Cette partie traite de l’installation et la configuration de ForeFront TMG 2010 (Threat Management Gateway).

C’est la nouvelle passerelle web de sécurité de Microsoft, cette solution remplace l’ancienne à savoir ISA 2006 ( internet security acceleration server ).

Voici les principales améliorations par rapport à la version précédente :

•  inspection du traffic HTTPS (SSL)
• prévention des intrusions (NIS)
• protection de la messagerie

 

Avant de démarrer l’installation de TMG 2010 , quelques pré-requis sont à installer. Esentiellements des rôles et fonctionnalités Windows tels que :

• Serveur NPS (Network Policy Server)
• Services de routage et d’accès à distance
• Outils des services AD LDS (Active Directory Lightweight Directory Services)
• Outils d’équilibrage de la charge réseau
• Windows PowerShell
• Microsoft .NET Framework 3.5 SP1
• Microsoft Windows Installer 4.5
• Windows Update
• API des services Web Windows

 

L’assistant nous propose un outil permettant d’installer cette liste. Pour ce faire lancer le setup et faire exécuter l’outil de préparation. Celui ci va installer les rôles suivants :

 

Faire suivant

 

Accepter le contrat de licence

Choisir le mode d’installation que l’on souhaite effectuer, ici on souhaite les prés requis pour une installation complète de TMG :

• Service et gestion de forefront TMG
•  Gestion forefront TMG
• Serveur EMS

 

Après avoir exécuté l’outil de préparation, vous devez redémarrer votre serveur avant d’installer Forefront TMG.

Une fois redémarré, relancer le setup et exécuter l’assistant d’installation.

 

Renseigner les informations souhaités.

 

Choisir le répertoire d’installation.

 

Puis on spécifie qui est le réseau interne donc on ajoute la carte correspondant au LAN . Attention, les cartes apparaissent en tant que LAN & WAN puisque je les ai renommées.

Faire ajouter.

 

Afin de démarrer l’installation, les services suivants vont être arrêtés.

L’assistant procède à l’installation , cela peut prendre plusieurs minutes en fonction des performances de votre serveur.

 

Une fois terminé, vous devriez avoir cette fenêtre.

 

Une fois TMG installé, il faut le configurer, trois étapes sont nécessaires.

 

On spécifie le type d’architecture (domaine, workgroup, avant ou derriere un pare feu …). Dans me cas d’une architecture avec un firewall en amont de TMG, il faut spécifier Pare feu arrière comme suit.

 

Puis il faut spécifier la carte du LAN.

 

Puis la carte du WAN et attention à bien spécifier le type de réseau, ici c’est une plage privée donc on spécifie comme suit.

 

Puis faire terminer, un descriptif récapitule les paramètres édités précédemment.

 

Ensuite nous devons provéder à la partie système.

Cette étape consiste à valider le fait que le serveur TMG soit bien dans un domaine Windows avec le bon nom de domaine Active Directory.

 

On vérifie que tout est conforme au niveau des informations Active Directory.

Une fois de plus, un bref récapitulatif des paramètres édités précédemment.

 

Pour finir, l’asssitant de mise en route, il faut passer par la partie assistant de déploiement, cette partie traite de la configuration de NIS, des updates et les services de filtrages web.

 

On spécifie si l’on souhaite activer les updates Microsoft ou pas, il est vivement conseillé de laisser par défaut !

 

Puis l’on active ou pas les services NIS et protection web.

 

Puis l’on configure le NIS (Network Inspection System) pour savoir à quelle fréquence il va interroger Microsoft pour récupérer les signatures de vulnérabilités. Et quelle réponse on va apporter

 

On spécifie si on participe au programme d’amélioration.

 

A cet instant TMG 2010 est installé, il reste à compléter le paramétrage donc cocher exécuter l’assistant web. Cela va permettre la création des règles d’accès web pour les utilisateurs authentifiés de votre domaine active directory.

 

Faire suivant.

 

Puis l’on choisi soit une création de règle par défaut, soit une règle dont on édite nous même les paramètre, c’est ce dont on va faire.

 

Ajouter ce qu’on souhaite bloquer, si c’est des postes, des réseaux, des catégories etc … Je choisis uniquement 2 catégories ( pornographie et accès distant).

 

Puis il est possible d’effectuer aucun filtrage sur des utilisateurs définis de type VIP.

 

Une fonctionnalité intéressante est de bloqué les archives cryptés posant problèmes. En effet certains virus et autre malware se déploient via les dossiers compressés c’est pourquoi il faut laisse par défaut la règle.

 

Puis il est possible de définir le comportement de TMG face au flux de HTTPS, si on veut qu’il décapsule les flux SSL ou non. Ici tout le trafic HTTPS est autorisé, même ceux dont le certificat n’est pas valide.

 

Puis l’on créer un cache idéalement sur un autre disque que le disque du système pour eviter des i/o disques inutiles qui viendraient surchargées le système.

 

Et voila TMG est installé et paramétré.

Il va falloir modifier une règle firewall pour rajouter le réseau LAN car par défaut seul TMG est autorisé. Si l’hôte local n’est pas défini dans cette règle, l’accès à internet pour les clients ne pourra pas être possible. Pour ce faire se rendre dans stratégie de pare feu.

Selectionner la règle de navigation web et rajoute l’objet hote local dans l’onglet de.

 

Afin de connaitre quel port sur lequel écoute TMG, se rendre dans stratégie d’accès web et faire un test d’accès à internet depuis TMG.

 

Pour connaitre le type d’authentification cliquer sur authentification proxy.

Par défaut elle est intégrée, dès lors, les utilisateurs authentifiés sur l’ad ne devront pas rentrer un login et mot de passe pour accéder au web.

 

Voila votre TMG est désormais installé, faisons un test d’un site interdit.
Attention, votre navigateur doit pointer vers votre TMG.

La source étant proxy car un alias DNS a été créé afin que de pointer directement sur TMG.
je vous laisse découvrir le reste en navigant dans la console !