Forefront TMG 2010 – część 9 – Klienci TMG
.png "Udostępnij na: Facebook")
Autor: Jacek Światowiak
Opublikowano: 2011-10-14
Wprowadzenie
W poprzedniej części kursu opisano działanie reguły dostępu – AccessRule. W niniejszej części zostaną opisane pojęcia dwóch typów klientów TMG – SecureNAT i WebProxy, a w kolejnej części zostanie zaprezentowany klient typu Firewall Client.
Klient TMG
Istnieją trzy rodzaje klienta TMG:
- SecureNAT,
- Firewall Client,
- Web Proxy Client.
Tabela 9.1. Zawiera podsumowanie właściwości trzech typów klientów serwera TMG.
| Funkcjonalności | Web Proxy Client | Firewall Client | Secure NAT |
| Obsługiwane protokoły. | HTTP, HTTPS, FTP, Socks. | Ograniczenia wynikają z własności samych protokołów. Ogólnie wszystkie są z rodziny IP. | Ogólnie wszystkie są z rodziny IP. Mogą wystąpić problemy z konfiguracją połączenia typu secondary-connection. |
| Wymagana instalacja i konfiguracja. | Odpowiednio skonfigurowana przeglądarka internetowa lub aplikacja korzystająca z protokołów wymienionych powyżej. | Konieczność instalacji dodatkowego oprogramowania na stacjach roboczych i serwerach. | Serwer TMG jest definiowany jako brama wyjściowa z sieci organizacji. |
| Wymagania co do systemu operacyjnego. | Dowolny system operacyjny z aplikacją, obsługującą protokoły opisane powyżej, zgodnie ze standardem CERN. | Obsługiwane są wyłącznie systemy Microsoft Windows. | Brak wymagań. |
| Możliwość uwierzytelniania użytkowników. | TAK. | TAK. | Tylko dla klientów VPN. |
| Zalety. | Prosta konfiguracja aplikacji WWW. Możliwość konfiguracji automatycznej. | Umożliwia dostęp praktycznie do wszystkich protokołów z rodziny IP. Obsługa uwierzytelniania. | Najprostsza konfiguracja. |
| Wady. | Funkcjonalność ograniczona wyłącznie do protokołów, opisanych powyżej. | Konieczność instalacji dodatkowego oprogramowania. | Brak uwierzytelniania, w złożonych protokołach mogą wystąpić problemy, związane z brakiem filtrów aplikacyjnych. |
Tabela 9.1. Podsumowanie właściwości klientów serwera TMG.
W przypadku klienta typ Web Proxy, konfiguracji możemy dokonywać manualnie lub automatycznie za pomocą polis domenowych lub funkcjonalności Autodiscovery.
Klient SecureNAT
Pod pojęciem klienta typu SecureNAT należy rozumieć każde urządzenie, które ma zdefiniowany serwer TMG jako domyślną bramę. W zależności od reguł, zdefiniowanych na serwerze TMG (bazujących na poziomie warstwy sieciowej i transportowej [adresy IP, porty, numery protokołów]), ruch będzie lub nie będzie przepuszczany przez serwer TMG. Żadna dodatkowa konfiguracja tego urządzenia nie jest wymagana [czy to będzie stacja robocza, serwer czy inne urządzenie sieciowe, np. przełącznik sieciowy].
Manualna konfiguracja klienta Web Proxy
Aby uaktywnić manualną konfigurację dla przeglądarek internetowych IE z menu wybieramy opcję Narzędzia, a następnie Opcje internetowe, potem w Opcjach internetowych wybieramy zakładkę Połączenia i klikamy na przycisk Ustawienia sieci LAN. W domyślnej konfiguracji wszystkie pola są niezaznaczone i puste. Aby włączyć funkcjonalność klienta, należy zaznaczyć opcję Użyj serwera Proxy dla sieci LAN. W polu Adres należy wpisać adres IP lub nazwę serwera Proxy. W polu Port, należy wpisać numer portu serwera Web Proxy. TMG, podobnie jak większość serwerów Proxy, ma określony domyślny numer portu o wartości 8080. W przykładzie, na Rys. 9.1. zdefiniowano wykorzystanie serwera Web Proxy o adresie IP 192.168.0.254 i numerze ogólnym portu 8080.
.jpg "Konfiguracja opcji Ustawienia sieci LAN dla IE wersja 8.0 i 9.0")
Rys. 9.1. Konfiguracja opcji Ustawienia sieci LAN dla IE wersja 8.0 i 9.0.
Klikając na przycisk Zaawansowane, możemy określić, czy adres i numer portu dla protokołów HTTP, HTTPS (zabezpieczeń), FTP i Socks jest taki sam, czy różny. W przeglądarce internetowej IE 7.0 usunięto już praktycznie „wymarły” protokół Gopher.
Na stacji roboczej jest zalogowany użytkownik Administrator z domeny Test. W przypadku przeglądarki internetowej nieskonfigurowanej, przy braku połączenia, zwracany jest komunikat o treści, którą zawiera Rys. 2.
.jpg "Komunikat zwracany przez IE w przypadku braku konfiguracji funkcjonalności serwera Proxy")
Rys. 9.2. Komunikat zwracany przez IE w przypadku braku konfiguracji funkcjonalności serwera Proxy.
Do podejrzenia ruchu użyjemy funkcjonalności, wbudowanej w serwer — Logging. Na Rys. 3. zaprezentowano ruch kierowany na port 80 (protokół HTTP, akcja Denied), pochodzący od reguły domyślnej (Default rule). Pole Client Username jest puste. Nie możemy określić, jaki użytkownik usiłuje zestawić połączenie. Wiemy tylko, że połączenie nastąpiło z adresu IP 192.168.0.1.
.jpg "Ruch sieciowy, przechwycony pomiędzy przeglądarką internetową a serwerem TMG")
Rys. 9.3. Ruch sieciowy, przechwycony pomiędzy przeglądarką internetową a serwerem TMG.
Po skonfigurowaniu klienta, serwer zwraca do przeglądarki internetowej informacje o braku możliwości zestawienia połączenia (Rys. 4.). Ekrany można konfigurować, co w przypadku przedsiębiorstwa jest bardzo przydatne. Mogą być one wyświetlane nawet w języku danego kraju.
.jpg "Komunikat zwracany przez IE w przypadku prawidłowej konfiguracji funkcjonalności serwera Proxy")
Rys. 9.4. Komunikat zwracany przez IE w przypadku prawidłowej konfiguracji funkcjonalności serwera Proxy.
Poniżej (Rys. 9.5.) przedstawiono ciąg komunikatów, wymienianych pomiędzy przeglądarką internetową a serwerem Proxy. Pierwsze dwa komunikaty wymieniane są pomiędzy przeglądarką internetową a serwerem Proxy (użytkownik anonimowy).
.jpg "Odmowa przepuszczenia ruchu bez uwierzytelnienia")
Rys. 9.5. Odmowa przepuszczenia ruchu bez uwierzytelnienia.
Następnie (Rys. 9.6.) następuje uwierzytelnienie i dalsza komunikacja jest realizowana już przez użytkownika uwierzytelnionego (TEST\Administartor). W opisanym przykładzie komunikacja zostaje nawiązana z serwerem wp.pl.
.jpg "Ruch sieciowy, przechwycony pomiędzy przeglądarką internetową a serwerem TMG")
Rys. 9.6. Ruch sieciowy, przechwycony pomiędzy przeglądarką internetową a serwerem TMG.
Aby nie konfigurować przeglądarek internetowych manualnie, można skorzystać z dwóch rozwiązań — w środowisku domenowym z ustawień Group Policy lub funkcjonalności Autodiscovery.
Automatyczna konfiguracja za pomocą polis GPO
Na Rys. 9.7. przedstawiono widok dowolnej polisy, otwartej na gałęzi, związanej z konfiguracją przeglądarki internetowej Internet Explorer — User Configuration/Policies/Windows Settings/Internet Explorer Maintanance/Connection.
.jpg "Okno polisy, otwartej na gałęzi, związanej z konfiguracją przeglądarki internetowej")
Rys. 9.7. Okno polisy, otwartej na gałęzi, związanej z konfiguracją przeglądarki internetowej.
Globalna konfiguracja ustawień serwera Proxy — Proxy Settings — widoczna jest na Rys. 9.8. Okno, przedstawione na rysunku, jest prawie identyczne jak opcje konfigurowane od strony przeglądarki internetowej.
.jpg "Globalna konfiguracja ustawień serwera Proxy")
Rys. 9.8. Globalna konfiguracja ustawień serwera Proxy.
W środowisku domenowym, w pełni zarządzanym , użytkownicy nie powinni samodzielnie zmieniać ustawień serwera Proxy. Aby tę możliwość im wyłączyć, należy zmodyfikować (zgodnie z Rys. 9.9.) ustawienia w gałęzi:
User Configuration/Policies/Administrative Templates/Windows Components/Internet Explorer/Disable changing Proxy settings.
Analogiczne ustawienie znajduje się również w gałęzi:
Computer Configuration/Policies/Administrative Templates/Windows Components/Internet Explorer/Disable changing Proxy settings.
.jpg "Modyfikacja ustawień polisy")
Rys. 9.9. Modyfikacja ustawień polisy.
Przykładowo dla IE (Rys. 9.10. i 9.11.) pojawia się dodatkowa informacja, iż część ustawień jest kontrolowana centralnie. A opcje w zakładce Ustawieniasieci lokalnej (LAN) nie mogą być modyfikowane dla użytkownika.
.jpg "Efekt działania zmodyfikowanej polisy")
Rys. 9.10. Efekt działania zmodyfikowanej polisy.
.jpg "Efekt działania zmodyfikowanej polisy")
Rys. 9.11. Efekt działania zmodyfikowanej polisy.
Funkcjonalność Autodiscovery
Zarówno klienci Firewall Client jak i Web Proxy Client, mogą być automatycznie konfigurowani za pomocą funkcjonalności Autodiscovery. Web ProxyClient (Rys. 9.12.) korzysta z protokołu WPAD (ang. Web Proxy AutoDetect Protocol), a Firewall Client z jego rozszerzenia — WSPAD (ang. WinsockProxy AutoDetect Protocol). Mechanizm autokonfiguracji opiera się na odpowiednio skonfigurowanych serwerach DNS lub DHCP. Aby funkcjonalność Autodiscovery była dostępna, należy włączyć we właściwościach sieci (Internal), w zakładce Auto Discovery, publikację pliku WPAD przez serwer TMG lub poprzez inny serwer Web.
.jpg "Włączenie publikacji informacji autokonfiguracyjnych dla klientów Web Proxy i Firewall Clients")
Rys. 9.12. Włączenie publikacji informacji autokonfiguracyjnych dla klientów Web Proxy i Firewall Clients
Informacja
W przypadku publikacji, korzystającej z serwera DNS, brakiem jeśli nie ma możliwości przekazania numeru portu, publikacja musi się odbywać na porcie domyślnym dla protokołu HTTP, czyli 80.
*** ***
Konfiguracja w oparciu o protokół DNS
Aby skorzystać z autokonfiguracji WPAD, należy utworzyć odpowiedni rekord na serwerze DNS. Przy definiowaniu nazwy WPAD jako alias dla serwera TMG, wymagane jest korzystanie z rekordu typu ALIAS (CNAME) (Rys. 9.13.),. Aby mechanizm zadziałał, w opcji ustawienia sieci lokalnej przeglądarki internetowej IE, musi być zaznaczona opcja: Automatycznie wykryj ustawienia.
.jpg "Tworzenie rekordu wpad w konfiguracji strefy serwera DNS")
Rys. 9.13. Tworzenie rekordu wpad w konfiguracji strefy serwera DNS.
Na Rys. 9.11. pokazano prawidłowo skonfigurowaną przeglądarkę internetową, która może korzystać z mechanizmu Autodiscovery. Zaznaczono opcję Automatycznie wykryj ustawienia. Na Rys. 9.14 przedstawiono widok konsoli serwera DNS wraz z utworzonym rekordem WPAD. Rekord wpad to alias nazwy serwera TMG lub inny serwer http, z którego można pobrać plik konfiguracyjny wpad.dat.
.jpg "Konsola serwera DNS z utworzonym rekordem dla protokołu WPAD")
Rys. 9.14. Konsola serwera DNS z utworzonym rekordem dla protokołu WPAD.
Informacja
W rodzinach Windows Server 2008/2008 R2 domyślnie wyłączona jest publikacja konfiguracji wpad. W związku z tym należy ją manualnie włączyć. Aby podejrzeć aktualny stan zablokowanych rekordów, należy skorzystać z polecenia dnscmd. Z Rys. 9.15. widać, iż domyślnie zablokowane są dwa rekordy: wpad i isatap.
.jpg "Opcje polecenia dnscmd. Podgląd zablokowanych rekordów")
Rys. 9.15. Opcje polecenia dnscmd. Podgląd zablokowanych rekordów.
Rekord wpad należy z tej listy usunąć. Opcje polecenia dnscmd prezentuje Rys. 9.16.
.jpg "Opcje polecenia dnscmd. Usunięcie zablokowanych rekordów")
Rys. 9.16. Opcje polecenia dnscmd. Usunięcie zablokowanych rekordów.
Konfiguracja w oparciu o protokół DHCP. Definiowanie opcji WPAD na serwerze DHCP
W konsoli serwera DHCP klikamy prawym przyciskiem myszy na nazwę serwera. Z menu wybieramy Set Predefined Option. Następnie w oknie PredefinedOptionsand Values klikamy na opcję Add i dodajemy nową opcję, zgodnie z parametrami z Rys. 9.17.
.jpg "Konsola serwera DHCP – opcje predefiniowane")
Rys. 9.17. Konsola serwera DHCP – opcje predefiniowane.
Tworzenie nowej opcji WPAD o wartości 252 prezentuje Rys. 9.18.
.jpg "Konsola serwera DHCP")
Rys. 9.18. Konsola serwera DHCP.
Definiowanie zaawansowanych elementów nowej opcji WPAD o wartości 252 przedstawia Rys. 9.19.
.jpg "Konsola serwera DHCP")
Rys. 9.19. Konsola serwera DHCP.
Informacja
Łańcuch znaków, podawany jako wartość w rekordzie WPAD, musi być wpisany małymi znakami. W szczególności nazwa pliku wpad.dat. Inaczej proces autokonfiguracji może się nie powieść.
Przypisanie nowej opcji, na poziomie konfiguracji danego zakresu, przedstawia Rys. 9.20. Opcja ta może też być definiowana na poziomie serwera lub konkretnej rezerwacji.
.jpg "Konsola serwera DHCP wraz z dodaną opcją WPAD na poziomie zakresu")
Rys. 9.20. Konsola serwera DHCP wraz z dodaną opcją WPAD na poziomie zakresu.
Podsumowanie
W tym artykule opisano zagadnienia dotyczące właściwości i konfiguracji dwóch typów klientów serwera TMG – SecureNAT i Web Proxy. Dokładnie opisano również mechanizmy konfiguracji manualnej oraz automatycznej, z wykorzystaniem polis domenowych lub funkcjonalności Autodiscovery (DNS lub DHCP). W kolejnej części zostanie opisany ostatni z dostępnych typów klientów tzw. Firewall Client.