• Artikel

TechNet Experternas arena

Säkra upp din VPN access med Forefront TMG och NAP


Om skribenten

Anders Olsson

Anders Olsson, Microsoft Security Consultant på Onevinn.

Säkra upp din VPN access med Forefront TMG och NAP

Jag vet inte hur många gånger jag kommit ut till kunder där de betalat dyra pengar för en VPN-lösning av något slag som antingen inte fungerar eller inte går att säkra upp ordentligt.  Samtidigt har det stått en ISA Server och tuffat i ett hörn, enbart för att publicera Exchange!

Flera it-proffs där ute vet vad jag pratar om, att ISA Server fungerar alldeles lysande som VPN gateway, som enkelt konfigureras med avancerat regelverk och utan krav på installation av en VPN-klient.

Vi har flera VPN-förbättringar i Forefront Threat Management Gateway (TMG), vilket gör att det inte längre är försvarbart att betala dyra pengar för en tredjepartsprodukt när det redan finns en TMG i miljön som ger både högre säkerhet och lättare administration.

Tunnla point-to-point-protokollet över SSL

Ett tidigare problem var ISA:ns VPN-protokoll som krävde fler öppningar än vad som alltid är öppet i brandväggar på hotell och liknande.
Ett nytt protokoll vid namn SSTP (Secure Socket Tunneling Protocol) som tunnlar trafiken via SSL har tillkommit. Vi kör nu över TCP port 443 och tar oss igenom de flesta brandväggar.

Hälsokontrollera klienterna innan de får access

Redan i ISA Server hade vi en karantänfunktion, dock inget som imponerade på mig av flera anledningar. Forefront TMG är däremot en fröjd att arbeta med och uppleva som klient. Vi kan nu konfigurera vår TMG att använda Windows Server 2008 NAP (Network Access Protection).  En server-roll som kostnadsfritt följer med i Windows Server 2008 och kan och BÖR användas. Server-rollen heter egentligen Network Policy Server (NPS) som agerar Radius-server och sköter kontrollen av våra klienter. Genom att specificera att exempelvis brandväggen och antimalware skall vara aktiverat och uppdaterat hos klienten innan den får access till företagets servrar, styrs detta av NPS och placerar klienten antingen i karantän eller i VPN-nätet i TMG.

De policys du konfigurerat i NPS/NAP kommunicerar sedan med Windows Security Healt Agent i Windows XP SP3 till Windows 7. Är klientens brandvägg inte aktiverad kommer agenten automatiskt slå på brandväggen innan klienten når det interna nätet. Om företaget kör med ett antimalware som inte agenten kan styra över presenteras detta på ett snyggt sätt och beskriver för klienten att antimalware skall aktiveras för att den skall komma ifrån karantänen och få korrekt access.

I TMG skapar du ett regelverk baserat på grupper i Active Directory för att på så sätt styra vad klienterna skall komma åt baserat på om de är placerade i karantän eller har kommit in i det interna nätet.

Det är svårt att beskriva hur snygg den här funktionen är, jag har därför spelat in en demo på hur det en lösning kan se ut med TMG VPN-karantän.

Se demo (saknar ljud)

Klienterna behöver fortfarande ingen installerad programvara utan konfigureras enklast via grupp-policys. Om SSTP med intern PKI-lösning används så får du intemissa att se till att klienterna når CRL:en från internet.
Utöka till flerfaktorautentisering med klientcertifikat eller smarta kort.

Det pratas mycket om hur enkelt det är med DirectAccess där klienten alltid är ansluten, med TMG och Windows Vista/7 är det bara tre musklick bort!

Anders Olsson
Microsoft Security Consultant på Onevinn.


De åsikter och idéer som uttrycks i texten är skribentens egna, och delas inte nödvändigtvis av Microsoft AB eller dess representanter.