Archives de catégorie : TMG

TMG can be a good friend of DirectAccess

Yes, even if today, Threat Management Gateway 2010 is not longer available from Microsoft product line, there still have in production, and some of them will remain online because they do the job. But why TMG can be a DirectAccess good friend?

As a matter of fact, it’s may be Unified Remote Access (URA) good friend because a new feature  was introduced to Windows Server 2012 that make DirectAccess so easy to deploy : Publishing DirectAccess behind an Edge device

nat

 

And in my case, my Edge device is a Forefront Unified Access Gateway. Let’s have a look at this in a TMG Management console :

0

When you configure your URA Server to operate behind an edge device, Teredo protocol wont be available (No consecutives IPv4 public addresses), neither 6to4. Only IPHTTPS will be available. But it’s not a web site. Technically the only thing that IIS and IPHTTPS protocol share is the HTTP.SYS stack at kernel level. We wont be publishing a web site but a non-web protocol.

1

 

First required parameter, the private IPv4 interface of my Unified Remote Access server. In my case, my URA server is configured with a single Network card.

2

 

At TMG protocol definition level, IPHTTPS protocol will be recognized ad “HTTPS Server”.

3

 

That protocol will be published on the external Network card of my TMG server, but only on one IPv4 public address

4

 

In my case, this is 131.107.0.10.

5

 

So IPHTTPS interface of my URA server will be available on Internet on this IP address.

6

 

Our TMG configuration is now terminated. It’s time to activate the new configuration and test that out.

7

 

A simple “Get-DARemoteAccessConnectionStatistics” PowerShell command will show to that my client is connected with IPHTTPS. In my case, this was a Windows 8 client, but this also work with Windows 7 if you enable the legacy client support feature.

8

 

So don’t underestimate the value of your existing TMG investment, it can be used with DirectAccess if you choose Unified Remote Access included in Windows Server 2012.

Final question : Is it possible to publish Unified Remote Access server on an alternate public port? Technically speaking yes but I won’t explain this in this blog post. This will be a subject for the DirectAccess Challenge series. Stay tuned and get an aspirin tube ready for that journey to DirectAccess in SDI scenario.

BenoîtS – Simple and Secure by Design but business compliant

Microsoft Forefront, refonte de la Roadmap

Nous attendions la communication officielle de Microsoft depuis quelques temps. Maintenant que celle-ci est publique ), il nous est apparu nécessaire d’en préciser certains aspects.

La roadmap des produits de la gamme Forefront subi donc quelques ajustements. Le premier d’entre eux et certainement le plus visible est l’arrêt de l’investissement de Microsoft dans la gamme de produit que nous connaissons sous l’acronyme de TMG :

  • Forefront Threat Management Gateway 2010 (TMG)
  • Forefront Threat Management Gateway Web Protection Services (TMG WPS)

Pour les administrateurs TMG actuels, la première conséquence est que Microsoft arrête tout développement sur TMG et il n’y aura plus de nouvelles fonctionnalités (pas de support d’IPv6, …). Ils sont cependant assurés de disposer d’un support jusqu’au 14 Avril 2015 pour la phase de support principale puis jusqu’au 31 Décembre 2020 pour la phase de support étendu. La solution reste toujours cependant disponible dans le catalogue Microsoft, et encore disponible pour les contrats cadre ECAL.
Au-delà des raisons d’un tel choix de la part de Microsoft, la solution Microsoft Forefront Threat Management Gateway 2010 reste une solution de premier plan dans les scénarios de type Edge Firewall ou Reverse Proxy pour les produits Microsoft tel que Microsoft Exchange, SharePoint, Lync ou même CRM. Cela reste une solution de publication basique. Des infrastructures basées sur Microsoft ISA Server peuvent cependant tout à fait évoluer vers TMG 2010 pour répondre aux besoins de Firewalling ou encore de Proxy. Pour les solutions existantes de Reverse proxy, Il est recommandé de migrer vers Microsoft Forefront UAG 2010 même si vous utilisez déjà TMG pour ce type de scénario, non pas à cause de cette annonce, mais tout simplement car c’est la solution recommandée par MS depuis 4 ans, qui reçoit des investissements. Dans un certain cas, il est tout de même possible d’utiliser TMG. TMG reste encore à jour une solution éprouvée avec de très nombreuses fonctionnalités et, certifié EAL4+.
Concernant la solution Microsoft Forefront Unified Access Gateway 2010, elle reste toujours disponible et aura un successeur. On pourrait penser qu’un investissement faible a été effectué au cours de ces deux dernières années avec seulement quelques mises à jour et une certification EAL2+. Ceci s’explique par sa capacité à s’adapter aux nouveaux scénarios d’entreprise telle que l’émergence des tablettes numériques, l’utilisation des smartphones personnels en entreprise (BYOD) tout en offrant des capacités uniques dans le domaine de la mise à disposition des ressources de l’entreprise à des utilisateurs externes ou des partenaires. Il est par contre très simple de développer avec UAG des spécificités d’entreprise, contrairement à TMG (C#). De nos jours, le pare-feu de nos entreprises ne constitue plus une frontière de sécurité suffisante. Les informations qui font la valeur de nos entreprises circulent entre les utilisateurs internes et externes. C’est là où UAG dispose d’une vraie plus-value par rapport à TMG, en protégeant les applications publiées à l’aide de contrôle de conformité, de filtrage url intelligent, d’identification du device, d’optimisateurs d’url,… Il est par ailleurs moins limité que TMG sur les différents modes d’authentifications, par exemple en supportant la fédération d’identité mais également fournissant on moteur de WebSSO.
UAG est plus qu’une passerelle d’accès distant, c’est une plateforme d’accès aux applications de l’entreprise pouvant proposer plusieurs scénarios d’accès aux utilisateurs connectés tout en s’assurant que les périphériques connectés respectent un certain nombre d’exigences de conformité et utilisant un mécanisme d’authentification forte. UAG supporte tout type de périphériques, depuis les smartphones Windows Mobiles, Android et Apple, les tablettes numériques dont l’usage ne cesse de croitre jusqu’aux postes de travail. L’utilisation d’UAG en tant que passerelle au lieu de TMG est donc plus que recommandé, sachant que l’éditeur a continué les investissements sur ce produit et a été la solution recommandée depuis 4 ans.
Parlons maintenant de Direct Access, même si cette partie n’a rien à voir avec l’annonce de la roadmap Forefront mais l’arrivée de Windows 2012. Les utilisateurs de postes de travail de la génération Windows 7 et Windows 8 pouvaient bénéficier de DirectAccess. Ceci permettait d’étendre le réseau de l’entreprise jusqu’aux utilisateurs, où qu’ils soient connectés sur Internet. Microsoft a développé DirectAccess avec Windows 2008 R2 initialement, puis l’a amélioré avec Microsoft Forefront UAG (avec les transitions 6to4, NAT64, DNS64). Il est désormais possible de retrouver le même niveau de fonctionnalité, mais avec le rôle Unified Remote Access intégré à Windows Server 2012. Les tablettes Windows 8 peuvent tout à fait se connecter à une plateforme DirectAccess reposant sur Microsoft Forefront UAG 2010. La nouvelle solution fournie avec Windows Server 2012 prendra également en charge les clients Windows 7. Voici un résumé des fonctions DirectAccess au fil des versions pour vous montrer l’évolution et l’investissement dans cette technologie .

Fonctionnalité

Windows 2008 R2

Forefront UAG 2010 SP1

Windows Server 2012

Administration simplifié pour les organisations de petites et moyennes tailles Non Non Oui
Configuration automatisée Non Non Oui
Nécessite une PKI interne Oui Oui Non
Brique NAT64 et DNS64 pour les ressources IPv4 Non Oui Oui
Support d’une carte réseau unique Non Non Oui
Support du NAT Non Non Oui
Nécéssite un DC 2008/2008R2 Oui Non Non
Nécéssite un DNS 2008/2008R2 Oui Non Non
Support du Load Balancing Non Oui Oui
Tolérance de panne Limitée Oui Oui
Support du multi domaine AD Non Oui Oui
Intégration avec NAP Oui Oui Oui
Authentification par OTP (token) Non Oui Oui
Interopérabilité IP-HTTPS et amélioration des performances Non Non Oui
Scénario de gestion du parc Non Oui Oui
Géo-Cluster Limité Limité Oui
Support du mode Serveur Core Non Non Oui
Support des clients Windows 7 Oui Oui Oui
Support des clients Windows 8 ??? Limité Oui
Support du PowerShell Non Limité Oui
Monitoring clients et serveur Non Oui Oui
Diagnostics Non Non Oui
Accounting et Reporting Non Limité Oui

Source : Windows Server 2012 DirectAccess: Microsoft DirectAccess Comparison Table par Jason Jones.

La solution Microsoft Forefront Protection 2010 for Exchange Server (FPE) est arrêtée à la date du 1er décembre 2012. Les infrastructures existantes seront bien entendu supportées jusqu’en 2015. Des fonctionnalités antimalwares et anti-spam seront disponibles dans la prochaine version d’Exchange. Pour une protection avancée, il sera possible de compléter avec l’offre Cloud de Microsoft. A ce titre, l’offre Forefront Protection for Exchange devient Exchange Online Protection enrichissant ainsi la gamme Office 365.
Les solutions Microsoft Forefront Protection 2010 for SharePoint 2010 et Forefront Security for Office Communication Servers sont elles aussi arrêtées. Microsoft va continuer à sécuriser les infrastructures SharePoint et Lync en utilisant des fonctionnalités natives des produits concernés.
Ainsi, les protections antimalwares seront désormais intégrées directement dans les solutions produits au lieu d’être dédiés. Cela facilitera ainsi les infrastructures de messagerie, SharePoint et Lync sans composants additionnels, et sans licences supplémentaires.
Au-delà de la sécurité des infrastructures, c’est aujourd’hui la sécurité des informations dont il faut se soucier. Comme évoqué précédemment, nos utilisateurs accèdent à des informations, peuvent les partager voire même les communiquer à des tiers. Un utilisateur dument accrédité à une application de l’entreprise peut tout à fait accéder à des informations sensibles et les faire sortir de l’entreprise selon divers moyens (clé USB, plateforme d’échange de fichiers, messagerie, impression …). C’est typiquement ce type de scénario qu’une solution comme Active Directory Right Management Services est capable d’adresser. AD RMS s’intégrant à plusieurs types de plateformes collaborative (serveurs de fichiers, Espaces collaboratifs sous SharePoint, messagerie Exchange, …) et même Microsoft Office. RMS sécurise les données circulant au sein de l’entreprise ainsi qu’à l’extérieur auprès de nos partenaires afin d’éviter le vol d’informations. Ce produit est bien conservé, et est intégré à Windows Server 2012.
Enfin, Forefront Identity Manager reste maintenu. La version R2 est disponible depuis Juin 2012. Avec l’avènement du Cloud, la gestion des identités sort maintenant de l’entreprise. Au-delà de ses capacités de synchronisation de différentes sources d’annuaires, c’est la synchronisation avec des sources externes telles que l’offre Office 365 de Microsoft qu’il faut considérer. C’est une manière de s’assurer de la bonne gestion des licences consommées dans le Cloud.

Coécrit par GIRAUD Alexandre / SAUTIERE Benoît / LEPERLIER Lionel

Maximum respect pour Lionel!

Ben ca vaut au moins ça. Par ce qu’être publié sur le blog The Microsoft MVP Award Program Blog, c’est la classe. Son article “How DPM 2010 Could Protect Forefront TMG 2010 with a Minimum Opening of Feeds | Proteger Son Serveur Forefront TMG 2010 Avec DPM 2010” porte sur les flux réseaux nécessaires pour sauvegarder un serveur TMG avec DPM 2010. Ouvrir les flux RPC, c’est bien mais c’est large. Depuis ISA 2004 (Je sais c’est vieux), on peut filtrer les RPC en fonction des UUID.

 

BenoîtS – Simple and Secure by Design but Business Compliant

Problématique de performance entre TMG et le cloud

Je ne fait que relayer l’article de Yuri Diogenes. Il présente une problématique que les clients vont rencontrer très rapidement après la migration vers Office 365 ou tout autre service dans le Cloud.

 

Dans la problématique qu’il détaille , il présente le cas d’utilisateurs dont la messagerie a migré vers le cloud. Très rapidement, les utilisateurs ont constaté l’impossibilité d’envoyer des mails. L’article détaille très bien la méthodologie utilisée pour identifier la problématique de performance de TMG. Dans le cas présenté, tous les clients de messagerie passent par TMG pour se connecter à leur boite aux lettres dans le cloud, ce qui implique un grand nombre de sessions SSL, un trop grand nombre. TMG a besoin de se voir allouer beaucoup plus de mémoire en prévision du nombre de sessions SSL que le serveur TMG va devoir supporter.

 

Au passage, on constatera que la solution se trouve dans le Service Pack 2 de TMG .

 

Conclusion, la migration de la messagerie vers le cloud n’est pas aussi simple que la commande Move-Mailbox. Encore faut-il pouvoir accéder à ces services. La migration vers le cloud, cela se planifie.

 

Benoits – Simple and Secure by Design but Business compliant

Disponibilité du SP2 de TMG

C’est tout frais de quelques heures. Le Service Pack 2 de TMG est disponible à cette adresse. Pour faire court, c’est un bon cumulatif de toutes les KB. On trouvera quand même une nouveauté essentielle, à savoir la capacité à utiliser Kerberos pour les array TMG en NLB (enfin!)

 

Benoits – Simple and Secure by Design but business compliant

TMG 2010 et MS11-40

En parcourant la liste des failles de sécurités couvertes en ce mois de Juin par Microsoft, le bulletin MS11-40 a attiré mon attention. Il fait référence à une faille de sécurité dans le client de pare-feu de TMG/ISA Server.

 

Certes ce n’est pas un composant qu’on utilise pas tous les jours mais si on utilise la fonctionnalité d’inspection de trafic HTTPS de TMG, alors il est nécessairement installé, rien que pour notifier l’utilisateur de l’opération d’analyse du flux HTTPS.

 

Grand merci à Richard Hick’s pour son billet sur le sujet.

 

Benoits – Simple and Secure by Design but Business compliant.

TMG et IE9 ne font pas bon ménage

Cela commence à se savoir mais l’installation d’IE9 sur un serveur configuré avec Microsoft Forefront Threat Management Gateway 2010 pose problème avec la console d’administration de ce dernier.

 

Selon le blog “Microsoft Reduce Customer Effort Center”, la problématique est en cours d’analyse. Le billet fait référence à un contournement, en attendant la disponibilité d’un véritable correctif.

 

Bien entendu, cette problématique touche aussi Microsoft Forefront Unified Access Gateway 2010 qui embarque TMG pour se protéger.

 

Update : Cette problématique est corrigée dans le SP2 de TMG nouvellement disponible. Une raison de plus pour mettre à jour.

 

Benoits – Simple and Secure by Design but Business compliant.