Configurando o Microsoft Forefront TMG

Índice

  1. Introdução
  2. Configuração dos adaptadores de rede do Servidor Proxy
  3. Instalação do Forefront TMG
  4. Configuração o Forefront TMG
    1. Definindo caminho e tamanho do Cache
    2. Criando regras
      1. Liberando o acesso da rede interna ao servidor
      2. Liberando o acesso do servidor a rede interna
      3. Liberando o acesso a Internet
  5. Acesso a internet
    1. Bloqueando por palavras
    2. Bloqueando por extensões
    3. Bloqueando por endereço
    4. Liberando/bloqueando por horário
  6. Configuração do Gateway no DHCP

1. Introdução

O Forefront provê monitoramento e controle do tráfego da rede.

Principais funções do Forefront TMG 2010:

  • Proxy: Filtro de conteúdo de acesso a Internet.
  • Firewall: controla quais serviços podem ser acessados dentro ou fora da rede.
  • Cache: Armazena o conteúdo acessado na Internet localmente.
  • NIS: sistema que detecta intrusos para evitar ataques a rede.

Lembre-se que necessitará de dois servidores. Isso por que, se você possui o AD instalado, não poderá instalar no mesmo computador o Forefront TMG. O computador com Forefront TMG precisa ser Windows Server 2008 (ou superior) 64-bits. Em 86-bits é possível instalar apenas o Console de gerenciamento, para que possamos administrar um servidor com Forefront remotamente.

Abaixo, a Estrutura da rede:

Está é a estrutura mais comum, onde todos os computadores estão “protegidos” pelo Forefront do acesso externo. Com isso, podemos adicionar filtros de URL para bloquear acesso a determinados websites, por exemplo, por que todos os computadores precisam passar pelo Forefront para acessar a internet.

2. Configuração dos adaptadores de rede do Servidor Proxy

No servidor que será instalado o Forefront, você precisará possuir 2 placas de rede: Uma para Rede interna (192.168.0.254) e outra para a Internet (NAT) (200.254.253.xxx).

Os computadores (e o Servidor com AD, DHCP e DNS) possuirão apenas uma placa de rede, usada para a Rede interna. Para acessar a internet, se comunicarão com nosso servidor Forefront.

Após isso, precisamos definir os Endereços IP usados na placa de rede interna e externa.

Abra as propriedades da placa de rede > TCP/IPv4 e adicione os dados de acordo com a rede interna (192.168.0.254). Em Servidores DNS, aponte para o Servidor DNS instalado na rede (192.168.0.1):

OBS: Não use IP distribuído pelo DHCP da rede interna, mesmo com reserva. Ele puxa, mas após a instalação do Forefront ele o mudará para fixo, ou seja, parará de puxá-lo do DHCP e mostrará a reserva como inativa no DHCP, mesmo que o IP esteja sendo usado – simplesmente por que ele não o puxa mais do DHCP. Se o Endereço IP que você usar na placa de rede INTERNA do Forefront está na faixa de distribuição de IPs do DHCP, adicione o IP usado na lista de exclusão para não distribui-lo na rede e use-o no servidor com Forefront, ok?

Entre em “Avançado“. Na aba DNS, em Sufixo DNS para esta conexão digite o nome da zona direta (Nome -> IP) usado no DNS (documentos.com.br) e marque a caixa “Usar o sufixo DNS desta conexão no registro DNS“.

Para a placa da rede EXTERNA, use endereço IP dinâmico (recebido via NAT no VirtualBox), mas em Servidores DNS, use o endereço IP do servidor DNS da rede e outro para resolução de nomes na internet, como o OpenDNS (208.67.220.220).

Após isso, adicione o servidor ao domínio (Menu iniciar > Botão direito em “Computador” > Propriedades > Configurações avançadas do sistema > Nome do computador > Mudar…). Se puder, renomeie o nome do servidor para um nome mais amigável, como servidor2 ou servidor_TMG.

O nome do domínio usado no post é documentos. Lembre-se de adicionar o sufixo DNS clicando em Mais… na tela de adicionarmos o servidor ao domínio e, em Sufixo primário para esta conexão, digite o nome da zona direta (Nome -> IP) usada no DNS.

Após reiniciar o servidor que será instalado o Forefront, volte ao servidor com DNS instalado e, no prompt de comando, use:

nslookup servidor2.documentos.com.br

Onde servidor2 é o nome do computador que será instalado o Forefront e documentos.com.br é o nome da zona direta do DNS.

É importante retornar o resultado como na tela abaixo, onde cita o endereço IP da rede interna e externa:

Com isso, nosso servidor com Forefront (servidor2) pode ser encontrado na rede. Você pode usar como logon no servidor2 o nome do domínio e a conta Administrador, como “DOCUMENTOSAdministrador”.

Se não retornou, use “Permitir atualizações seguras e não-seguras” nas zonas (botão direito na zona > Propriedades). Nós não podemos citar os apontadores manualmente por que a cada 24 horas o IP externo muda e nosso servidor DNS precisa mudá-lo sempre.

Se continuar encontrando erro, verifique se digitou o nome correto do computador e da zona direta (documentos.com.br). Você pode conferir o nome do computador e zona no DNS, expandindo o escopo da zona direta.

3. Instalação do Forefront TMG

Agora, podemos começar a instalação do Forefront TMG no nosso servidor. No instalador, clique em Executar a ferramenta de preparaçãoe selecione “Serviços e Gerenciamento do Forefront TMG”. Após instalar os recursos necessários, clique em “Executar o assistente de instalação”.

Em “Definir rede interna“, não podemos selecionar o adaptador da rede interna para ele adicionar o intervalo automaticamente para a gente. Por algum motivo (provavelmente por usarmos IP dinâmico na placa de rede externa), ele mostra todos os endereços IPs possíveis e não somente a faixa de IP’s da rede interna, como mostrado na imagem abaixo em Route information:

Precisamos informar manualmente a faixa de endereços IP da nossa rede interna. A rede usada no desenho é 192.168.0.x, logo, ela pode se estender de 192.168.0.0 a 192.168.0.255. Você pode informar manualmente selecionando “Adicionar intervalo” (Add range) no lugar de “Adicionar adaptador” (Add adapter).

4. Configuração do Forefront TMG

Após a instalação do Forefront TMG, abra o Microsoft Forefront TMG Management no Menu iniciar > Todos os programas.

Como é a primeira vez que usamos o Forefront TMG, abrirá o assistente de configuração. Abra a primeira opção (Definir configurações de rede).

(Reprodução / http://blog.douglasfilipe.com.br/2010/05/02/instalando-e-configurando-o-forefront-tmg-2010/)

Em Seleção do modelo de rede, selecione Firewall de borda. Com esta topologia todos os computadores da rede interna precisarão passar pelo Forefront para poder acessar a internet.

(Reprodução / http://blog.douglasfilipe.com.br/2010/05/02/instalando-e-configurando-o-forefront-tmg-2010/)

Em Configurações de LAN (Rede local), selecione o adaptador usado para a rede interna (192.168.0.254) e deixe Default gateway em branco para ele usar o IP do próprio servidor. (192.168.0.254) O Gateway é o computador da rede que possui acesso direto a internet (o servidor com Forefront é o único computador da rede que possui acesso direto a internet).

Em Configurações de internet, selecione o adaptador de rede usado para Internet e selecione a caixa “Obter um endereço IP automaticamente“.

4.1 Definindo caminho e tamanho do Cache

Forefront TMG:

  1. Web Access Policy > Tasks (barra lateral direita) > Related Tasks > Configure Web Caching > Cache Drives > Configure… (Forefront TMG) ou Configuration > Cache > Define Cache Drives (ISA Server 2006)
  2. Escolha a Unidade > Maximum Cache Size (MB): 200
  3. OK > Apply (and restart)

4.2 Criando regras

Para criar uma regra de acesso para sua rede, abra Firewall Policy. Em Toolbox, clique em Create Access Rule.

A regra padrão é Negar toda e qualquer conexão (int/ext).

4.2.1 Liberando o acesso da rede interna ao servidor

  • Nome: Acesso da rede interna ao servidor
  • Ação: Permitir
  • Protocolos: All Output Traffic (Todos os serviços)
  • Origem (From): Internal
  • Destino (To): Todos
  • Condição: Todos os usuários (All Users)
  • * Sem Malware Inspection.

4.2.2 Liberando o acesso do servidor a rede interna

  • Nome: Acesso do servidor a a rede interna
  • Ação: Permitir
  • Protocolos: All Output Traffic (Todos os serviços)
  • Origem (From): Localhost
  • Destino (To): Internal
  • * Sem Malware Inspection

4.2.3 Liberando o acesso a Internet

  • Nome: Acesso a internet
  • Ação: Permitir
  • Protocolos: HTTP, HTTPS (Em “Web“)
  • Origem (From): Internal
  • Destino (To): External
  • Condição: Todos os usuários (All Users).
  • * Com Malware Inspection.

Abra as configurações do adaptador de rede que possui o servidor AD instalado > TCP/IPv4 > Propriedades. Em Gateway, use o IP do servidor com Forefront instalado (192.168.0.254).

Com o WPAD (Web Proxy Address Discovery), programas que usam servidor proxy obterão o endereço e porta do nosso servidor proxy automaticamente ao acessar a internet.

Poderíamos definir o proxy por GPO, mas somente se aplicaria para os computadores que fazem parte da nossa rede. Hoje em dia, é comum o uso de roteadores wireless e, com isso, computadores que não pertencem a nossa rede (como notebooks) precisariam configurar as opções de proxy manualmente para obterem acesso a internet – e, se chegassem em casa e se esquecessem de removê-las, perderiam o acesso a internet em casa. O WPAD é importante também em redes que podem possuir Linux ou outro navegador instalado, como o Firefox ou Chrome. Por GPO, funcionaria apenas para o Internet Explorer, navegador exclusivo do Windows.

Para usarmos o WPAD em nossa rede, precisamos abrir nosso servidor DNSZona de pesquisa direta.

Após selecionarmos o nome da zona, dê botão direito nela e selecione Novo HOST (A ou AAAA).

  • Nome: wpad
  • Endereço IP: 192.168.0.254 (servidor com Forefront TMG)

Por questões de segurança, a Microsoft desabilitou o WPAD a partir do Windows Server 2003 por que, dependendo da configuração de atualização da zona, uma pessoa má intencionada poderia apontá-lo para um servidor proxy diferente do Forefront, redirecionando os sites acessados pelos clientes, podendo assim roubar senhas e dados pessoais.

Para podermos removê-lo da lista, abra o Menu iniciar e digite regedit.

HKLM\SYSTEM\CurrentControlSet\Services\DNS\Parameters\GlobalQueryBlockList

(Reprodução / http://tmgblog.richardhicks.com/2009/06/16/dns-security-enhancements-and-web-proxy-auto-discovery/)

Após isso, reinicie o serviço DNS dando botão direito no servidor no DNS e selecionando Todas as tarefas > Reiniciar.


Agora, abra o Microsoft Forefront TMG > Networking. Após, dê botão direito no adaptador da rede interna e selecione Propriedades. Na aba Auto discovery, selecione “Publish automatic discovery […]” e tenha certeza de estar utilizando a porta 80, padrão para acesso HTTP.

(Reprodução / http://tmgblog.richardhicks.com/2009/06/16/dns-security-enhancements-and-web-proxy-auto-discovery/)

No cliente, por padrão, a opção “Detectar configurações automaticamenteestá marcada em todos os programas que suportam proxy (como o Internet Explorer em Pressione <ALT> > Tools > Internet options > Connections > Lan settings). Se você usou uma GPO, remova-a e atualize a política (gpupdate /force). Se você definiu manualmente em um computador na rede, volte a usar as configurações automáticas.

5. Acesso a Internet

5.1 Bloqueando por palavras

  1. Botão direito na regra que libera a Internet > Configure HTTP
  2. Signatures
  3. Add (adicione palavra por palavra).

5.2 Bloqueando por extensões

  1. Botão direito na regra que libera a Internet > Configure HTTP
  2. Extensions > Block specified extensions (adicione extensão por extensão). Ex.: .exe, .zip, .rar, .msi, .iso, .scr, .mp3, .wma

5.3 Bloqueando por endereço

  1. Em “Toolbox”, procure por “Network Objects”, dê botão direito em URL Sets > New URL Set…
    1. Nome: Sem acesso
    2. Ação: Negar
    3. Protocolos: HTTP, HTTPS
    4. Origem (From): Internal
    5. Destino: Sem acesso (expanda URL Sets e adicione). Ex: *.terra.com.br
    6. Condição: Todos

5.4 Liberando/Bloqueando por horário

  1. Toolbox > Schedules > New
    1. Nome: Internet liberada somente entre 08:00-20:00
    2. Selecione de Seg-Sab das 08:00-20:00 e deixe “Active”

6. Configuração do Gateway no DHCP

Você pode distribuir o Gateway na rede usando o DHCP (usamos fixo no servidor com AD pelo fato dele possuir endereço IP fixo). Nas opções do escopo, use 003 Router e digite o IP do servidor que possui o Forefront instalado (192.168.0.254)

Anúncios

2 comentários sobre “Configurando o Microsoft Forefront TMG

  1. Olá EDUARDO, ou alguma boa alma que entenda de Forefront TMG… estou tentando instalar em um servidor com Win Server 2008 R2, com AD, DNS, File Server, DHCP e com duas placas de rede. O Win é original e está todo atualizado, mas toda vez que tento instalar o TMG apenas a opcao de Gerenciamento me aparece habilatada, ficando a opcao de Servicos e gerenciamento desabilitada para instalacao. O que estou fazendo de errado??? Por favor, me ajudem a solucionar este problema. Obrigado.

    Curtir

    1. Não é possível instalar o Forefront TMG em um servidor com AD instalado. (https://documentosdoadm.wordpress.com/2012/07/25/sobre-problemas-de-instalacao-do-microsoft-forefront-tmg-2010/) Veja a figura no POST e veja como pode ser sua estrutura de rede (é a mais comum em pequenas empresas). É preciso um computador apenas para o Forefront TMG, onde pode ter outros serviços instalados de forma a não sobrecarregar o servidor principal. Faça um novo servidor por Hyper-V ou use VirtualBox.
      Agora, se você não pode ter mais este custo, use o Hyper-V ou VirtualBox para virtualizar um servidor Linux e use IPTABLES no lugar. Se não conhece Linux, estude, por que vale muito a pena!
      Um abraço!

      Curtir

Deixe um comentário

Preencha os seus dados abaixo ou clique em um ícone para log in:

Logotipo do WordPress.com

Você está comentando utilizando sua conta WordPress.com. Sair / Alterar )

Imagem do Twitter

Você está comentando utilizando sua conta Twitter. Sair / Alterar )

Foto do Facebook

Você está comentando utilizando sua conta Facebook. Sair / Alterar )

Foto do Google+

Você está comentando utilizando sua conta Google+. Sair / Alterar )

Conectando a %s