Setup pokazuje efekty dokonanych zmian. Kliknij Finish.

Rysunek 26

Przejdziesz z powrotem do strony Getting Started Wizard. Kolejny kreator to Configure system settings. Kliknij na link Configure system settings.

Rysunek 27

Kliknij Next na stronie Welcome to the System Configuration Wizard.

Rysunek 28

Strona Host Identification poprosi o nazwę serwera i członkostwo domeny zapory TMG. W tym przykładzie automatycznie wykryta została nazwa serwera komputera, którą jest TMG2009. Kreator także zidentyfikował członkostwo domeny komputera. Podejrzewam, że kreator ten umożliwi przyłączenie się do domeny, jeśli do tej pory tego nie zrobiłeś jak i opuszczenie domeny, jeśli tak zechcesz. A jeżeli komputer jest członkiem grupy roboczej, masz możliwość wpisania podstawowego przyrostka DNS, który może być wykorzystywany przez zaporę ISA Firewall w Twojej domenie DNS, jeśli masz włączony system DDNS i nie potrzebujesz bezpiecznych aktualizacji DDNS.

Ponieważ już skonfigurowałem ten komputer jako członka domeny, nie muszę dokonywać żadnych zmian na tej stronie. Kliknij Next.

Rysunek 29

I to wszystko na temat System Configuration Wizard. Kliknij Finish na stronie Completing the System Configuration Wizard.

Rysunek 30

Jeszcze jeden kreator na stronie Getting Started Wizard. Kliknij link Define deployment options.

Rysunek 31

Kliknij Next na stronie Welcome to the Deployment Wizard.

Rysunek 32

Na stronie Microsoft Update Setup masz opcje Use the Microsoft Update service to check for updates (Użyj usługi Microsoft Update do sprawdzania aktualizacji) oraz I do not want to use Microsoft Update Service (Nie chcę używać usługi Microsoft Update). Zauważ, że TMG nie tylko wykorzystuje usługę Microsoft Update do aktualizowania systemu operacyjnego i oprogramowania zapory TMG, ale także wykorzystuje ją do sprawdzania definicji złośliwego oprogramowania, co robi kilkadziesiąt razy dziennie (domyślnie co 15 minut). Ponieważ jedną z głównych zalet używania zapory sieciowej Microsoft a nie innej jest doskonała funkcja auto-update, pójdziemy dalej używając strony Microsoft Update. Kliknij Next.

Rysunek 33

Na stronie Definition Update Settings wybierz czy chcesz, aby zapora TMG sprawdzała i instalowała (check and install), tylko sprawdzała (check only) czy nic nie robiła (do nothing) z inspekcją aktualizacji złośliwego oprogramowania. Możesz także ustalić częstotliwość zapytywania, domyślnie co 15 minut. Jednakże możesz ustanowić ściąganie aktualizacji raz dziennie, a następnie skonfigurować porę dnia, kiedy te aktualizacje mają być instalowane. Kliknij Next.

Rysunek 34

Na stronie Customer Feedback wybierz czy chcesz dostarczać Microsoftowi anonimowych informacji na temat konfiguracji sprzętu i sposobu, w jaki używasz produktu. Żadna informacja udzielona firmie Microsoft nie może zostać wykorzystana w celu zidentyfikowania Ciebie ani żadne prywatne informacje nie są ujawniane frmie. Ja zdecydowałem się podać swoje imię, datę urodzenia, numer ubezpieczenia „social security”, numer prawa jazdy oraz adres banku i ufam Microsoftowi o wiele bardziej niż ufam bankowi (biorąc pod uwagę, że bank musi udostępniać informacje o klientach rządowi stanowemu). Tak więc udostępnianie informacji technicznych firmie Microsoft jest sprawą oczywistą i pomaga w sprawieniu, aby produkty były bardziej stabilne i bezpieczne. Wybierz opcję Yes, I am willing to participate anonymously in the Customer Experience Improvement Program (recommended) /Tak, chcę wziąć anonimowy udział w Programie Ulepszenia Doświadczeń Klienta (zalecane)/.

Rysunek 35

Na stronie Microsoft Telemetry Service możesz skonfigurować swój poziom członkostwa w usłudze Microsoft Telemetry. Usługa Microsoft Telemetry pomaga chronić przed złośliwym oprogramowaniem i włamaniem dzięki przesyłaniu do Microsoftu informacji o potencjalnych atakach, co jest wykorzystywane przez Microsoft do identyfikacji wzorów ataków i poprawiania precyzji oraz efektywności pracy nad zagrożeniami. W niektórych przypadkach informacje osobiste mogą zostać nieumyślnie przesłane do Microsoftu, ale Microsoft nie użyje ich do identyfikacji czy kontaktu z Tobą. Trudno określić jaki rodzaj informacji osobistych może być przesłany, ale ponieważ ufam Microsoftowi, wybieram opcję Join with an advanced membership (Dołącz do zaawansowanego członkostwa).Kliknij Next.

Rysunek 36

Strona Completing the Deployment Wizard pokazuje wybory, jakich dokonałeś. Kliknij Finish.

Rysunek 37

To wszystko! Skończyłeś pracę z Getting Started Wizard. Ale nie oznacza to, że wszystko jest skończone. Jeśli zaznaczyłeś pole wyboru Run the Web Access wizard, uruchomi się Web Access Wizard. Zaznaczmy tu pole wyboru i zobaczmy, co się stanie.

Rysunek 38

Uruchomiony zostanie kreator Welcome to the Web Access Policy Wizard. Ponieważ jest to nowy sposób tworzenia polityk zapory TMG, myślę, że do szczegółów dotyczących tego kreatora przejdziemy w kolejnym artykule. Wydaje się, że TMG umożliwia konfigurację polityki Web Access Policy w sposób trochę inny niż miało to miejsce przy poprzednich wersjach ISA Firewall, dlatego też chcę mieć pewność, że jeden artykuł będzie poświęcony właśnie tej funkcji.

Rysunek 39

Teraz, gdy instalacja jest zakończona, widzimy konsolę. Jeśli spojrzysz na lewe pole konsoli, zobaczysz, że nie ma tu żadnych zagnieżdżonych węzłów, które trochę ułatwiają nawigację. Widzimy nowy węzeł: Update Center. To tutaj można zdobyć informacje na temat aktualizacji dotyczących funkcji anty-malware TMG oraz dowiedzieć się, kiedy aktualizacje złośliwego oprogramowania były instalowane.

Rysunek 40

Po zakończeniu instalacji, dowiedziałem się, że pojawiły się pewne błędy. Mogło to być związane z faktem, że TMG zupełnie nie działał po zakończeniu instalacji. Byłem w stanie rozwiązać ten problem poprzez zrestartowanie komputera. Nie jestem pewien czy było to związane z uruchomieniem zapory TMG na VMware Virtual Server, czy był to błąd beta.

Rysunek 41

Gdy spojrzysz na zadania Initial Configuration Tasks, zobaczysz, że duża ilość ról i usług została zainstalowana na tym komputerze jako część instalacji TMG. Są to:

• Active Directory Lightweight Directory Services (ADAM)
• Network Policy and Access Services (wymagane dla RRAS i VPN)
• Web Server (IIS) (wymagane dla usług raportowania SQL i raportowania TMG)
• Network Load Balancing Services (wymagane dla obsługi NLB)
• Remote Server Administration Tools (nie wiem dlaczego te narzędzia zostały zainstalowane)
• Windows Process Activation Service (najprawdopodobniej drugorzędne dla wymagń roli serwera sieciowego).

Rysunek 42

W artykule tym omówiliśmy proces instalacji zapory TMG. W stosunku do poprzednich wersji ISA Firewall pojawiło się kilka zmian, ale nie jest to nic wstrząsającego. Zobaczyliśmy parę miłych poprawek, które dają większą elastyczność w czasie instalacji.

Jeżeli poświęcisz więcej czasu, aby przyjrzeć się oprogramowaniu zapory TMG po instalacji i nie zauważysz żadnej funkcji, jakiej oczekiwałeś, nie zamartwiaj się tym jeszcze. Jest to wczesna wersja beta i podejrzewam, że daleko jej do wersji końcowej. Wiem, że istnieje więcej niż tuzin funkcji, których się domagano od momentu wypuszczenia ISA 2000. Mimo że pierwsze wrażenia są najtrwalsze, nie chcę, żeby tak było w przypadku pierwszego spotkania z zaporą TMG. Pamiętaj, że jest to wersja beta 1, a w przyszłości możemy oczekiwać wielu rzeczy, które nas uszczęśliwią. Dzięki! – Tom.