Threat Management Gateway (TMG) Beta 2 Kurulumu

Threat Management Gateway (TMG) Beta 2 geçtiğimiz günlerde piyasaya çıktı. TMG Beta 1 ile çeşitli farkları olan bu yeni ürünün kurulum adımlarına tek tek bakalım ve farklılıklarına göz atalım.

Kurulum yapacağımız server ve network ayarları:

• OS: Windows Server 2008 X64
• Interface LAN : 10.0.0.60 /24
• Interface WAN:. 172.16.1.44 /24
• Interface DMZ : 192.168.10.20 /24

Kuruluma geçmeden önce çeşitli gereksinimleri sağlamamız gerekiyor. Bu gereksinimleri kurulum sırasında öğrenmek çok iç açıcı olmayabilir. Zira aynı yerde 3 kez takılır ve baştan başlamanız gerekir. Kuruluma geçmeden önce TMG Beta 2’nin daha önceden açıklandığı gibi sadece Windows Server 2008 64 bit işletim sistemi üzerine kurulabildiğini hatırlatmak isterim. Bu durum sadece beta 2 için geçerli olmayıp RTM versiyonunu da kapsamaktadır.

1. İşletim sistemi gereksinimi sağladıktan sonra TMG kurulumuna başlamadan önce aşağıdaki programları kuralım.

• .Net framework 2.0
• Windows Powershell
• Message Queing Services/Directory Service Integration

.Net 2.0 frameworku download edip yükledikten sonra diğer iki komponenti server manager üzerinden feature ekleme şeklinde gerçekleştirebiliriz. Bunun için server manager’dan add feauture linkine tıklıyoruz ve ilgili komponentleri yüklenmek üzere seçiyoruz.

Şekil-1

2. Bu adımları gerçekleştirip kuruluma geçmeden önce yerine getirmeniz son bir gereksinim var. TMG server’a bir  “domain eki” vermek.  TMG’nin domain üyesi olup olmayacağı tamamen sizin tercihiniz. Eger domain üyesi olmamasına karar verirseniz, FQDN’i manual olarak ayarlamalısınız. Aksi halde aşağıdaki gibi bir hata ile karşılaşırsınız.

Şekil-2

Bu hatayı almamak için aynı Exchange 2007 Edge Server’da oldugu gibi servera bir FQDN veriyoruz.

Bunu yapmak için sırasıyla;

My computer / properties menusunde advanced settingse tıklayın.

Computer name sekmesinde more ikonuna basıp “primary DNS suffix of this computer” bölümünde aşağıdaki şekilde bir domain belirleyin.

Şekil-3

Restart gerektiren bu işlemden hemen sonra TMG kurulumu için hazırız (network kartlarını benim yaptığım gibi daha onceden ayarladığınızı varsayıyorum)

3. İlk olarak karşımıza autoplay ile kurulum menusu gelecektir, Install Forefront TMG ile devam edin.

Şekil-4

4. Sözleşmeyi onayladıktan sonra Next ile ilerleyin.

5. Gelen yeni pencerede, karşınıza 3 seçenek çıkacaktır. Arrayleri yönetecek Enterprise Management Server, TMG yönetmek için management konsolu ve TMG serveri bu bölümde kurabilirsiniz.  İlk seçeneği seçip TMG kurulumuna devam edin.

Şekil-5

6. Karşınıza ilgili komponentlerin seçildiği ekran gelecektir.

Şekil-6

7. Default değerleri seçip Next ile ilerleyin, bu şekilde Internal Network ayarlarının yapıldığı bölüme geliyoruz. İlgili network kartını seçebilir veya internal networkunuze ait ip aralığını belirtebilirsiniz.

Şekil-7

8. Kurulu olması halinde geçici olarak durdurulacak servisler ile ilgili ekranda Next ile ilerleyebilirsiniz.

Şekil-8

9. Bir sonraki aşamada “Microsoft Exchange Edge” ile alakalı bir uyarı mesajı ile karşılaşıyoruz. TMG Beta 2’de “email policy” koruması için Exchange Edge Server kurulumu gerekiyor. TMG Beta 2’de bu kurulumu TMG kurulumuna başlamadan önce yapmanız gerekiyor. İlerleyen versiyonlarda bu durum değişebilir ancak şuan için kurulumu kesip Microsoft Exchange Edge kurulumunu yapıp, TMG kurulumuna tekrar başlamamız gerekiyor. Exchange Edge kurulumu yapmayıp kuruluma devam edelim.

Şekil-9

10. Kurulum, dosyaların kopyalanması ile devam ederek tamamlanacaktır.

Şekil-10

Kurulum bittiğinde karşınıza “ Getting started wizard” çıkacak.

11. Bu wizard IAG 2007 kullanıcılarına pek yabancı olmasa gerek. Sırası ile network ayarlarını, server ayarlarını bu wizard sayesinde yapabiliyoruz. TMG Beta 2’ye özgü bir yenilik olarak bu wizard daha sonra da çalıştırılabiliyor. Böylece network ve server ayarlarının basitçe yapılabildiği bu wizarda her zaman ulaşabiliyoruz. “Configure Network Settings” i seçip ayarlara başlayabiliriz.

Şekil-11

12. Bu bölümde network topolojimize uygun olan seçeneği seçip ayarların bizim için yapılmasını sağlayabiliriz. Aslında bu şablonlar, ilgili networklerin oluşması ve network rule’ların yaratılmasını sağlar. Gelişmiş network topolojilerinde bu şablonları kullanmak yerine manual olarak topolojiyi ayarlamanız gerekebilir.  Demo sebebiye 3- Leg perimeter seçeneğini seçip ilerliyoruz.

Şekil-12

13. İlk olarak Internal Network ayarlarını yapılandırın.

Şekil-13

14. Daha sonra External network (Internet) temsil eden network ayarlarını yapılandırın.

Şekil-14

15. 3-leg perimeter network şablonundaki son network te DMZ networkudur. Ayarları yapıp ilerliyoruz

Şekil-15

Network ve topoloji ayarlarımız bittikten sonra sırada server ayarları var.

16. Domain /workgroup ayarları, bilgisayar ismi, DNS eki gibi ayarları Host Identification penceresinde yapabilirsiniz.

Şekil-16

17. Microsoft Update Setup ekranında Microsoft Update ile ilgili ayarları yapıp Next ile ilerleyin.

Şekil-17

18. TMG’nin ilgili lisansları ile ilgili ayarları yapıyoruz. (deneme sürümü sebebiyle evolution license seçenekleri default olarak gelmektedir)

Şekil-18

19. TMG’nin yeniliklerinden bir tanesi de web erişimi ile ilgil ayrı ayarların yapılabilmesi. Bir sonraki pencerede karşımıza bu ayarları yapabileceğimiz wizard çıkacaktır. İlk seçenekte tüm client bilgisayarı kapsayan bir kural oluşturabilir veya ikinci seçeneği seçip kullanıcı ve/veya grup bazında kurallar oluşturabilirsiniz.

Şekil-19

20. Web erişim kurallarına devam ediyoruz. Bu aşamada erişimini yasaklamak istediğiniz web kaynakları var ise belirtin.

Şekil-20

21. Bir sonraki ekranda ise bana göre TMG’nin en etkileyici özelliklerinden birisi olan Malware Inspection Settings karşımıza çıkıyor. Günümüzde atakların büyük bölümünün application layerdan gerçekleştiğini düşünecek olursak, TMG’nin bu yeni özelliği network güvenliğini arttırıcı bir özellik taşımaktadır.

Şekil-21

22. Https sayfalarına erişimde TMG’nin uygulayacağı kuralları ise Web Access to HTTPS Sites Https sayfasında belirtin.  Güvenli bir erişim yöntemi olsa da günümüzde “man in the middle” saldırıları ile sertifikalar ele geçirilebiliyor ve trafik izlenebilir hale gelebiliyor. TMG bu konuda seçiminize bağlı olarak HTTPS trafiğini de kontrol edebiliyor.

Şekil-22

23. Web Erişim kurallarını da belirledikten sonra ISA serverdan çok ta farklı olmayan konsolumuz ekrana geliyor. Wizardlar aracılığı ile yaptığımız ayarları konsoldan değiştirebiliriz ve topolojimize uygun kuralları oluşturmaya başlayabilirsiniz. Microsoft Exchange Edge server kurulumunu yapmadığımız için SMTP protection’ın etkin olmadığını ve email policy ile ilgili herhangi bir ayar yapamayacağımızı görüyoruz. Gerçek ortamda tabi ki Microsoft Edge server kurulumunuzu yapmanızı öneririm.

Şekil-23

Sonuç olarak;

TMG Beta 2’deki önemli değişiklikler sebebiyle bu ürünün kurulumuna yakından baktık. Web Access Policy kısmındaki ayarları yaparken bahsettiğim gibi, günümüzde saldırıların çok büyük bir bölümü Application Layer seviyesinde gerçekleşmektedir. Network güvenliğimizi mümkün olduğu kadar arttırabilmek için ISA Server  gibi “application layer aware” bir Firewall’a ihtiyacınız var. TMG, ISA server’ın mükemmel firewall ve vpn özelliklerinin üstüne, güvenlik için bir çok değerli bileşeni de eklemiş durumda. Henüz tanışamadığımız URL filtreleme özelliği, Email güvenliği ve yukarıda ayarlarını yaptığımız malware inspection bunlardan bazıları.

Bu konuyla ilgili sorularınızı alt kısımda bulunan yorumlar alanını kullanarak sorabilirsiniz.

Referanslar

–