Deel dit bericht op facebook!

TMG installatie

2.1       Voorbereidingen

Voordat TMG wordt geïnstalleerd zal eerst de Windows Server 2008 voorbereid moeten worden op deze installatie. Om de server voor te bereiden moet de Preparation Tool uitgevoerd worden om een verificatie uit te voeren op het systeem. Als men kiest om de Preparation Tool over te slaan en direct te starten met de installatie van TMG, zal waarschijnlijk de installatie mislukken.

2.1.1      Preparation Tool

Belangrijk is dat de Preparation Tool een internet verbinding nodig heeft om uitgevoerd te worden. Met deze internet verbinding worden de laatste updates gedownload om zo voorzien te zijn van de laatste hot-fixes en security updates.

In onderstaande tabel is te zien welke onderdelen tijdens deze Preparation Tool worden geïnstalleerd.

Forefront TMG Forefront TMG Management Enterprise Management System
Windows Roles and Features
·         Network Policy Server Yes No No
·         Routing and Remote Access Services Yes No No
·         Active Directory Lightweight Directory Services Tools Yes No Yes
·         Network Load Balancing Tools Yes No No
·         Windows PowerShell Yes No No
Microsoft .NET 3.5 Framework SP1 Yes No Yes
Microsoft Windows Installer 4.5 Yes No Yes
Windows Update Yes No No
Windows Web Services API Yes No No

Figuur 2.1 – required installations – Bron 2.1.1.1

2.1.2      Handleiding Preparation Tool

Om de Preparation Tool uit te voeren starten we eerst de setup van Microsoft Forefront Threat Management Gateway 2010. Er verschijnt een menu waarbij voor een aantal opties gekozen kan worden. Onder Prepare and Install kunnen de volgende onderdelen gestart worden:

  • Run Windows Updatetmg001

Het uitvoeren van Windows Update om Windows Server te voorzien van de laatste security updates om zo de firewall zo goed mogelijk te beveiligingen.

  • Run Preparation Tool

De Preparation Tool zorgt ervoor dat het systeem volledig voorbereid wordt om de installatie van TMG te kunnen uitvoeren. Zie ook bovenstaande tabel.

  • Run Installation Wizard

De installatie wordt uitgevoerd d.m.v. een wizard waarbij een aantal stappen doorgelopen moeten worden.

Nadat alle Windows updates zijn geïnstalleerd wordt de Preparation Tool uitgevoerd. Allereerst verschijnt er een welkom venster waarin uitgelegd wordt wat deze Preparation Tool inhoudt. Kies voor Next.

tmg002

Ga akkoord met de License Agreement en klik op Next.

tmg003

Er moet gekozen worden voor het type installatie om TMG te installeren. TMG kent drie verschillende installatie, namelijk;

tmg004

  • Forefront TMG services and Management

Hierbij wordt het software pakket van Microsoft Forefront TMG en het Management Console geïnstalleerd. Om TMG voor het eerste te installeren kiezen wij voor deze optie.

  • Forefront TMG Management only

De installatie installeert alleen het TMG Management Console waardoor TMG servers op afstand kunnen worden beheerd. (Bron 2.1.2.1)

  • Enterprise Management Server (EMS) for centralized array management

Een Enterprise Management Server wordt veelal geïnstalleerd in grote organisaties waarbij meerdere TMG servers aanwezig zijn. Met deze Enterprise Management Server kunnen verschillende TMG servers op afstand worden beheerd. Denk hierbij aan bijvoorbeeld aan een organisatie zoals de Belastingdienst of Kadaster waarbij meerdere vestigingen aanwezig zijn door het hele land. Het Kadaster beheerd zijn gehele IT-infrastructuur vanuit hoofdvestiging Apeldoorn, zo ook een dergelijke firewall.

 

Nadat de gewenste type installatie is gekozen wordt de Preparation Tool gestart. Dit duurt enkele minuten, afhankelijk wat er nog geïnstalleerd moet worden op de server.

tmg005

 

 

 

 

 

2.2       De installatie

 

Nu de Windows Server 2008 R2 volledig is voorbereid op de installatie van TMG, voeren we de installatie uit van TMG.

Start de installatie van TMG en klik na het welkom venster op Next.

tmg006

 

Accepteer het License Agreement en klik op Next.

tmg008

Controleer of geef de gewenste informatie op van de gebruiker en voer de productcode in die meegeleverd is bij TMG. Klik op Next om verder te gaan.

tmg009

Geef het pad op waar TMG moet worden geïnstalleerd. Klik op Next om verder te gaan.

 

 

Om het interne netwerk aan te geven moet er een IP range gedefinieerd worden om aan te geven wat het interne netwerk is binnen het bedrijf of organisatie. Klik op Add… en het vensters Addresses verschijnt. Hierin kan de gewenste netwerk adapter geselecteerd worden, een private range of een range naar keuze ingevoerd worden. Kies voor Add Adapter en selecteer de netwerk adapter die gebruikt zal worden voor het internet netwerk.

 

 tmg010

 

 

 

 

 

 

 

 

 

Figuur 2.1 – Define Internal Network 

tmg011

 

 

 

 

 

 

 

 

 

 

 

Figuur 2.2 – Addresses

tmg012

 

 

 

 

 

 

 

 

 

 

Figuur 2.3 – Select Network Adapters            

                                                                                                                                               

tmg013

 

 

 

 

 

 

 

 

 

Figuur 2.4 – Internal Network Addresses Ranges                    

Nadat we de IP range van het interne netwerk hebben aangegeven wordt de melding gegeven dat er een aantal services worden herstart of gestopt. Klik op Next om verder te gaan.

tmg014

 

 

 

 

 

 

 

 

 

 

Figuur 2.5 – Services Warning

Nadat bij het laatste venster op Next is geklikt start te installatie van TMG. Deze installatie kan enkele minuten duren.

 

tmg015

 

 

 

 

 

 

 

 

 

tmg016

 

 

 

 

 

 

 

Figuur 2.6 – Installatie Forefront TMG Enterprise

 

3.        TMG configuratie

 

Nadat TMG services en het Management Console is geïnstalleerd is het tijd om de TMG server te configureren. In dit hoofdstuk over de configuratie van TMG worden de volgende punten behandeld;

  • Configuration Wizard
  • TMG Management Console
  • Diverse netwerken configureren
  • Access rules
  • Demilitarized Zone (DMZ)
  • Cache proxy
  • Load Balancing

 

3.1       Configuration Wizard

 

Voordat TMG wordt geconfigureerd d.m.v. de configuration wizard, moeten de volgende punten duidelijk zijn:

  • Interne IP adressen
  • Authentication methodes
  • Network templates
  • Name resolution (DNS)
  • Locatie van de installatie
  • Update het Windows besturingssysteem
  • Update alle betrokken drivers

Wijzig de computernaam van de server in een herkenbare naam bijvoorbeeld; TMG_SV01. Wijzig de netwerkinstellingen van de netwerkkaart en zorg ervoor dat het IP adres, Subnet, Gateway en DNS correct zijn ingevuld.

 

 

  1. Start de Setup van TMG. Er verschijnt een welkom venster waarbij aangegeven wordt dat de setup drie onderdelen kent.
  • Configure network settings
  • Configure system settings
  • Define deployment options

tmg017

  • Klik op Configure network settings.

 

2. Hierna verschijnt; Welcome to the Network Setup Wizard. Klik op Next en het volgende venster verschijnt. Hierin moet aangegeven worden welke template er gebruikt gaat worden. Kies het gewenste netwerk en kies vervolgens voor Next.

tmg018

 

3. Hierna moet het Internal netwerk aangegeven worden. Dit is het netwerk in het bedrijf of organisatie. Door op de knop Add. te klikken kan een gewenste netwerkkaart aangegeven worden waarna het de gegevens van het netwerk automatisch aangegeven worden. Vul de netwerkgegevens in en klik op Next.

tmg019

 

4. Nadat het Internal netwerk is aangegeven wordt het external netwerk aangegeven. Het External netwerk is het netwerk naar buiten. Vul het IP adres in wat naar buiten gaat. In het voorbeeld is 10.0.0.1 de router van het internet en krijgt de netwerkadapter van de TMG server 10.0.0.10. Vul ook de rest van de gegevens in en klik op Next.

tmg020

 

5. Als laatst wordt er een overzicht getoond. Klik op Finish op het eerste gedeelte af te ronden.

tmg021

6. Het welkom venster van TMG geeft aan dat het onderdeel Configure network settings afgerond is. Klik op Configure system settings om verder te gaan met de installatie.

tmg022

7. Het volgende venster verschijnt: Welcome to the system configuration Wizard. Klik op Next en het volgende venster verschijnt. Hierin wordt aangegeven om welke server het gaat. Zorg ervoor dat vooraf de servernaam een duidelijke benaming heeft bijvoorbeeld FIREWALL-TMG01. Hierin geef je aan of de TMG server in een domein wordt geplaatst of dat het een standalone server wordt die in een werkgroep geplaatst worden. Denk hierbij aan de Single Network Adapter template. Omdat ik een domaincontroller in het netwerk heb staan kies ik voor Windows domain en vul ik onder Change het betreffende domeinnaam in. Verder wordt de DNS aangegeven. Als er een domein aanwezig is wordt hier de domeinnaam aangegeven. Klik op Next om verder te gaan.

tmg023

8. Nadat er op Next is geklikt verschijnt er een overzicht waarin de gekozen instellingen staan vermeld. Klik op Finish om weer terug te keren naar het welkom venster van TMG zoals hieronder is afgebeeld. We gaan nu de laatste fase behandelen. Klik op Define deployment options.

tmg024

 

9. Het volgende venster verschijnt: Welcome to the deployment Wizard. Klik op Next en het volgende venster verschijnt. Gekozen is voor Use the Microsoft Update services to check for updates (recommended). Het is belangrijk dat TMG altijd is voorzien van de laatste updates. Dit omdat een veiligheidslek wat onnodig aanwezig is, grote gevolgen kan hebben voor een organisatie. Klik op Next om verder te gaan.

tmg025

10. Hier wordt aangegeven welke veiligheidsmaatregelen worden toegepast. Activeer Netwerk Inspection System (NIS) en Web Protection. Vink Enable Malware Inspection aan en klik op Next.

tmg026

11. De volgende stap is om aan te geven wanneer en hoe de updates geïnstalleerd moeten worden. Geef aan dat TMG op updates moet checken en deze vervolgens installeert. Laat TMG elke 15 minuten naar updates zoeken en indien er na 45 minuten geen updates worden gevonden moet dit gemeld worden. Klik op Next om verder te gaan.

tmg027

12. Bij de volgende optie wordt er gevraagd of er mee gewerkt wordt aan het verbeteren van het product. Kies een gewenste optie en klik op Next. Hierna verschijnt er een overzicht van de gekozen instellingen en kies je voor Finish. Vervolgens verschijnt onderstaand venster. Zorg ervoor dat “Run the Web Access wizard” aangevinkt staat en klik op Close.

tmg028

13. Na het welkom venster wordt de vraag gesteld of er een default rule moet worden aangemaakt om bepaalde categorieën te blokkeren voor gebruikers. Kies voor Yes, create a rule blocking the minimum recommended URL categories en klik op Next.

tmg029

14. In het volgende venster wordt aangegeven welke categorieën worden geblokkeerd voor geautoriseerde gebruikers. Klik op Next om verder te gaan.

tmg030

15. Geef aan voor welke gebruikers deze regel van toepassing is. Klik op Add om andere groepen of gebruikers toe te voegen. Klik op Next om verder te gaan.

tmg031

16. Geef in volgend venster aan dat Malware inspection aangezet wordt. Klik op Next om verder te gaan. Meer informatie over Malware inspection is te vinden in het plan van aanpak van dit meesterstuk.

tmg032

17. In het volgende venster geef je aan of HTTPS verkeer gecontroleerd moet worden. Met HTTPS inspection wordt alle HTTPS verkeer wat binnenkomt gecontroleerd. Dit was eerder lastig om te doen omdat pakketjes beveiligd waren met een SSL encryptie. TMG haalt bij binnenkomst deze SSL encryptie eraf waarna de pakketjes gecontroleerd worden op virussen en malware. TMG maakt een nieuw CA-certificaat aan om hierna een nieuw SSL-certificaat aan te maken. Met dit SSL-certificaat worden de bestanden opnieuw encrypted en doorgestuurd naar de gebruiker. Klik op Next om verder te gaan.

tmg033

18. In het volgende venster wordt gevraagd of gebruikers de melding moeten krijgen als https verkeer wordt geïnspecteerd door TMG. Neem onderstaande instellingen over en klik op Next.

tmg034

19. Geef hier aan dat het certificaat automatisch wordt uitgedeeld door Active Directory. Geef het domain administrator username en password op en klik op Next.

tmg035

20. Hierin wordt aangegeven of er gebruik wordt gemaakt van Web caching. Klik op Cache Drives om een station te kiezen waarop de cache opgeslagen kan worden. Kies voor Next om verder te gaan.

tmg036tmg037