Forefront TMG 2010 RTM (disponibile per il download)

Il nuovo ISA Server, Forefront TMG 2010, e’ disponibile per il download pubblico; data annuncio 16 Nov 2009.

Di seguito il post sul blog del team di sviluppo ISA Server:
http://blogs.technet.com/isablog/archive/2009/11/17/forefront-threat-management-gateway-2010-release.aspx

E’ possibile scaricare Forefront TMG direttamente da questa pagina:
http://technet.microsoft.com/it-it/evalcenter/ee423778.aspx

E’ disponibile nelle seguenti lingue:
Cinese (semplificato), cinese (tradizionale), coreano, francese, giapponese, inglese, italiano, portoghese (Brasile), russo, spagnolo e tedesco.

Il consiglio personale e’ sempre di usare, sulla parte server sempre versioni in lingua Inglese.

ISA Server 2006 e Forefront TMG sono supportati in produzione anche come Virtual Machine su hypervisor Microsoft e terze parti (VMware, ecc.). Per questi ultimi e’ importante ricordare che devono essere certificati da Microsoft secondo il SVVP program.

Enjoy with TMG
Luca

Technet Magazine - TMG Malware inspection

Sul numero di Febbraio, nella sezione Security Watch è presente un articolo dedicato alle funzionalità di Malware Inspection (Controllo Malware) implementato in TMG e presente in TMG MBE.

L'articolo è presente nella sezione Security Watch con titolo Malware Inspection at the Perimeter.

Come sempre l'intero numero di Technet Magazine è scaricabile gratuitamente in formato CHM.

L'articolo è scritto da Jim Harrison, Yuri Diogenes e Mohit Saxena. 

Luca

Luca Conte, MCSE/MCSA:Security, MCT, VMWare VCP
Consulting Services & Professional Training
ISA Server Jumpstart 2009 - ISA Server Technical Days
ISA Server Workbook 2a Ed

 
Riferimenti
Home Page Technet Magazine
Security Watch: Malware Inspection at the perimeter

Download

Donwload Technet Magazine - Feb 09

ISA 2006 & Windows 2008 - Questo matrimonio non sà da fare

Se state pensando di installare ISA Server 2006 su Windows Server 2008 (32/64bit) cosi' da poter sfruttare anche la nuovissima VPN SSL (SSTP)...bene, lasciate subito perdere NON SI PUO'!!

Yuri Diogenes - Support Engineer del Team di supporto ISA Server -, al pari di Don Rodrigo, mette la parola fine a possibili speculazioni su ISA Server 2006/Windows 2008:

1) Can I install ISA Server 2006 in a Windows Server 2008?

No. TMG will be the first Microsoft Firewall that you can install on Windows Server 2008 system.

2) Can I install ISA Server 2006 in a 64bits System?

No. TMG will allow that.

3) Can I join and ISA Server 2006 to a Windows Server 2008 Domain?

Yes you can. We will update the articles below with that info:

http://technet.microsoft.com/en-us/library/bb794821.aspx

http://technet.microsoft.com/en-us/library/bb794807.aspx

4) Does ISA Server 2006 support SSL VPN?

No, but you can publish SSL VPN through ISA Server. Here it is a great article from Tom Shinder that explains how to do that:

http://www.isaserver.org/tutorials/Publishing-Windows-Server-2008-SSL-VPN-Server-Using-ISA-2006-Firewalls-Part1.html

5) Can I publish Secure FTP using II7 through ISA Server 2006?

Not in a supported manner. FTPS is not supported on ISA, for more information check the official article here: http://technet.microsoft.com/en-us/library/bb794745.aspx
fonte: Yuri Diogenes Blog

Grazie Yuri!!

Installare Forefront TMG - Step 1

Per poter installare Forefront TMG è necessario un dominio Active Directory. Il dominio può essere realizzato con Microsoft Windows Server 2003 o Microsoft Windows Server 2008.

Nota: Su come creare un dominio Active Directory con Windows Server 2008 è possibile seguire la guida realizzata da Graziano Mariella su Networkline.org, nel caso in cui incontraste dei problemi potete chiedere aiuto direttamente nel forum dedicato a Windows Server 2008.

Io farò riferimento ad un dominio Active Directory Windows Server 2003 R2 - edu.lucaconte.it -.  Il server su cui sarà installato Forefront TMG sarà FI-TMG.edu.lucaconte.it.

Prima di procedere con l'installazione di Forefront TMG è necessario verificare che siano soddisfatti i requisiti minimi Hardware e Software così come riportati nella seguente tabella - ulteriori informazioni sono disponibili qui -.

OS	Windows Server® 2008 64-bit
RAM	>=1GB
HD	150 MB - NTFS
NIC	1 NIC, almeno 2 se vogliamo implementare la configurazione Edge (Perimetro). In questo articolo vedremo la configurazione Edge.

 

Dalla tabella dei requisiti si vede chiaramente che la versione Beta NON è installabile su OS a 32bit. La versione definitiva potrà essere installata su OS a 32 bit in ambienti non di produzione (stessa politica di Exchange 2007 e di quasi tutti i nuovi prodotti server Microsoft). Questa versione Beta non gestisce traffico IPv6, sia nativo che incapsulato in IPv4. Come motore di logging utilizza solo SQL Server 2005 Express, richiede inoltre IIS, ma non vi preoccupare se non è presente il programma di Setup provvede  automaticamente alla installazione (ma non alla disinstallazione).  

Una volta che ci siamo procurati la versione Beta - su come procurarsela basta leggere qui - , ci basta lanciare il file ForefrontThreatManagementGatewayBeta.exe (ca. 300MB) per avviare il processo di decompressione. Al termine del quale lo spazio occupato sarà di ca. 340MB.

 
La versione di TMG che andremo ad installare è la 6.0.6388.100.

 

Prima di avviare l'installazione di Forefront TMG, al pari di quando si deve avviare l'installazione di Microsoft ISA Server, è necessario svolgere un lavoro preparatorio. Il server su cui andiamo ad installare TMG è un server Windows Server 2008 Enterprise Edition 64-bit con due schede di rete. Una è utilizzata per comunicare con il dominio edu.lucaconte.it la seconda è utilizzata per connettersi ad Internet mediante router di frontiera.

Di seguito è riportata la configurazione delle due interfacce di rete:

 

Configurazione LAN

 

Nome	Configurazione
LAN	IP: 192.168.10.254/24 DNS: 192.168.10.114

 

 

 

Il Server DNS in un dominio Active Directory è spesso associato al Domain Controller. Nel nostro caso l'indirizzo IP del DNS è proprio l'indirizzo IP del domain Controller.

Configurazione WAN

 

Nome	Configurazione
WAN	IP: 10.10.10.254/24 DG: 10.10.10.1

 

 

 

 

Il Default Gateway è spesso rappresentato dall'indirizzo IP della interfaccia LAN del router di frontiera, a volte di proprietà del nostro fornitore di connettività.

 

Nota: LAN e WAN devono essere su due subnet separate - logicamente e fisicamente - quindi NON devono essere collegate, a meno di non usare VLAN, allo stesso Switch!!

   

Il Default Gateway è configurato SOLO sulla interfaccia WAN. Nel caso in cui fossero presenti subnet di sedi remote è necessario configurare su Forefront TMG delle route statiche permanenti tramite il comando route -p ADD. Sulla interfaccia WAN NON è configurato il DNS. Il DNS interno provvederà a risolvere i nomi tramite l'utilizzo di un forwarder - oggetto di un prossimo articolo -.

Nota: Sulla interfaccia WAN (TCP/IP) devono essere disabilitati anche tutte i servizi di rete NON necessari. Nella Beta questa operazione non verrà fatta.

 

Configurare il Binding delle schede di rete

Una volta completata la configurazione delle tue schede di rete è necessario configurare il binding per fare si che la interfaccia di rete LAN sia "consultata"  per prima quando è necessario utilizzare un qualunque servizio di rete - es. logon al dominio -. Nella sezione Network Connections ci basta selezionare Advanced  | Advanced Settings

 

Dopodichè tramite i pulsanti a freccia posizionare in alto (la prima dall'alto) la scheda di rete LAN e cofermiamo la configurazione.

A questo punto la configurazione delle interfacce di rete è completata. Nel prossimo articolo passiamo alla installazione vera e propria di Forefront TMG. Per domane e commenti vi aspetto sul forum di ISAserver.it.

Sarà Forefront TMG ma oggi è ancora ISA Server

Come ormai sappiamo ISA Server, come nome distintivo del firewall Microsoft, è soppiantato da Forefront Threat Management Gateway (TMG). La famiglia Forefront ha assimilato - per i nostalgici di Star Trek -anche ISA Server. Installando la Beta si vede subito nell'interfaccia che il nome ISA Server non è più presente, ma è proprio sparito del tutto? Ancora NO. Non guardiamo la documentazione...ma la parte funzionale, di sistema. ISA Server c'è!

 

In quale cartella si installa il nostro Forefront TMG?
In Program Files (x86)\Microsoft ISA Server.

Mi sarei aspettato subito un cambio in \Microsoft Forefront TMG invece no. Lo so che non è niente di che...ma giusto per mantere ancora vivo un nome che ci ha accompagnato dalla versione 2000. Insomma il nostro ISA Server, il cui cuore ancora batte in Forefront TMG, ancora per un pò ci farà compagnia anche grazie al fatto che Microsoft NON supporta installazioni di Forefront TMG in una cartella DIVERSA da quella di default che è appunto Microsoft ISA Server.

Forefront Threat Management Gateway (TMG) - Documentazione & Download

Documentazione Forefront TMG
Microsoft ha già reso disponibile una versione preliminare della documentazione su Forefront TMG. La documentazione generale è consultabile direttamente dal sito Technet. Di seguito alcune delle sezioni più significative. 

Note di rilascio:

• Release Notes for Forefront Threat Management Gateway

Requisiti di Sistema/Installazione/Migrazione:

• System requirements
• Installing and migrating

Documentazione sul motore antivirus/antimalware:

• Planning for malware inspection
• Managing advanced malware inspection settings 

Web Access Policy:

• Planning Web access policy

Caching:

• Configuring caching

Download Forefront TMG
Forefront TMG è disponibile per il download insieme agli altri componenti della soluzione di protezione Microsoft nota con il nome in codice "Stirling". L'installazione di Stirling è gia' stata oggetto di un mio precedente post.

Fare clic qui per scaricare Forefront TMG (302.7MB) - ForefrontThreatManagementGatewayBeta.exe

Una volta scaricato il file basta lanciare l'eseguibile per avviare la decompressione del file.

Per poter utilizzare la versione Beta di Forefront TMG è necessario un dominio Active Directory.

L'installazione di Forefront TMG sarà oggetto del prossimo articolo.

Microsoft® Forefront™ codename "Stirling" Beta (Disponibile per il Download Pubblico)

E' disponibile da oggi la Beta pubblica di Stirling che contiene anche la nuova release di ISA Server!!! ribrendizzato come Forefront Thread Management Gateway...da scaricare SUBITO!!!

Direttamente dal sito Microsoft:

"...
Microsoft® Forefront™ codename “Stirling” is an integrated security system that delivers comprehensive, coordinated protection across endpoints, messaging and collaboration servers and the network edge that is easier to manage and control.
By delivering simplified management and providing critical visibility into threats, vulnerabilities, and configuration risks, Forefront codename "Stirling" helps reduce costs and achieve greater insight into the enterprise security state.
At release, “Stirling” will include:

A central management console and dashboard for security configuration and enterprisewide visibility.

The next-generation versions of Forefront products: the next generation of Forefront Client Security, Forefront Security for Exchange Server, Forefront Security for SharePoint and the Internet Security & Acceleration Server (to be renamed the Forefront Threat Management Gateway).

Dynamic Response, an innovative Microsoft technology built into each component of "Stirling" that allows the entire system to share and use security information to dynamically respond to threats across multiple layers of the organization.

..."

 

Per scaricare la beta pubblica fare clic qui