Главная Exchange/UC, Без рубрики, Новое Жизнь в мире без TMG. Так ли это страшно?
  • Жизнь в мире без TMG. Так ли это страшно?

    imageПожалуй все вы знаете, что Microsoft остановила продажи TMG, а поэтому для многих стоит вопрос: следует ли похоронить TMG и искать альтернативные решения для публикации  Exchange? Чтобы ответить на этот вопрос, давайте рассмотрим аналогию. Моя машина снята с производства и больше не продается. Но она работает, заводится, ездит, двери открываются и тому подобное.  Если вдруг машина перестанет меня устраивать, не будет возить или просто понадобится больше, я ее заменю на другу. Подставьте вместо слова машина слово TMG и вы получите ответ на первый вопрос.

    Аналогия с машиной может показаться странной, но она действительно объясняет почему закрытие проекта TMG не повод для паники среди компаний, использующих Exchange.

     

    Вот несколько фактов, которые подтверждают вышенаписанные мысли:

     

    1. Сечас не требуется предварительная аутентификация при получения доступа к Exchange Online.

    2. Сечас не требуется формы пре-аутентификации для любых сервисов, развернутых внутри компании.

    3. Microsoft потратила и тратит много сил на написание безопасного кода и именно по этому стали возможны пункты 1 и 2.

    4. Microsoft пришла к пониманию того, что добавление новых уровней безопасности кроме самой безопасности добавляет сложности поддержки и не всегда целесообразно.

    5. Политики безопасности продуктов и системы мониторинга за последнее десятилетие значительно продвинулись.

     

    Говоря другим языком, мы можем попрежнему ездить на автомобиле, но особой потребности в покупке нового нет. TMG  больше не нужна для защиты наших ресурсов.

    Для того, чтобы доказать вам это, давайте вспомним времена Exchange и Windows 2000. Первая вещь, которую стоит признать, это то, что код в те времена был далеко не оптимальным и случаи с анонимным доступом случались. Для того, чтобы защититься использовался отдельный продукт ISA (Internet Security and Acceleration), который выполнял задачи файрвола, делал пре-аутентификацию пользователей и допускал к Exchange только тех, кто мог аутентифицироваться.

    Хотя аутентифицировашись человек мог попробовать осущетсвить какую то деструктивную деятельность, ровно как и любой пользователь пришедший изнутри мимо ISA.  Зачем же тогда использовать ISA? Не для того ли, чтобы понять в случае проблем “кто подключался снаружи?”.

    Вы реально верите в это? В то что большинство компаний заметив какие то проблемы полезут в логи и начнут разбираться в том, кто это сделал? Не будут. Это как страховой полис, Вы его купили, он у вас есть, но когда доходит до дела, то в последний моменти выясняется, что он не покрывает ваш случай. Простого страхования не достаточно, от того, что вы перед одни устройством поставите промежуточное, это не станет безопасным.

    Приблизительно в тоже время (2000-е ) Microsoft советовала использовать ISA, но годы идут и меняется инфраструктура, системы становятся более защищенными. Данные должны быть защищены, но при этом система должна быть легкой для разработчиков, чтобы они могли встраивать свои приложения.

    В тоже время еще очень много людей думает о безопасности на сетевом уровне. Давайте ответим на вопрос: Что сейчас делает файрвол? – Он просто разрешает\запрещает соденения используя комбинации IP\Порт\Протокол.

    Если у вас есть балансировщик сетевой нагрузки и вы конфигурируете его для разрешения подключенияй на внешнем интерфейсе, используя 443 порт и игнорируя остальные и перекидывая трафик на Exhchange сервера, разве это не файрвол?

    Ваш балансировщик является обычным пакетным файрволом. Такая комбинация балансировщика и файрвола с сервисом за ним достаточно безопасная конфигурация.

    И вот в чем дело. Если одним интерфейсов вы выведите балансировщик в Internet, а вторым интерфейсом в локальную сеть, то получаете безопасную конфигурацию и добавление пре-аутентификации в ней не даст каких то серьезных преимуществ.

     

    8311_TMGScale_thumb_464A96B8

     

    Какие варианты существуют:

    1. Просто используйте балансировщики. Как уже говорилось ранее, они поддерживают пакетную фильтрацию и могут разрешать\запрещать трафик. Просто установить оборудование не достаточно, забывать про регулярное обновление всего и вся забывать не стоит. Если очень нужно, то можно рассматривать системы IDS.

    2. TMG/UAG  брандмауэр ‘уровня приложений’ старой школы продуктов. Microsoft прекратила продажу TMG, но, как я уже говорил, это не значит, вы не можете использовать его, если у вас уже есть, это не мешает вам дальше использовать его.

    Некоторые производители предлагают балансировку нагрузки вместе с предварительной аутентификацией, используя LDAP либо доменное членство устройства с Kerberos.

    У Microsoft так же есть  Application Request Routing (ARR), он не выполняет пре-аутентификацию, но позволяет поставить перед Exchange недоменную машину для завешения SSL сессии. Если ваши политики безопасности написаны в стиле 90-х, ARR это то, что вам нужно.

    На последнем Teched в Новом Орлеане было представлен Windows Server 2012 R2 и его фича -  Web Application Proxy. Даннуя функция поддеживает пре-аутенфикацию для OWA, но при этом не работает  с Outlook Anywhere и ActiveSync.

     

    Итоги:

    1. Годы идут, индустрия меняется и продукты Microsoft по безопасности давно в лидерах.

    2. Обновляться должно все и вся. Патчи выпускаемые вендорами закрывают уязвимости, большой поток патчей лишь говорит о том, что люди работают над безопасностью.

    3. Говорить о большей безопасности аппаратных над софтовыми решениями не корректно, т.к любое решение безопасно настолько ,насколько безопасен его код. И форм фактор тут не причем.

    4. Использовать подключения к ресурсам снаружи через VPN не панацея, С одной стороны это усложняет процесс получения доступа, с другой клиент получает шлюз по умолчанию и зачастую доступ к гораздо более широкому списку ресурсов.

    Greg Taylor
    Principal Program Manager Lead
    Exchange Customer Adoption Team

    Вольный перевод  оригинала.

Комментарии

  1. Во заливает…пусть расскажет это АНБ 🙂
    Люди джуниперы с чекпоинтами покупают и то “очкуют”, а он сквознячком индусокод предлагает публиковать. Хотя что с главного взять, оправдывает свои решения любыми средствами. Надо же что-то изменить и показать выше, что ты креативнее кретина и экономичнее клопа.

  2. Мой личный опыт говорит о том, что кол-во чекпоинтов в сети обратно пропорционально ее безопасности.

  3. Люди ж ведь используют TMG не только для публикации exchange и lync. А еще чтобы рулить доступами юзверей в мир (у кого нет железного роутера /шлюза на nix) и здесь конечно им не особо приятно.

  4. Майкрософт уже пришел к осознанию, что без циски никуда, но еще пытаются делать “красивое лицо” 🙂 Поэтому и подобные подготовительные статьи. Готовят общественное мнение.

  5. 1. Организация доступа в интернет банальная задача, которая решается массой оборудования и ПО. Здесь по TMG никто слез не льет, она не самая дружелюбная по настройке была.

    2. Майкрософт давно слил это направление, поэтому статья не готовит мнение, а по факту разъясняет.

  6. вставлю свои 5 копеек.
    Из своего опыта могу сказать: ISATMG для небольшого предприятия отличный продукт.
    Все одном узле, и публикации приложений SPS, Exchange, VPN и etc. и раздача интернета юзерам + GFI Monitor…. а еще:WEB Cash, Monitoring атак, NIS и Antispam (какойникакой).
    Радость для админа какая была 🙂

  7. fw аля checkpoint это же не только “публикация сервисов” в интернет и “доступ по vpn” … это IPS, SPI, DLP… например, у меня есть удаленные офисы в китае, в логах cp регулярно (больше чем в других странах) вижу сканирования портов, попытки авторизаций, подмены пакетов и т.д. не будем забывать и про ddos.
    сама идея отказаться от fw вообще, мне кажется просто абсурдной.

  8. Использую TMG, насчет сложности в настройке – по-моему, проще-то ничего и не было никогда. Еще, исторически, это же не чистый MS, а купленный вместе с разработчиком продукт, насколько помню. Хорошая штука, недорогая, непрожорливая, и, в общем-то, беспроблемная

  9. Главными недостатками TMG было отсутствие квотирования, нормального логгирования.
    От fw никто не отказывается, просто будут использовать аппаратные решения больше, часть будет покупать Traffic Inspector и аналоги.

  10. Илья, а нужно ли сейчас квотирование? По большому счету, и это решалось на TMG с помощью сторонних прикруток, То же можно сказать и о логах – все-таки, TMG не совсем для того бизнеса штука, где требуется со вкусом смаковать логи, анализировать их в поисках чего-то ужжасного….Время специалиста для решения этих задач обойдется дороже TMG.

  11. Отказ от этой линейки – самый эпичный из всех фейлов MSFT. Всем, кто реально эксплуатирует ISA/TMG это очевидно.Десяток комментов здесь не чета паре веткам на хоботе, конечно. Но вот просто категорично хочется заявить, ибо бесит эта политика MS.

    И да, Илья, большинству народа квотирование средствами исы уже лет 5 как не актуально.

  12. Лично я никогда TMG не любил и всегда был сторонником аппаратных решений для подобных задач. Для меня с уходом TMG ничего не поменялось. То, что TMG сольют было понятно еще в 2008 году, когда отменили сертификацию Security.

  13. Илья, при всем к вам уважении Traffic Inspector, не может быть аналогом TMG, ибо не много другие идиологические уровни. Приблизительно как отдельный Cisco WAE-512 не может быть аналогом Cisco ISR 2951, у них сфера настолько же разная… Traffic Inspector это система которая обогнала TMG навсегда, как и любой роутер на vyatta.
    P.S. В моем понимании TMG это даже не прокси, это очень плохая попытка сделать из ISA 2003 более менее “ничего-себе” решение, которое в итоге не умерло. Так что без обид но tmg и любая другая прокся на vyatta/atlell/fortis это совсем разные решения.

  14. UT Admin,
    VPN в Windows 2008R2 можно настроить как и nat без участия TMG, так же как и в 2012. FW в 2012 или 2008r2 ничем не уступает графической консоли от TMG, web cash с таким же равным успехом можно сделать и на squid поставленный на windows 2012, проверенно работает. Но даже если этого мало и fw от windows то есть coreforce.

  15. Boris

    Да вообще можно напрямую через модем все пустить и всех дел 🙂 а что? я знаю таких настраивают так сеть из 30-40 ПК и радуются жизни в одноранговой сети.

    если серьезно говорить, TMG превосходный продукт по своим характеристикам. здесь я так так же подразумеваю ценакачество для малого предприятия, где есть необходимость унифицировать раздачу интернет и всевозможные публикации собственно о чем писал выше.

    В некоторых случаях где требования минимальные вполне можно обойтись WS8r2RRAS.
    Мое отношение собственно строится из практичности и удобства.

    Кстати,

    Илья,
    очень с вами соглашусь по поводу аппаратного роутера, но какого минимальная цена данного решения?

    Спасибо.

  16. UT Admin,
    Цена… Как же мы все любим ставить акценты на деньги…. И это мировая тенденция экономить на сетевой инфраструктуре и приближать банкротство организации. На самом деле без холи войны, есть пару вводных:
    1. Что мы хотим получить: firewall, router, proxy server, dhcp server, idc(idp), dns server ну и в конце концов load balancer? Это все желательно конечно же держать на отдельных железных машинах… И это реально все будет работать…
    2. Какая будет нагрузка, столько и будет стоить железо. Это логично, и уж поверьте fore front это решение вообще для филиалов…
    3. Я не предлагаю, но все же cisco что бы тут не говорили по сетям будет дешевле…. Не скрою что телефония в сегменте soho(300 аппаратов) у cisco тоже дешевле, чуть выше начнет выигрывать avaya.
    Итак, я может подтуплю глупо но приведу в пример свою организацию в 900 пользователей: 4 hyper v, на hp proliant dl 380 g7( ram 280gb, 5tb в raid, и fc с netapp), в них у меня ферма exchange 2010+ha proxy, MSSQL 2008r2(тоже ферма из 4 виртуалок), ad, scvmm 2012sp1, Linux squid, postgre server, 1с, dns, pki, можно много перечислять там всего до кучи даже есть sharepoint. В интернете смотрят 2 Cisco ASA5512-K9(около 79тыс руб.), так же у меня много 3750, 3560, и так как количество пользователей в центральном офисе у нас около 300 остальные у нас сидят в филиалах не более 50 человек то там стоят cisco asa 5505 k9(13тыс руб.) вот как то так… Ранее у нас стояли 2801, сейчас они в филиалах служат для аналоговой и ip телефонии. На след год мы еще 10 филиалов открываем и asa уже за куплены под них.

  17. UT Admin,
    Еще прошу заметить.. Я бы мог здесь опубликовать много или очень много материала по cisco, cisco asa, cisco ace, cisco nexus 1000v for hyper v, cisco asa 1000v возможно даже с практически ми примерами. Как у меня все это организовано.
    Так про pki на cisco.. Но я не уверен что сообществу это будет: а) интересно, б) востребованно.
    К тому же я не сертифицированный эксперт, а всего лишь инженер который это настроил с пониманием дела, и в соответствии с рекомендациями производителя.

    P.S. Не буду врать, я сертифицировался по juniper, но с того времени у junos уже пару раз редакция сменилась.

  18. Борис, вы пришлите ссылки на свои труды на irud(a)miaton.ru

    P.S Мы используем watchguard.

  19. Добрый день Уважаемые господа! А вот что-то про Kerio тут совсем забыли упомянуть ? В свое время приходилось администрировать еще до ISA и TMG.Там отличная фишка есть и квоты и замечательный шэйпер-какого не было в ISA и даже избыточность по каналу-который прикрутили только уже в TMG 2010. На мой взгал замечательный фаер и до 1000 юзверей держит на ура! TMG сам по себе замечательный продукт-как говориться все в коробке от вендора-если в сети все на МС-се.

  20. Что касается Kerio, то да, продукт неплохой, но там есть свои нюансы и по функционалу примерно паритет, а по цене – начиная с 50 пользователей TMG был дешевле. А по поводу того, что “было понятно еще в 2008 году”, позвольте усомниться. Как-то странно звучит, с учетом того, что последняя версия TMG вышла в 2010. И рассказы о том, что от поддержки/развития TMG отказались потому, что “Microsoft пришла к пониманию того, что добавление новых уровней безопасности кроме самой безопасности добавляет сложности поддержки и не всегда целесообразно”, звучат, мягко говоря, неубедительно. Сказали бы правду – “на наш взгляд дальнейшее развитие и поддержка не оправдают вложенных средств”.

  21. Коллеги, а может кто подскажет недорогую альтернативу TMG, реализующую функционал авторизации любого протокола по доменному пользователю. Т.е. чтобы прозрачно для пользователя разрешать доступ для приложений, не поддерживающих SOCSHTTP(S) Proxy? Сценарий банален:
    1. Терминальный сервер или рабочая станция не персональная, а на группу пользователей.
    2. Есть задача доступа к внешним сервисам таким как банк клиент, RDP, которые не умеют работать через proxy.
    3. Необходимо разграничить доступ не по ip рабой станции, а по пользователям. Да еще так чтоб лишний раз пароль не спрашивал…
    ISA(TMG) со своим firewall клиентом это прекрасно умела… альтернативу на аналогичные деньги не нашли.

  22. 2StSting:
    Посмотрите железки от Palo Alto Networks

  23. Илья, Вы приводите в сравнение TMG решение российского разработчика – Traffic Inspector. Может быть Вы можете дать некоторый сравнительный анализ этих продуктов? Отдельным постом. На мой взгляд, это было бы интересно широкой аудитории читателей и администраторов малых-средних предприятий, так как TI более распространен и известен в России, нежели TMG.
    TMG – это все таки уровень крупного предприятия. IMHO.

  24. Чушь статья – извините уж. Берем малую контору от 100 до 1к человек. Там сидит чел по ТМГ? Нет!
    Там сидит обычный одмин. У него в нагрузке домен 2008 АД/Экс 2010/1С/Сиквел 2008/что-то ещё свое
    Ну и? Всё… любое ваше выигрышное проиграет. Циску надо уметь настраивать – а это доп.нагрузка и зп. Решения от других – это криворукий ппц без доков. Такой же как на ИСАТМГ, только не такой кривой.

  25. Чушь статья – извините уж. Берём малую контору от 100 до 1к человек. Там сидит чел по ТМГ? Нет, конечно! Там сидит обычный одмин. У него в нагрузке домен 2008 АД/Экс 2010/1С/Сиквел 2008/что-то ещё свое чем его нагрузили.
    Ну и? Всё! Любое ваше выигрышное проиграет. Циску надо уметь настраивать – а это доп.нагрузка и зп. Решения от других вендоров – это, извините – криворукий ппц без трусов и доков. Такой же как на ИСАТМГ, только не такой кривой и косой. Шиндлеры знают.

  26. На ИЕ 11 извините вывело “wrong captha”. Не надо под него затачивать уже , плиз, не надо.

  27. Продублировалось. На сайте косяк. Первый раз я не выставил “я не робот”, сорри. Потом выставились оба коммента сразу.

  28. Смотрели Керио, да. Но нет. Он не обеспечивает правил между сайтами. Любой домен другой для него – враг по дефолту. И это уже “искаропки”, а править руками, ммм… см. выше про циску

  29. Можно использовать продукты Fortinet http://www.gartner.com/technology/reprints.do?id=1-1H1RO5D&ct=130710&st=sb , и собственно микрософт это советует.

  30. Начнем с того что TMG в отличии от того же fortigate не докладывает сколько у вас в сети устройство и их мак адреса на support.fortinet.com
    Про cisco checkpoint или juniper тоже прошу не говорить ерунды.
    Cisco роутер не уязвим и не докладывает о том что внутри и кто внутри сети если правильно его настроить и применить CoPP но только нада помнить что Cisco роутер не разу не SPF/SPI фаервол.
    По этому и применяется всякого рода Cisco ASA/Juniper SRX
    Но согласны ли вы что бы к примеру Cisco или Checkpoint UTM1 или же Juniper SRX скачивал базы url адресов и applications базы? Если согласны то можно ставить любое решение хоть Cisco ASA 5506X/5515X(самое дешевое с функционалом Proxy/FW/ и проче/проче/проче. Или же если не верите что cisco не докладывает на вас в АНБ то ставьте CheckpointUTM1.
    Про fortigate правда такая: что он не просто сливает про вас все, а еще и детализирует…. А самое страшное что вы этот процесс не котролируете. Так что никакой рекламы