TMG 2010 и SSL 3.0


При публикации вэб-ресурсов TMG создаёт HTTPS подключения от своего имени. Таким образом TMG сервер может стать слабым звеном при атаке с использованием уязвимости SSL3.0, и требуется отключить SSL на TMG серверах.

Несмотрю на ожидания подвоха, TMG всё же использует системный Crypto-API (Crypto subsystem). Точнее даже SCHANNEL. Поэтому для выключения поддержки SSL 3.0 достаточно использовать стандартное решение с добавлением ключей реестра Enabled = 0

SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\SSL 3.0\Server

SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\SSL 3.0\Client

Для настройки множества серверов используем Group Policy Preferences. (Серверы 2008 R2 требуют перезагрузки для применения параметров).

Для контроля используем сервис  Qualys SSL Labs

Полезные ссылки:

https://support.microsoft.com/en-au/kb/245030

Mitigating the POODLE SSL 3 Vulnerability on Forefront TMG 2010

 

Как вылечили NLB в массиве TMG


Интересная все же у TMG логика! Включили в массиве NLB, а он никак не настраивается – узлы друг друга вроде как не видят, NLB кластер не срастается. В консоли управления на закладке мониторинга для NLB обнаружили статус «stopped due to a VPN problem». Какой VPN? Откуда? И какое отношение он имеет к NLB?!

Оказывается при миграции конфигурации с ISA приехала настройка включенного удаленного доступа Remote Access, но без настроенного пула адресов для VPN клиентов. Поэтому возможных решений было два: либо настроить пул адресов, либо отключить Remote Access.

Отключили Remote Access, и в считанные секунды все серверы в массиве TMG сконфигурировали NLB.

Попутно нашлась статья с несколько странным рецептом, но возможно вам пригодится.

Еще в помощь:

Network Load Balancing Integration Concepts for Microsoft Internet Security and Acceleration (ISA) Server 2006

Troubleshooting NLB