TMG 2010 и SSL 3.0

При публикации вэб-ресурсов TMG создаёт HTTPS подключения от своего имени. Таким образом TMG сервер может стать слабым звеном при атаке с использованием уязвимости SSL3.0, и требуется отключить SSL на TMG серверах.

Несмотрю на ожидания подвоха, TMG всё же использует системный Crypto-API (Crypto subsystem). Точнее даже SCHANNEL. Поэтому для выключения поддержки SSL 3.0 достаточно использовать стандартное решение с добавлением ключей реестра Enabled = 0

SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\SSL 3.0\Server

SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\SSL 3.0\Client

Для настройки множества серверов используем Group Policy Preferences. (Серверы 2008 R2 требуют перезагрузки для применения параметров).

Для контроля используем сервис  Qualys SSL Labs

Полезные ссылки:

https://support.microsoft.com/en-au/kb/245030

Mitigating the POODLE SSL 3 Vulnerability on Forefront TMG 2010

 

Как вылечили NLB в массиве TMG

Интересная все же у TMG логика! Включили в массиве NLB, а он никак не настраивается – узлы друг друга вроде как не видят, NLB кластер не срастается. В консоли управления на закладке мониторинга для NLB обнаружили статус «stopped due to a VPN problem». Какой VPN? Откуда? И какое отношение он имеет к NLB?!

Оказывается при миграции конфигурации с ISA приехала настройка включенного удаленного доступа Remote Access, но без настроенного пула адресов для VPN клиентов. Поэтому возможных решений было два: либо настроить пул адресов, либо отключить Remote Access.

Отключили Remote Access, и в считанные секунды все серверы в массиве TMG сконфигурировали NLB.

Попутно нашлась статья с несколько странным рецептом, но возможно вам пригодится.

Еще в помощь:

Network Load Balancing Integration Concepts for Microsoft Internet Security and Acceleration (ISA) Server 2006

Troubleshooting NLB

Настройка дополнительного внешнего маршрута в конфигурации Edge-FPE-TMG

 

О чем тут речь? О том как создать из консоли TMG 2010 второй внешний коннектор (в терминах TMG) для Exchange Edge.

 

Конфигурация:

1.       Windows Server 2008 R2 SP1

2.       Exchange 2010 SP1 Edge

3.       Forefront Protection for Exchange 2010 RU2

4.       TMG 2010 SP1 SU1

Сетевая схема настраеваемых коннекторов:

 

Первоначальная настройка:

1.       Устанавливаем систему.

Накатываем Service Pack 1

Устанавливаем последние обновления

На внутреннем сетевом  интерфейсе сервера прописываем внутренний адрес

На внещнем сетевом интерфейсе прописываем основной и дополнительный адреса (для двух коннекторов)

2.       Устанавливаем Edge

3.       Устанавливаем FPE

4.       Устанавливаем TMG 2010

5.       Настраиваем E—Mail policy с интерграцией с FPE с помощью визарда. Для внешнего подключения выбираем сеть External и первый IP адрес.

Руководства:

Ø  Обобщенное руководство по установке: http://technet.microsoft.com/en-us/library/ee207141.aspx

Ø  Обобщенное руководство по настройке E—Mail policy: http://technet.microsoft.com/en-us/library/dd441084.aspx

Ø  Первоначальная настройка E—Mail policy: http://technet.microsoft.com/en-us/library/dd441082.aspx

Дополнительные руководства:

Ø  Exchange Server 2010 Edge Server and Microsoft Threat Management Gateway

Ø  Installing and Configuring the Email Hygiene Solution on the TMG 2010 Firewall

Ø  Using Mail Protection with Exchange EdgeSync on Forefront TMG

Ø  Unable to Add an Additional IP on Receive Connector on Exchange Edge when using E-Mail Protection feature on Forefront TMG 2010

Полезные ссылки для решения проблем:

Ø  http://www.agence-europimmobilier.com/?p=12

Ø  http://social.technet.microsoft.com/Forums/en-US/Forefrontedgesetup/thread/33f6a377-1994-4fa8-af97-23608ffc61a4

Ø  http://social.technet.microsoft.com/Forums/en-US/Forefrontedgesetup/thread/c53e6da7-3b09-4fd5-9b67-35f2bfb87e65/

 

В результате в консоле TMG видим такую стандартную картину:

6.       В панели задач выбираем Create SMTP route и создаем второй коннектор. При этом в качестве сети выбираем External и второй IP адрес. И получаем такую картину:

— не смотря на привязку к сети External визард создал внутренний коннектор!

 

После убийственных манипуляций с отключением интеграции, пересозданием подписки Edge и прочих плясок с бубном было найдено простейшее решение.

 

Решение

 

1.       Экспортируем определение коннектора:

2.       Открываем полученный XML файл, находим раздел маршрутов:

<fpc4:SmtpRoutes StorageName=»SmtpRoutes» StorageType=»0″>

3.       и удаляем в определении нашего коннектора строку:

<fpc4:RouteDirection dt:dt=»int«>0</fpc4:RouteDirection>

4.       Сохраняем файл.

5.       Импортируем файл:

6.       После импорта исправленного определения коннектора получаем:

7.       Теперь сохраняем конфигурацию TMG, ждем пока она применится и тестируем коннекторы: как минимум вы сможете подключиться командой telnet на порт 25 по обоим внешним адресам.

Заключение

TMG 2010 несмотря на SP1 сыроват, и даже в рекомендованных сценариях мы можем напороться на проблемы.

Что касается выше описанной конфигурации коннектров, а то альтернативный путь, который я рассматривал – отказ от режима интеграции TMG и FPE. Но во-первых, как уже было сказано, режим интеграции рекомендованный, а во-вторых, он удобен тем, что в массиве TMG можно из консоли TMG автоматически настраивать почтовую политику FPE сразу на всех членах домена, а не ручками на каждом сервере отдельно.

PS:

Может возникнуть вопрос: а зачем два внешних адреса и коннектора, если можно принимать почту многих почтовых доменов  на один адрес? Да, конечно, можно и на один. Но возможны ситуации, когда почтовые домены достаточно сильно независимы. Например, это могут быть почтовые домены нескольких крупных филиалов компании или дочерних компаний. В такой ситуации почтовые домены могут требовать специфических политик, особых настроек коннекторов, аутентификации и маршрутизации. Наконец просто удобно фильтровать логи по именам коннекторов, например, для анализа почты отдельного филиала.

PSS:

Если появилась проблема с запуском сервиса:

The Microsoft Forefront TMG Managed Control service terminated with the following error:

%%-2146233079

Решение: чистим список блокировки по ip адресам

Get-IPBlockListEntry | Remove-IpBlockListEntry