TechNet Experternas arenaSäkra upp din VPN access med Forefront TMG och NAP
Säkra upp din VPN access med Forefront TMG och NAPJag vet inte hur många gånger jag kommit ut till kunder där de betalat dyra pengar för en VPN-lösning av något slag som antingen inte fungerar eller inte går att säkra upp ordentligt. Samtidigt har det stått en ISA Server och tuffat i ett hörn, enbart för att publicera Exchange! Flera it-proffs där ute vet vad jag pratar om, att ISA Server fungerar alldeles lysande som VPN gateway, som enkelt konfigureras med avancerat regelverk och utan krav på installation av en VPN-klient. Vi har flera VPN-förbättringar i Forefront Threat Management Gateway (TMG), vilket gör att det inte längre är försvarbart att betala dyra pengar för en tredjepartsprodukt när det redan finns en TMG i miljön som ger både högre säkerhet och lättare administration. Tunnla point-to-point-protokollet över SSL Ett tidigare problem var ISA:ns VPN-protokoll som krävde fler öppningar än vad som alltid är öppet i brandväggar på hotell och liknande. Hälsokontrollera klienterna innan de får access Redan i ISA Server hade vi en karantänfunktion, dock inget som imponerade på mig av flera anledningar. Forefront TMG är däremot en fröjd att arbeta med och uppleva som klient. Vi kan nu konfigurera vår TMG att använda Windows Server 2008 NAP (Network Access Protection). En server-roll som kostnadsfritt följer med i Windows Server 2008 och kan och BÖR användas. Server-rollen heter egentligen Network Policy Server (NPS) som agerar Radius-server och sköter kontrollen av våra klienter. Genom att specificera att exempelvis brandväggen och antimalware skall vara aktiverat och uppdaterat hos klienten innan den får access till företagets servrar, styrs detta av NPS och placerar klienten antingen i karantän eller i VPN-nätet i TMG. De policys du konfigurerat i NPS/NAP kommunicerar sedan med Windows Security Healt Agent i Windows XP SP3 till Windows 7. Är klientens brandvägg inte aktiverad kommer agenten automatiskt slå på brandväggen innan klienten når det interna nätet. Om företaget kör med ett antimalware som inte agenten kan styra över presenteras detta på ett snyggt sätt och beskriver för klienten att antimalware skall aktiveras för att den skall komma ifrån karantänen och få korrekt access. I TMG skapar du ett regelverk baserat på grupper i Active Directory för att på så sätt styra vad klienterna skall komma åt baserat på om de är placerade i karantän eller har kommit in i det interna nätet. Det är svårt att beskriva hur snygg den här funktionen är, jag har därför spelat in en demo på hur det en lösning kan se ut med TMG VPN-karantän. Se demo (saknar ljud) Klienterna behöver fortfarande ingen installerad programvara utan konfigureras enklast via grupp-policys. Om SSTP med intern PKI-lösning används så får du intemissa att se till att klienterna når CRL:en från internet. Det pratas mycket om hur enkelt det är med DirectAccess där klienten alltid är ansluten, med TMG och Windows Vista/7 är det bara tre musklick bort! Anders Olsson De åsikter och idéer som uttrycks i texten är skribentens egna, och delas inte nödvändigtvis av Microsoft AB eller dess representanter. |