TMG bye bye...
Microsoft Proxy Server, ISA Server 2000, ISA Server 2004, ISA Server 2006, TMG 2010, 14.05.2015. Nema više...
Moj inženjerski put u Integri je krenuo davne 2007. Pošalju me na teren s jednim kolegom (Marko Ugrin) koji super kuži mrežna rješenja i kaže on meni da će me malo upoznati s Microsoft firewall rješenjem – Internet Security and Acceleration Server 2004. Prva stvar koja mi je odmah upadala u oči je da to rješenje ima naziv "Server" u imenu, ali radilo se o aplikaciji koja se vrti na Microsoft Windows Server operativnom sustavu. U budućnosti je ostalo samo to dobro objasniti IT direktorima - da je to aplikacija koja ima naziv Server u svom imenu i da se ne radi o nekom fizičkom serveru ili appliance-u.... No, vratimo se mojim prvim susretima s ISA-om... I tako, krene meni Marko objašnjavati.... Imaš Internu mrežu (ona ti nema default gateway), imaš Externu mrežu (ona ima default gateway od providera), onda renejmaš mreže, podesiš prioritete mreža, dns, onda instaliraš ISA-u, sve updajeteove, service packove, podesiš logove i imaš Microsoftovo firewall rješenje koje ti uz to omogućava i VPN pristup (PPTP, L2TP, IPSec site-to –site, u novije vrijeme i SSTP), proxy (ona popularna brojka 8080), web cache… Kaos u glavi. S godinama je bilo tu puno instalacija ovog produkta. Razlikovali smo verzije Standard i Enterprise (enterprise nudi mogućnosti kreiranja polja i sustava visoke dostupnosti), onda je došla ISA 2006 i nakon nje TMG 2010. S tim verzijama je trebalo biti jako oprezan, hoćeš Enterprise verziju onda je moraš instalirati na Enterprise server, pa onda TMG dolazi samo na x64 hardver i nema direktne migracije. Problem kod ovakvog načina instalacije je taj što se troši server samo za tu namjenu, licenca za operativni sustav, licenca za ISA server, potrebno je dosta diskova za logove. U novijim verzijama došla je i opcija kupnji dodatnih licenci za antimalware, web filtering koje su stvarale dodatne troškove. Naravno ISA i dalje ima i super stvari koje odrađuje, pogotovo oko publishiranja Microsoft produkata: Exchange (OWA publish, Outlook anywhere, active syc), Share Point, ssl offloading, kerberos constrained delegation.
I onda je jednog dana odlučeno da će se prestati s podrškom za pojedine proizvode iz Forefront porodice proizvoda, a TMG je i jedan od njih. TMG se već duže vrijeme ne može kupiti, a 14.05.2015. prestaje i standardna podrška. To znači da od tog dana nema više zakrpi za sustav, pa će sustavi postati ranjivi na sve nove prijetnje i neće više služiti svojoj namjeni.
Zašto se Microsoft odlučio na takav potez i koja je zamjena? Po meni, zato što je Microsoft na tom tržištu izgubio bitku s konkurencijom, koja je bila brža pa se brže prilagodila novim trendovima (poznato je da se većina prometa tunelira kroz portove 80 i 443 i potrebno je imati uređaje koji će prepoznati i detektirati signature od svih tih aplikacija). Microsoft nije objavio službenog nasljednika koji će ga direktno zamijeniti, ali na tržištu ima dosta rješenja koja su to sposobna odraditi. Ja imam svog favorita. :) UTM (Unified Threat Management) i rješenja kompanije Fortinet, s kojima imam odlična iskustva. Naravno, prije bilo kakve zamjene potrebno je detaljno provjeriti koje su sve funkcionalnosti uključene na ISA/TMG sustavu i koji uređaji su nam potrebni da odradimo zamjenu. Naime, nije baš dobro kad netko tijekom migracije shvati da neće moći migrirati sve funkcionalnosti...
Ajmo još malo o novim UTM uređajima i mogućnostima koje nude:
- Firewall – tu se nema što dodati,
- Web filtering – mogućnost definiranja 80-ak grupa stranica, može Internet radio, ne može proxy avoidance…,
- Kontrola aplikacija – detekcija preko 2800 aplikacija (to je većina onih koje se tuneliraju kroz TCP 80 i 443),
- Antivirus – flow based i proxy based, detekcija rootkit programa,
- Data leak prevention – definiraš senzor koji npr. zabrani slanje word dokumenata koji u sebi imaju oznaku FINANCIJE,
- Wireless controler – spojiš access pointove i nadzireš te AP-ove i sve SSID-ove preko njega,
- VPN – ima onaj moderni SSL VPN i sve IPSEC site-to-site, i može se povezati i s Ciscom,…
I na kraju, kao što sam već i prije napisao važno je napraviti detaljnu snimku stanja postojećeg sustava i nakon toga dobro dimenzionirati novi sustav. Ja se držim one BITNA JE PRIPREMA, da migracija prođe bez muke. Imam još jednu uzrečicu koja mi je fora: VEŽI KONJA DI GAZDA KAŽE. Ljudi pitajte nas za ovakva rješenja i migracije pa ću možda opet sa svojim konjem na neki cool službeni put. :)
Moj inženjerski put u Integri je krenuo davne 2007. Pošalju me na teren s jednim kolegom (Marko Ugrin) koji super kuži mrežna rješenja i kaže on meni da će me malo upoznati s Microsoft firewall rješenjem – Internet Security and Acceleration Server 2004. Prva stvar koja mi je odmah upadala u oči je da to rješenje ima naziv "Server" u imenu, ali radilo se o aplikaciji koja se vrti na Microsoft Windows Server operativnom sustavu. U budućnosti je ostalo samo to dobro objasniti IT direktorima - da je to aplikacija koja ima naziv Server u svom imenu i da se ne radi o nekom fizičkom serveru ili appliance-u.... No, vratimo se mojim prvim susretima s ISA-om... I tako, krene meni Marko objašnjavati.... Imaš Internu mrežu (ona ti nema default gateway), imaš Externu mrežu (ona ima default gateway od providera), onda renejmaš mreže, podesiš prioritete mreža, dns, onda instaliraš ISA-u, sve updajeteove, service packove, podesiš logove i imaš Microsoftovo firewall rješenje koje ti uz to omogućava i VPN pristup (PPTP, L2TP, IPSec site-to –site, u novije vrijeme i SSTP), proxy (ona popularna brojka 8080), web cache… Kaos u glavi. S godinama je bilo tu puno instalacija ovog produkta. Razlikovali smo verzije Standard i Enterprise (enterprise nudi mogućnosti kreiranja polja i sustava visoke dostupnosti), onda je došla ISA 2006 i nakon nje TMG 2010. S tim verzijama je trebalo biti jako oprezan, hoćeš Enterprise verziju onda je moraš instalirati na Enterprise server, pa onda TMG dolazi samo na x64 hardver i nema direktne migracije. Problem kod ovakvog načina instalacije je taj što se troši server samo za tu namjenu, licenca za operativni sustav, licenca za ISA server, potrebno je dosta diskova za logove. U novijim verzijama došla je i opcija kupnji dodatnih licenci za antimalware, web filtering koje su stvarale dodatne troškove. Naravno ISA i dalje ima i super stvari koje odrađuje, pogotovo oko publishiranja Microsoft produkata: Exchange (OWA publish, Outlook anywhere, active syc), Share Point, ssl offloading, kerberos constrained delegation.
I onda je jednog dana odlučeno da će se prestati s podrškom za pojedine proizvode iz Forefront porodice proizvoda, a TMG je i jedan od njih. TMG se već duže vrijeme ne može kupiti, a 14.05.2015. prestaje i standardna podrška. To znači da od tog dana nema više zakrpi za sustav, pa će sustavi postati ranjivi na sve nove prijetnje i neće više služiti svojoj namjeni.
Zašto se Microsoft odlučio na takav potez i koja je zamjena? Po meni, zato što je Microsoft na tom tržištu izgubio bitku s konkurencijom, koja je bila brža pa se brže prilagodila novim trendovima (poznato je da se većina prometa tunelira kroz portove 80 i 443 i potrebno je imati uređaje koji će prepoznati i detektirati signature od svih tih aplikacija). Microsoft nije objavio službenog nasljednika koji će ga direktno zamijeniti, ali na tržištu ima dosta rješenja koja su to sposobna odraditi. Ja imam svog favorita. :) UTM (Unified Threat Management) i rješenja kompanije Fortinet, s kojima imam odlična iskustva. Naravno, prije bilo kakve zamjene potrebno je detaljno provjeriti koje su sve funkcionalnosti uključene na ISA/TMG sustavu i koji uređaji su nam potrebni da odradimo zamjenu. Naime, nije baš dobro kad netko tijekom migracije shvati da neće moći migrirati sve funkcionalnosti...
Ajmo još malo o novim UTM uređajima i mogućnostima koje nude:
- Firewall – tu se nema što dodati,
- Web filtering – mogućnost definiranja 80-ak grupa stranica, može Internet radio, ne može proxy avoidance…,
- Kontrola aplikacija – detekcija preko 2800 aplikacija (to je većina onih koje se tuneliraju kroz TCP 80 i 443),
- Antivirus – flow based i proxy based, detekcija rootkit programa,
- Data leak prevention – definiraš senzor koji npr. zabrani slanje word dokumenata koji u sebi imaju oznaku FINANCIJE,
- Wireless controler – spojiš access pointove i nadzireš te AP-ove i sve SSID-ove preko njega,
- VPN – ima onaj moderni SSL VPN i sve IPSEC site-to-site, i može se povezati i s Ciscom,…
I na kraju, kao što sam već i prije napisao važno je napraviti detaljnu snimku stanja postojećeg sustava i nakon toga dobro dimenzionirati novi sustav. Ja se držim one BITNA JE PRIPREMA, da migracija prođe bez muke. Imam još jednu uzrečicu koja mi je fora: VEŽI KONJA DI GAZDA KAŽE. Ljudi pitajte nas za ovakva rješenja i migracije pa ću možda opet sa svojim konjem na neki cool službeni put. :)
