Tmg сервер что это
Microsoft Forefront TMG: плюсы и минусы?
Тут на работе спустили сверху настойчивое предложение избавиться от текущего файрвола (cisco + linux, iptables, squid) на красивое в кавычках решение на базе Forefront TMG (линуксы при этом выпиливаются, а циски работают как роутеры). Вопрос к знатокам, какие у него преимущества (помимо очевидной плотной интеграции с Windows-сетью) и недостатки?
Сеть большая: 2000 пользователей. Два интернет провайдера. 6 независимых сетей со своим зоопарком. Сети гетерогенные: есть обширные AD-леса (да, их не одна штука), есть линуксовые сервера, есть отдельный MacOS домен живущий своей жизнью. Множество VLANов по подразделениям, файловые шары как для интранета, так и доступные извне, VPNы, почта, интранет-порталы и прочие радости крупной компании.
— возможность удобного управление всем этим зоопарком из консоли TMG
— ведение учета трафика, шейпинг и квотирование по пользователям
— аудит используемых правил с целью дропать то, что реально не используется
— динамические правила на основе сетевой активности (аля fail2ban)
— есть ли возможность выборочного логгирования — по примерам я так понял, что TMG пишет логи на все подряд. с нашим траффиком это терабайты в день одних только логов.
— и какая производительность всего этого дела в сравнении с линукс-решениями
Все это сейчас прекрасно управляется цисками, линуксами и башевскими/перловыми скриптами, но для руководства это не «ынтерпрайзненько». Буду благодарен как за личный опыт, так и просто за ссылки, желательно не на маркетинговые success-story, а на суровую правду жизни. Спасибо.
Да, к сожалению TMG приказал долго жить, делать новую установку не имеет смысла.
Но справедливости ради, из того что вы хотите:
1. Не поддерживается учет трафика (что-то нагородить можно через систему отчетов, но настоящим учетом трафика не назовешь), шейпинг и квотирование. Но: есть недорогие продукты третьих фирм, которые все необходимое поддерживают.
2. Есть готовые «динамические правила», в основном для защиты от флуда. Но там где нет готовых создать свои проблематично.
Остальное есть, включая выборочное логгирование, и реализовано удобно.
Сравнивать с линукс-решениями тяжеловато, т.к. готового решения для Linux такого уровня не наблюдается, то что можно нагородить из iptables и squid будет обладать очень примерно похожим функционалом при очень кудрявой конфигурации и сильно от нее зависеть. Производительность TMG так же сильно зависит от используемых правил, использования VPNов и шифрования. Если, например, совершенно не интересует обработка контента и можно отключить веб-фильтры, то на стомегабитном внешнем потоке загрузка процессора не высока. С веб-фильтрами и антивирусной проверкой можно упереться в потолок на 40-50 мегабитах внешнего трафика на сервер.
По моему опыту у TMG есть одно единственное преимущество — это возможность разделять доступ в Интернет по пользователям и по приложениям без привязки к IP. Т.е. ТМГ полезна, когда надо иметь возможность учитывать и ограничивать доступ в Интернет (по протоколам) для пользователей, работающих на сервере терминалов или же блокировать выход в интернет с определенного типа приложений.
На этом преимущества продукта заканчиваются. Из ваших требований вот это ТМГ не умеет:
— шейпинг и квотирование трафика по пользователям, да и базовая отчетность у нее мягко говоря так себе,
— динамические правила на основе сетевой активности (аля fail2ban)
— логирует только все подряд (и это беда, когда у тебя канал больше 10 Мбит/с)
Дальше из реальных нареканий к ТМГ исходя из моего опыта работы с ним:
1) Там где PPTP работал стабильно на простом RRAS, после установки TMG PPTP может просто не работать после загрузки сервера — требуется дополнительно перезапустить службу ТМГ (перезапуск RRAS не помогает).
2) Для IPSEC нет никаких средств контроля его работы/загрузки, не говоря уже хоть о каких-то минимальных средствах диагностики. Т.е. ты банально не можешь даже посмотреть, какой аптайм у твоего туннеля. С некоторыми аппаратными роутерами IPSEC с TMG просто не устанавливается.
3) Да, изменения конфигурации зачастую применяются «на лету», без прерывания текущих сеансов, но если сервер нагружен, то применения правила могут происходить несколько минут, совершенно не понимания когда же они реально применятся, — за это время уже появляется желание все еще раз «исправить».
4) Обилие всяких фильтров, надстроек и т.д, включенных по умолчанию, взрывают мозг при решение очередной простой сетевой проблемы. Их отключение зачастую приводит к совершенно неожиданным результатам. Непрозрачность функционирования в целом этого механизма в казалось бы достаточно простых задачах порождают кучу домыслов, заставляющих всерьез сомневаться в своих познаниях в сетевых технологиях.
«логирует только все подряд» — это не так, в свойствах любого правила можно отключить логгирование.
C RRAS — да, свистопляски, но обычно только поначалу
IPSec, насколько я понимаю, замечательно отслеживается через стандартный системный IPSec Monitor в Windows, можно включить отладку, при этом логается все достаточно подробно — хватает, чтобы посмотреть что происходит с роутерами.
С изменениями конфигурации все достаточно просто, если понять, какие изменения затрагивают прокси, а какие только проходящий трафик. На соединение которое уже установлено через фильтр новые правила которые применяются через фильтр (по протоколам и контенту) распространяться не будут, пока соединение не будет переустановлено. При этом в HTTP через одно соединение может идти много запросов, жить оно может достаточно долго. Можно вылечить перезапуском службы, если необходимо.
Неочевидных особенностей конфигурации действительно ужасно много, но, к счастью, все документированы + достаточно неплохие средства самодиагностики, т.е. о многих вещах TMG честно ругается.
Про логи и IPsec монитор действительно забыл. Но в целом ТМГ это такой продукт, в котором для того, чтобы поднять упавший PPTP туннель, ты лезешь в RRAS. При этом RRAS находится под управлением TMG, но некоторые параметры ты все-равно можешь настроить только в RRAS. Ipsec настраивается в TMG, а мониторить его — в отдельную оснастку. Логи ведутся, но их обрабатывать — отдельное стороннее ПО. И т.д.
По поводу изменений конфигурации — спасибо, это действительно многое объясняет.
В целом мы для себя решили в свое время, что TMG — хороший продукт (по заложенному функционалу) для ограничения доступа в Интернет пользователей, но для организации связи сайт-ту-сайт надо использовать аппаратный фаервол, особенно если через этот VPN ходит голос.
Fortigate — достойная замена уходящему Microsoft Forefront TMG
Для всех уже давно не секрет, что компания Microsoft объявила о прекращении дальнейшего развития своего продукта Forefront TMG. При этом, продукт стал недоступен к приобретению с 1 декабря 2012 года, основная его поддержка будет прекращена после 14 апреля 2015 года, а расширенная поддержка закончится 14 апреля 2020 года.
Оставшийся в помощь Forefront Unified Access Gateway (UAG) для публикации веб-ресурсов таких как: MS Exchange, SharePoint, Lync и т.д., не обеспечивает функций безопасности, предоставляемых ранее посредством TMG, что отображено в небольшой сравнительной таблице функций:
И раз уж зашёл разговор о необходимых функциях безопасности, кратко обозначим, какими же из них TMG способен был осчастливить нас, пользователей:
• Межсетевой экран;
• Веб-прокси;
• Reverse proxy для публикации внутренних ресурсов;
• Web и Email-фильтрация;
• Защита от вредоносного/шпионящего ПО;
• Система предотвращения вторжений (IPS);
• Инспектирование SSL-трафика;
• Балансировка нагрузки;
• Удаленный доступ пользователей и функционал VPN, как клиент-сервер (client-to-site), так и между площадками (site-to-site).
Таким образом, перед пользователями TMG рано или поздно (исходя из озвученных конечных дат поддержки) предстанет вопрос о выборе и последующей миграции на аналогичные продукты сторонних производителей.
Так, некоторые из компаний (Sophos, Citrix, Cyberoam, WatchGuard, Kemp и др.) уже начали свои кампании (думаю, такая тавтология была бы уместной) по активному продвижению программных и/или аппаратных решений и предоставляют полнофункциональную альтернативу плавно и неизбежно уходящему пресловутому TMG. Это подтверждается наличием в сети рекламных флаеров, акций и прочих маркетинговых материалов в виде «TMG Replacement Guide», « VS. TMG Comparsion» и т.д.
Компания Fortinet пошла тем же путём, что и остальные вендоры и на сегодняшний день также предлагает свой «Microsoft TMG Replacement» на базе флагмана линейки собственных продуктов сетевой безопасности – FortiGate.
Поскольку сам TMG (Threat Management Gateway) позиционировался как решение унифицированного управления угрозами – то и искать ему замену логично как раз из числа UTM. Посему, заглянув в Квадрат Гартнера: www.gartner.com/technology/reprints.do?id=1-1H1RO5D&ct=130710&st=sb, «магически» видим здесь Fortinet в лидерстве среди UTM-решений, и лидерство сие является уже достаточно долговременным – почти 6 последних лет.
Итак, приступим к детальному рассмотрению обеспечиваемых функций предлагаемым «альтернативным» решением, способным, по словам вендора, оказать равноценную замену нашему сабжу.
Собственно, предложением Fortinet является миграция на FortiGate следующего списка функций:
Здесь, прежде всего, хотелось бы сказать, что для крупных предприятий при наличии сложной сетевой инфраструктуры, рекомендуется разделить свои задачи и использовать отдельные узконаправленные решения. Fortinet, в частности, может предложить реализацию такого раздельного и целенаправленного, но, в то же время гибкого и легко масштабируемого подхода с помощью линеек оборудования Fortinet:
— FortiWeb — Web Application Firewall, решение для защиты веб-ресурсов и приложений (в т.ч. – реализация Reverse Proxy с защищённой публикацией веб-ресурсов);
— FortiMail, комплексное антиспам-решение для защиты почты;
— FortiBalancer, FortiADC, Coyote Point Equalizer – всё линейки балансировщиков нагрузки и контроллеров доставки приложений.
Для обеспечения полного комплекса мер по сетевой безопасности, всё это лучше дополнить и включением в инфраструктуру самого FortiGate, однако, малым и средним предприятиям можно обойтись лишь услугами этого решения в аппаратном, либо виртуальном исполнении.
Итак, что же обеспечивает FortiGate в разрезе аналогичных с TMG функций? Будем поочерёдно их рассматривать через призму замены TMG, а заодно и в общих чертах ознакомимся с умениями FortiGate.
Межсетевой экран
Межсетевой экран – начало начал фильтрации нежелательных подключений извне, из Интернета в корпоративную сеть. В то же время, необходимо вести учёт, контроль и разграничение доступа пользователей изнутри сети к внешним ресурсам. Поэтому, помимо пакетной фильтрации, трансляции адресов и портов, поддержки глубокого инспектирования пакетов с проверкой на принадлежность существующему соединению (Stateful/Deep Packet Inspection), FortiGate – это прежде всего платформа комплексной защиты сети, под управлением единой операционной системы FortiOS с полным набором встроенных функций безопасности, таких как: антивирус, антиспам, контроль приложений, система предотвращения вторжения, веб-фильтрация, предотвращение утечки данных и прочие.
При всём широком наборе функциональности, стандартная политика для веб-доступа пользователей из внутренней сети в Интернет, созданная в веб-интерфейсе FortiGate, будет выглядеть так:
Веб-прокси
Одна из старейших и наиболее используемых функций TMG для предоставления доступа пользователей к Интернет без дополнительной аутентификации.
В FortiGate есть функция «Explicit web proxy» для передачи через прокси сессий по HTTP (HTTPS) и FTP, плюс поддержка авто-конфигурации с помощью PAC-файла.
Также, благодаря полностью интегрированной в FortiGate функции Single Sign-On (SSO), доступна возможность взаимодействовать с контроллером домена (Active Directory, Novell eDirectory) и контролировать доступ аутентифицированных пользователей, применяя к определённым группам домена необходимые права и возможности.
В дополнение к этому, в такие политики безопасности могут быть включены функции антивирусной защиты, предотвращения вторжения, веб-фильтрация и контроль приложений.
Включение веб-прокси осуществляется на требуемом(-ых) интерфейсе(-ах) («port1» на верхнем рисунке) и созданием разрешающей политики (на рисунке снизу):
Внедрение же Single Sign-On может быть осуществлено несколькими способами:
1. Используя специальную программу-агент на контроллере домена (DC Agent)
DC Agent – программный компонент в виде отдельной службы слежения за входами в систему пользователей, устанавливаемый на контроллере домена. Он взаимодействует с FortiGate не напрямую, а через коллектор-агент (Collector Agent).
Collector Agent инсталлируется на любом сервере или, опять же, на контроллере домена. Агент получает информацию о входах в систему пользователей и обменивается ею с FortiGate. Количество установленных агентов может быть больше одного для отказоустойчивости.
2. Опрос Collector Agent’а
Такой метод также предусматривает установку дополнительного софта в виде Collector Agent, но на контроллере домена службу DC Agent устанавливать не придётся. Collector Agent можно установить в любом месте сети (желательно на каком-то из Windows-серверов) и тогда он сможет опрашивать контроллер домена о событиях аутентификации пользователей («логонах»). Механизмы опроса осуществляются с помощью Windows NetAPI или Security event log.
3. Опрос напрямую с FortGate
Начиная с FortiOS версии 5, механизм опроса логонов с контроллера домена был полностью встроен в FortGate. При этом, для опроса используется только Security event log, а сам метод использования позиционируется как для небольших сетевых инфраструктур, там где нет возможности установить Collector Agent на периметре сети.
Правда, при этом, не стоит забывать, что FortGate если и избавит Вас от лишних хлопот с установкой софта — то возьмёт нагрузку по хранению в памяти структуры домена и опроса логонов пользователей на себя.
4. NTLM-аутентификация
Использование аутентификации по NTLM, требует для обмена с FortGate установленного Collector Agent на периметре сети. При запросе URL-адреса в браузере пользователя, FortGate запросит его доменные учётные данные (логин/пароль), получит их через браузер, сверит у Collector Agent принадлежность пользователя к группам домена и предоставит доступ к ресурсам согласно своей групповой политики безопасности.
5. Терминальные сервера
Пользователи, которые получают доступ к корпоративным ресурсам через терминальные сервера Microsoft или Citrix, имеют вместо собственного IP-адреса один общий адрес или пул. Для применения к таким пользователям политик безопасности посредством SSO, у Fortinet есть очередной программный компонент – Terminal Server Agent (TS Agent), устанавливаемый на самом терминальном сервере. Он выделяет заданный диапазон портов на каждого пользователя и обменивается этой информацией с Collector Agent, который, в свою очередь знает о принадлежности пользователя к доменным группам, а каким группам дать какой набор ресурсов и какую применить политику – знает FortiGate. Выглядит агент так:
В довершение описания реализации SSO хотелось бы также отметить, что производитель стремится к усовершенствованию функциональности даже в самых младших моделях UTM. В подтверждение этому, в 2012 году был анонсирован выход кардинально переработанной версии ОС FortiOS 5, из числа усовершенствований которой была и поддержка Terminal Server Agent, и более корректной работы SSO в целом, с его вышеописанным изобилием вариаций применения и вспомогательного софта.
Хоть поверьте, хоть проверьте, а взяв последние версии софта: Collector Agent, DC Agent, TS Agent в сочетании с FortiGate на версии FortiOS 5.0.4 и выше – всё будет работать как часы. А если будет интересно постичь тайности SSO и погрузиться в детали – будем про него «песать исчо», т.к. эта тема заслуживает отдельной статьи.
Переходя к части применения политик безопасности, взглянем, как это будет выглядеть на FortiGate при успешно настроенных программных компонентах SSO:
Применяемое правило для доступа конкретной группы или пользователя выглядит так:
Более разграниченные политики со множеством разных доменных групп предоставляют больше возможностей для контроля доступа пользователей к ресурсам сети.
Публикация OWA/SharePoint
Основными аспектами вопроса публикации веб-ресурсов Outlook Web Access или SharePoint являются следующие:
— Трансляция внешнего IP-адреса;
— Обмен сертификатами с пользователями извне.
Для начала нам нужно импортировать сертификат, делается это так:
В нужном меню просто выберите свой сертификат и нажмите ОК.
Далее, для настройки реверс-прокси необходимо настроить балансировку нагрузки. Создаём для этого виртуальный сервер:
Для виртуального сервера нужно определить реальный сервер:
Финальным этапом, создаём политику безопасности, где разрешаем трафик извне:
Входящий интерфейс (Incoming Interface) в таком случае будет внешний, исходный адрес (Source Address) будет «all», а адрес назначения (Destination Address) – только что созданный виртуальный сервер. В качестве сервиса, пропускаем HTTPS, т.к. обмен трафиком будет происходить только по HTTPS, а большего нам и не надо.
Как и в обычном прокси, существует возможность расширить функции безопасности, включив в политику профили:
— Антивирусной защиты;
— Системы предотвращения вторжения (IPS);
— Контроля приложений (тут мы можем ограничить или отследить, что кроме нужного приложения не используются другие);
— URL-фильтрации.
Инспектирование SSL-трафика
Ещё одна важная функция при миграции с TMG – это инспектирование SSL-трафика.
Включается так же просто как и остальные функции безопасности – преднастроенным профилем в политике.
Поскольку обмен сертификатами прозрачен для конечного пользователя внутри сети, можно использовать стандартный встроенный от вендора, а если внутренний сервер будет иметь собственный самоподписанный сертификат – можно просто включить «Allow invalid SSL Certificates», ведь они будут восприниматься как некорректные, т.к. не фигурируют в списке доверенных Certificate Authority (CA).
В разрезе публикации веб-ресурсов на FortiGate, настройка инспектирования относится лишь к публикуемому приложению и не будет касаться остального трафика, однако функция SSL-инспектирования может использоваться и для более детального контроля SSL-трафика конечных пользователей в корпоративных политиках безопасности.
Контроль приложений
Для того, чтобы задействовать функцию контроля приложений необходимо создать «сенсор» приложений. Это тот же профиль, только — в профиль 🙂
Смотрим:
В нашем случае, можно и нужно выбрать конкретное приложение, переключив тип сенсора на «Specify Applications» и методом поиска найти нужное приложение:
Система предотвращения вторжений
Для включения в политику безопасности – опять нужен сенсор для IPS:
Единственное – это то, что через веб-интерфейс нельзя создать фильтр по приложению, но это можно сделать из CLI-консоли, выполнив такие команды или скопировав их как скрипт:
После создания в CLI фильтра, в нём можно применять любые сигнатуры исключительно для IIS и Exchange.
Ещё одна «неявная» функция – это написание своей IPS-сигнатуры для блокирования доступа при попытке ввести неправильный пароль. Для создания таковой для OWA 2012 это будет выглядеть следующим образом:
Здесь параметр «—rate 3,180;» символизирует количество ложных ошибок ввода пароля (3) и время блокировки пользователя по его IP-адресу в секундах (180).
Защита от вредоносного/шпионящего ПО
Профиль антивируса выглядит так:
Как видим, помимо HTTP есть ещё другие виды трафика (SMTP, POP3, IMAP, MAPI, FTP). Нам же для публикации достаточно только HTTP(S).
Итак, собираем это всё воедино. Создаём политику для нашего реверс-прокси с публикацией, извне в корпоративную сеть, а точнее – на сервера веб-приложений, плюс включаем все настроенные профили и сенсоры, в том числе и SSL-инспектирование:
Публикация Lync
Теперь, когда мы детально рассмотрели вопрос публикации OWA/SharePoint с полным возможным набором функций безопасности, стоит отметить, что публикация Lync как веб-приложения происходит на FortiGate практически по той же схеме (трансляция адресов, обмен сертификатами, защита функциями UTM) и по тем же протоколам, за исключением появления необходимости контролировать также и трафик SIP:
Дабы учесть и такой аспект, помимо описанных возможностей, в FortiGate встроена поддержка SIP ALG (Application Level Gateway) – шлюза прикладного уровня, который обеспечивает детальное инспектирование и фильтрацию трафика SIP. Как и многие функции FortiGate, SIP ALG заслужил у производителя отдельного мануала – поэтому его детальное рассмотрение также заслуживает отдельной статьи в будущем.
Удаленный доступ пользователей и VPN-сети
Виртуальные частные сети VPN и защищённый шифрованный доступ с их помощью удалённых пользователей к корпоративным ресурсам сети или туннели между разнесенными площадками предприятий, очень широко используются уже большое количество времени, и TMG здесь не является единственным и неповторимым, обеспечивая нам данный функционал. FortiGate тоже не панацея, но искать решение для VPN на стороне зная, что и тут мы всё сможем сделать «из коробки» — это уже, простите, моветон. Да и оговорились мы ещё вначале, что решение наше полнофункциональное, поэтому обманывать не будем – а будем продолжать с миграцией всех функций TMG.
Итак, что имеем? Имеем поддержку L2TP/IPSec и IPsec VPN для т.н. «site-to-site» подключений и SSL-VPN для удалённого доступа из любой точки, что вполне подходит для «client-to-site».
Для IPsec доступно несколько вариаций, а-ля статического или же «Dialup»-подключения (имея статический адрес на одной стороне и динамический с удалённого конца туннеля), Dynamic DNS. Туннели строятся и между FortiGate’ами, и между ПК и FortiGate — с помощью дополнительного софта FortiClient. Присутствует множество аутентификаций (локальные группы пользователей, идентификаторы локального и удалённого узла, сертификаты X.509, учётные данные групп Active Directory).
SSL представлен двумя режимами – веб-портальным и туннельным. Веб-порталы предназначены для быстрого доступа к корпоративным ресурсам из веб-браузера, что особенно актуально для тонких клиентов и мобильных устройств. В таком режиме, FortiGate служит как защищённый HTTP/HTTPS шлюз, и аутентифицирует пользователей, предоставляя им затем доступ к веб-порталу, где доступны ресурсы HTTP/HTTPS, telnet, FTP, SMB/CIFS, VNC, RDP, SSH и прочие. Туннельный режим предлагает доступ любому приложению к корпоративной сети, но для этого устанавливается FortiClient или отдельная его часть — FortiClient SSL VPN application. FortiClient поддерживает многие ОС: Windows, Mac OS X, Apple iOS и Android.
Ещё один из типов дополнительной авторизации для VPN – это двухфакторная аутентификация с помощью аппаратного генератора одноразовых паролей FortiToken или софтварного FortiTokenMobile для мобильных устройств.
В общем, VPN-функционал опять же достаточно широк и во всей красе описывается на парочке сотен страниц, но, в то же время, немного потренировавшись (прямыми руками) можно легко управляться с многочисленными туннелями и веб-порталами. Напоследок, отметим также поддержку VPN-туннелей со сторонними (third-party) производителями, среди которых возможность подключения к облачному сервису Windows Azure от Microsoft, который тоже использует IPSec VPN.
Наконец, подытоживая всё вышеописанное, с уверенностью говорим, что Fortinet в лице своего флагмана – линейки UTM-устройств FortiGate может обеспечить с его покупкой очень широкий набор функциональности для построения системы комплексной сетевой безопасности предприятий любых размеров, оставляя при этом зазор для роста их численности. Нельзя обойти стороной возможность более узкопрофильно усилить защиту с помощью отдельных линеек оборудования Fortinet, таких как: FortiWeb, FortiMail, FortiBalancer, FortiToken и FortiClient, упомянутых нами в качестве перехода с Microsoft TMG, а также остальных продуктовых линеек: FortiWifi и FortiAP для построения защищённой беспроводной связи, централизованного управления FortiManager, централизованного сбора и анализа отчётности FortiAnalyzer, защиты от DDoS-атак FortiDDoS, защиты баз данных FortiDB, веб-кэширования FortiCache, кэширующего DNS-сервера FortiDNS, отдельного решения для аутентификации пользователей FortiAuthenticator, работы «в разрыв» при выходе из строя сетевых устройств FortiBridge, коммутация FortiSwitch и это ещё не конец списка…
Вопрос масштабируемости необходимо рассматривать в зависимости от требуемых функций, ранее используемых в TMG. И если уж Вам приглянулся FortiGate в одиночку или вместе с другим железом от Fortinet – то малым предприятиям (примерно до 100 пользователей) стоило бы обратить внимание на модель FortiGate-90D и ниже, а более крупным организациям – на FortiGate-100D и выше, т.к. поддержка некоторых функций (как и цена) разнится в зависимости от модели.
В завершение, от себя хотелось бы подчеркнуть, что о том, достоен ли FortiGate стать для Вас не только полнофункциональным, а ещё и незаметным и беспроблемным переходом с Microsoft TMG – решать, естественно, Вам. Как по мне — вполне реализуемо.