Вы находитесь на странице: 1из 17

Revenir sur SUPINFO

Initiation Forefront TMG : Installation et configuration cliente

Introduction
Forefront est la gamme de produits de scurit pour Microsoft. TMG est le successeur dISA Server, cette solution a pour but de grer
le rseaux via des politiques de scurit comme lannonait Bill Gates en 2003. TMG possde de nombreuses fonctionnalits que lon
s acc
dtailler a article.
dans
Forefront TMG protgera ainsi un rseau dentreprise des diffrents malwares, analysera le trafic entrant et sortant et prviendra des ten
t dattaques venant de lextrieur.
atives

Prsentation de Forefront 2010 TMG


Forefront Threat Management Gateway TMG est une solution de passerelle web scurise protgeant les employes contre les
menace manant principalement du Web.
s
Forefront TMG se charge de la scurit du primtre laide dun firewall intgr, dun VPN, dun filtrage Url et dunIPS/IDS Intrusion
Prevention System / Intrusion Detection System

Forefront TMG est disponible en 2 versions: Enterprise et Standard.


Les fonctionnalits de protections de ces 2 versions sont les mmes, seuls les besoins de dploiement selon linfrastructure rseau
orientero choix.
nt le

a. Les nouveauts
Voici un extrait des nouvelles fonctionnalits de cette version:

Web anti malware: module permettant de scanner en temps rel les pages web la recherche de virus, malwares ou autres menaces. Lutilisate
na alors pas le temps de tlcharger un virus ou autre malware car TMG bloquera le tlchargement et interagira dans le navigateur de lutilisateu

Filtrage URL: Autorise ou Refuse laccs certains sites selon les catgories dURL autorises ou non par ladministrateur TMG pornographie,
racisme, piratage, ecommerce, musique, etc..

Protection Email: Forefront TMG fonctionne en collaboration avec Microsoft Exchange Server pour scanner les emails la recherche de virus
menaces, etc.

Inspection HTTPS: Des sessions tablies laide du protocole encrypt HTTPS pourront tre inspectes la recherche de menaces. De plus, po
des raisons de respect de la vie prive, certaines sessions sites bancaires par exemple peuvent tre exclues de cette inspection.

Network Inspection System NIS: Permet danalyser le trafic rseau laide dune analyse par protocole pour prvenir de lutilisation dexploit
Le systme NIS se base sur des signatures de vulnrabilits connues pour dtecter et bloquer le trafic malveillant.

VoIP amliore: dploiement plus ais dun systme de voix sur IP au sein du rseau laide de SIP. Office Communication Server OCS sintg
parfaitement un environnement TMG laide de rgles configurer.

Procdure dinstallation
a. Pr requis minimum
Les prrequis minimum pour linstallation de TMG sont dcris dans le tableau cidessous:

CPU

64 bit, 1.86 GHz, 2 curs

Mmoire

2 GB, 1 GHz
HDD

2.5 GB despace disque disponible. Partition NTFS

Carte Rseau

1 carte rseau dans le cas o un autre Firewall est dj install en bordure du rseau

Dans le cas dune installation sur un serveur antrieur Server 2008 R2, il faut vrifier la prsence du .Net Framework 3.5, de Windows
PowerShell et de Message Queuing Service.

Il faut aussi veiller disposer dune architecture 64 bit indispensable pour le dploiement de cette solution.

b. Installation pas pas

Cidessus la page daccueil de linstalleur. Pour dbuter linstallation de Forefront TMG 2010 il est conseill de dabord mettre jour son systm
en lanant Windows Update ou en cliquant sur le lien Run Windows Update de la page daccueil.

Une fois toutes les updates installes, commencer la prparation du dploiement en lanant lassistant Preparation Tool.

Cet outil de prparation a pour but de vrifier la prsence des composants suivants sur le serveur:

Rles et fonctionnalits Windows: Network Policy Server, Routing and Remote Access Services, Active Directory Lightweight Directory Service,
Network Load Balancing Tools, Windows Powershell.

.Net Framework 3.5 SP1

Windows Installer 4.5

Windows Update

Windows Web Services API


Lassistant propose 3 types de prparation linstallation:

Forefront TMG Services and Management: Cette option installera tous les services et composants de Forefront TMG.

Forefront TMG Management only : Permet la gestion distance des serveurs Forefront TMG installs sur dautres machines.

EMS for centralized array management : Le serveur EMS permet de grer des groupes Forefront de manire centralise. Nous parlons ici de
dploiement dune ferme de serveurs TMG permettant de rpondre des besoins de mont en charge.

Une fois la phase de prparation termine, si tout sest bien droul, lassistant affichera la page cidessus.
Nous lanons maintenant lassistant dinstallation de la page daccueil. Une fois arriv la page o il est demand de slectionner linterface
rseau prive 1 , nous ajoutons 2 et 3 un adaptateur et choisissons sa carte rseau relie au rseau interne 4 de lentreprise.

Voir capture dcran cidessous pour la correspondance des numros.

Linstallation des composants de Forefront TMG 2010 va maintenant dbuter aprs avoir signal que plusieurs services vont tre arrts
phase dinstallation.

Ces services sont: SNMP, IIS Admin Service, WWW Publishing Service, Microsoft Operations Manager Service.

Aprs plusieurs minutes dattente, linstallation se termine et permet de commencer la configuration de la solution Forefront.

Configuration Forefront 2010 TMG


Une fois linstallation complte avec succs, lassistant de configuration se lancera automatiquement et proposera de configurer les paramtres
rseau, systme ainsi que les options de dploiement.

a. Configuration des paramtres rseau


Cet assistant de configuration rseau nous servira configurer o sera situ notre firewall et de dfinir quelles sont les cartes rseau qui seron
gres par TMG.

Cliquer sur le premier lien de lassistant pour accder aux paramtres rseau.
Il sera ensuite demand de dfinir quel niveau dans notre topologie rseau la solution TMG sera place edge firewall, back firewall, etc..
Chaque possibilit est illustre dun schma et dun texte explicatif afin daider mieux faire son choix.

Edge Firewall: cest le dernier routeur entre le rseau interne et un rseau non fiable Internet. Il fonctionne la fois en premire et dernire lign
de dfense et implmente les mesures de scurit dfinies par la politique de scurit de lentreprise.

Back Firewall: Lutilisation de 2 firewalls constitue une approche plus scurise. Le premier firewall front end est plac entre Internet et un/des
serveurs frontaux rseau de primtre et le firewall back end est plac entre le/les serveurs frontaux rseau de primtre et les serveurs
internes. Cela permet disoler les intrus du reste du rseau et deffectuer une vrification supplmentaire sur les requtes avant de les rediriger vers
rseau interne.

3 leg perimeter: Reprsente 1 seul firewall avec 3 adaptateurs rseau utilis pour crer une architecture rseau contenant une zone dmilitaris
rseau de primtre. Le rseau externe va du firewall interface 3 Internet, le rseau interne est form partir de la 2

me

interface et la zone dmilitarise sur la 1

re

. Ce firewall devient ainsi un Single Point of Failure et doit tre capable de grer tout le trafic allant vers la zone dmilitarise ou le rseau interne.
Il est maintenant ncessaire dindiquer quel adaptateur rseau est connect au LAN. Dans le menu droulant choisir son interface. Dans le
guide linterface connecte au rseau local sappelle LAN.

La configuration IP sera complte automatiquement en fonction des paramtres entrs lors de la configuration de la carte rseau sous Window

De la mme manire que pour le rseau interne, il faut spcifier maintenant quelle carte rseau est connecte lextrieur.

Valider la configuration ainsi que la fentre de rcapitulatif puis passer ltape suivante.

b. Configuration des paramtres systme


Pour accder lcran de configuration des paramtres systme, slectionner le deuxime lien de la fentre Getting Started Wizard.

Il est cette fois propos de remplir le nom dhte, le domaine ou workgroupet le suffixe DNS.
Ces paramtres seront dj dfinis parlassistant dinstallation si la machine tait dj intgre un domaine avant de lancer linstalleur.

Valider les prfrences puis passer ltape suivante.

c. Dfinir les options de dploiement


Accder au troisime et dernier lien du Getting Started Wizard pour configurer divers options.

Il sera tout dabord demand si lon veut ou non utiliser Windows Updatepour maintenir Forefront TMG jour. Il est
fortementrecommanddutiliser cette fonctionnalit afin doffrir la meilleure protection possible. Il est aussi possible dutiliser un serveur dupdat
WSUS pour effectuer ces mises jour.

Cidessus une alerte prvenant des risques encourus si lon dcide de ne pas utiliser Windows Update.

Lcran suivant permettra dactiver la fonctionnalit NIS de Forefront TMG ainsi que dentrer la cl dactivation. De base, une version dessai de
120 jours est disponible pour la protection Web sur http://technet.microsoft.com/frfr/ee423778.aspx

Cette version tant une version dvaluation, ces paramtres sont dj remplis avec des paramtres spcifiques.
Ensuite, le wizard proposera de participer au programme damlioration de lexprience utilisateur en envoyant sur les serveurs Microsoft des
donnes anonymes. Accepter ou non selon ses prfrences.

Directement aprs, il est propos denvoyer toujours Microsoft des donnes sur les ventuellesattaques quaurait pu subir notre rseau.

Suite toutes ces tapes, Forefront TMG est maintenant install et prt recevoir des paramtres avancs.

Configuration avance de Forefront TMG


Nous allons ici vous montrer diffrentes tapes classiques de publication scurise via TMG. Voici la fentre de bienvenue lors du premier dmarra
de Forefront TMG.
Page daccueil de Forefront TMG 2010 permettant daccder tous les paramtres

a. Paramtrage dune politique daccs au web


Cette assistant est disponible au travers de longlet Web Access Policy de la console principale Forefront TMG et permettra de dfinir les
web de lentreprise, de bloquer des groupes dURL prcis, dinspecterle rseau la recherche de malware et de scanner le trafic HTTPS

Il est ici propos de crer une rgle de base permettant de bloquer des URL recommandes. Cocher Yes pour plus de scurit. Il est poss
par la suite dajouter des URL cette rgle de base.
Ensuite, lassistant propose dexclure des utilisateurs de la rgle prcdemment dfinie. Cidessus a t cre une exception nommeCEO
contenant le directeur par exemple.

Lcran cidessus permet dactiver linspection du rseau la recherche de menaces. Il est recommand de laisser coch Yes.

Arrive ensuite la configuration de linspection du trafic HTTPS avec plusieurs choix dfinir selon ses besoins.
Lassistant demandera ensuite sil est ncessaire davertir les clients lorsque leursession HTTPS sera analyse. De plus, Forefront TMG propose d
crer directement un certificat ou den utiliser un autre dj dfini qui sera utilis lors de linspection HTTPS.

Concernant le certificat, Forefront TMG permet de le distribuer automatiquement au travers dActive Directory ou de lexporter pour un
dploiement manuel.

Lcran cidessous permet de dfinir la taille du cache si activ.

Une fois tous ces paramtres entrs, le Web Access Policy Wizard prsentera un tableau rcapitulatif de toutes les prfrences ainsi quun
message de confirmation comme quoi le certificat a bien t dploy au travers dactive directory.
b. Cration dune rgle daccs web pour un utilisateur spcifique
Forefront TMG 2010 permet de dfinir des rgles daccs spcifiques un ou des utilisateurs. Pour ce faire, accder loption Create Access R
de longlet Web Access Policy.

Entrer un nom explicite pour cette nouvelle rgle.

Ensuite, dfinir laction effectuer autoriser ou refuser lorsque les conditions seront rencontres.
Dfinir ici pour quels protocoles cette rgle sappliquera. Il est possible den ajouter et den enlever.

Pour la mme rgle, choisir si elle sera inspecte la recherche de malware.

Enfin, slectionner la source sur laquelle sappliquera cette rgle.


De la mme manire, la destination de la rgle.

Dernirement, choisir un utilisateur sur lequel sappliquera cette rgle. La rgle peut aussi tre applique tous les utilisateurs.

Cidessus, il est possible de confirmer la bonne cration de notre rgle ainsi que de voir certaines de ses principales caractristiques.

Dploiement du client Forefront TMG


a. Activer le support client ct serveur
Le client Forefront TMG est une application qui rside sur les ordinateurs clients dans un rseau protg par Forefront TMG. Le client Forefront TM
fournit une scurit renforce, la prise en charge des applications et le contrle daccs pour les ordinateurs clients.

Voici la marche suivre pour configurer Forefront TMG pour quil dploie les paramtres du navigateur web aux ordinateurs utilisant Forefron
TMG Client. Il est aussi possible de configurer ces paramtres laide de GPO depuis la console dadministration Group Policy Management
1. Cliquer sur longlet Networking gauche.

2. Choisir son rseau interne.

3. droite, choisir Edit Selected Network.

4. Slectionner longlet Forefront TMG Client dans la nouvelle fentre.

5.Activer le support client en cliquant sur Enable puis paramtrer selon ses besoins.

a.Automatically detect settings : si activ, le navigateur web tente de trouver quel serveur dtient les paramtres du navigateur w

b.Use automatic configuration script :permet dobtenir les paramtres laide dun script de configuration soit dune URL par dfa
soit dune URL personnalise.

c.Use a Web proxy server : si activ, le navigateur web obtient ses paramtres depuis le web proxy dsign.

b. Configurer des paramtres dapplication


Toujours depuis la console de management de Forefront TMG, il est possible de dfinir des paramtres dapplications qui affecteront tous les
ordinateurs sur lesquels Forefront TMG Client est install.

Ces paramtres permettent de dfinir comment va se comporter le client avec des applications spcifiques.

1. Cliquer sur longlet Networking gauche.

2. Choisir son rseau interne.

3.Configure Forefront TMG Client settings

4. Dans la nouvelle fentre, des paramtres sont dj dfinis et modifiables. Il est aussi possible den ajouter de nouveaux en cliquant sur New.

5. Dans la fentre Application Entry Setting entrer ses paramtres selon ses besoins puis sauvegarder la configuration.

c. Distribuer le client aux ordinateurs du rseau


c. Distribuer le client aux ordinateurs du rseau
Afin de distribuer de manire simplifie et efficace le client au travers de lorganisation il est possible de procder selon les mthodes suivantes :

Script douverture de session

Group Policy

Microsoft System Center Configuration Manager 2007

La solution retenue dans ce guide est un dploiement par Group PolicyGPO. Les dtails de mise en uvre de la distribution ne seront pas
expliqus ici mais il a t choisi dAssigner le package aux ordinateurs.

Le package client se trouve sur le DVD dinstallation mais aussi dans le rpertoire C:\Microsoft Forefront TMG\client\ms_fwc.msidu serveur
Forefront TMG.

Dans la console Group Policy Management Editor du Domain Controller, diter une nouvelle GPO et dans ses paramtres dployer un
packagedinstallation du client comme cidessous.

Bien veiller choisir loption Assigner et entrer le chemin daccs du .msi au travers du partage pralablement cre avec les bonnes permission
daccs pas avec un chemin local type C:\.

Une fois la GPO cre, la lier la bonne OU contenant les ordinateurs de lentreprise. clique droit sur lOU puis Link an existing OU . Vrifier la
prsence de la GPO dans lOU voulue comme cidessous.

Le package sera ainsi install automatiquement au prochain dmarrage de chaque machine affecte par la Group Policy.
Ci dessus le client dploy sur un Windows 7 Professional x64

Conclusion
Forefront TMG 2010 est donc une solution particulirement efficace et relativement aise mettre en uvre. Son dploiement initial est accessible
ainsi que ses possibilits de paramtrage avanc qui en font un produit de scurit trs complet.

De plus, sa parfaite intgration au sein des autres produits Microsoft et ses possibilits de collaboration avec Exchange notamment vont pousser d
nombreuses entreprises ladopter. Dailleurs, il y a actuellement un grand nombre de clients qui migrent leur ISA Server 2004 ou 2006 vers TMG,
compris ceux utilisant des solutions dautres diteurs telles que WebSense.

identifie

meilleu

nal