Forefront Threat Management Gateway (TMG) und Forefront Unified Access Gateway (UAG) Die perfekte Lösung



Ähnliche Dokumente
ISA Server 2004 Einzelner Netzwerkadapater

2 Die Terminaldienste Prüfungsanforderungen von Microsoft: Lernziele:

Reporting Services und SharePoint 2010 Teil 1

Installation Remotedesktopgateway, Rolle auswählen: Karsten Hentrup An der Schanz Aachen

iphone 4 - Einrichtung des VPN Clients (Cisco VPN Client) / Verbinden des iphones mit einem Exchange

Einrichtung des Cisco VPN Clients (IPSEC) in Windows7

estos UCServer Multiline TAPI Driver

ISA Server 2004 Erstellen einer Webverkettung (Proxy-Chain) - Von Marc Grote

Er musste so eingerichtet werden, dass das D-Laufwerk auf das E-Laufwerk gespiegelt

Informatives zur CAS genesisworld-administration

ISA Server Exchange RPC over HTTPS mit NTLM-Authentifizierung

Fernzugang Uniklinikum über VMware View

Konfiguration von Outlook 2010

Guide DynDNS und Portforwarding

SZENARIO BEISPIEL. Implementation von Swiss SafeLab M.ID mit Citrix. Redundanz und Skalierbarkeit

ISA Server 2004 Erstellen eines neuen Netzwerkes - Von Marc Grote

1. Konfiguration Outlook 2007 MAPI (mit Autodiscover).

quickterm Systemvoraussetzungen Version: 1.0

Step by Step VPN unter Windows Server von Christian Bartl

Benutzerkonto unter Windows 2000

Konfiguration von Igel ThinClients fu r den Zugriff via Netscaler Gateway auf eine Storefront/ XenDesktop 7 Umgebung

Live Update (Auto Update)

quickterm Systemvoraussetzungen Version: 1.0

Anlegen eines virtuellen http Server unter Exchange 2003 mittels HOSTNAME

Kurzanleitung So geht s

NetMan Desktop Manager Vorbereitung und Konfiguration des Terminalservers

mysql - Clients MySQL - Abfragen eine serverbasierenden Datenbank

Proxyeinstellungen für Agenda-Anwendungen

Clientkonfiguration für Hosted Exchange 2010

Windows Server 2012 R2 Essentials & Hyper-V

COMPUTER MULTIMEDIA SERVICE

Proxy. Krishna Tateneni Übersetzer: Stefan Winter

Einrichten des IIS für VDF WebApp. Einrichten des IIS (Internet Information Server) zur Verwendung von Visual DataFlex Web Applications

Windows 10 Sicherheit im Überblick

ICS-Addin. Benutzerhandbuch. Version: 1.0

1. Weniger Steuern zahlen

STRATO Mail Einrichtung Microsoft Outlook

Browser mit SSL und Java, welcher auf praktisch jedem Rechner ebenso wie auf vielen mobilen Geräten bereits vorhanden ist

Diese Anleitung erläutert die Einrichtung des Active Directory Modus im DNS-343.

Sie müssen sich für diesen Fall mit IHREM Rechner (also zeitgut jk o.ä.) verbinden, nicht mit dem Terminalserver.

Windows Server 2008 (R2): Anwendungsplattform

Verwendung des IDS Backup Systems unter Windows 2000

Konfiguration VLAN's. Konfiguration VLAN's IACBOX.COM. Version Deutsch

How-to: Webserver NAT. Securepoint Security System Version 2007nx

HOSTED EXCHANGE 2013 IN OUTLOOK EINRICHTE N

Anti-Botnet-Beratungszentrum. Windows XP in fünf Schritten absichern

Step by Step Webserver unter Windows Server von Christian Bartl

GEZIELT MEHR SICHERHEIT MIT 4I ACCESS SERVER & 4I CONNECT CLIENT

Anleitung für -Client Outlook 2000 mit SSL Verschlüsselung

Novell Client. Anleitung. zur Verfügung gestellt durch: ZID Dezentrale Systeme. Februar ZID Dezentrale Systeme

Einrichten eines Postfachs mit Outlook Express / Outlook bis Version 2000

Netzwerkinstallation WaWi-Profi3

Weitere Infos findet man auch in einem Artikel von Frank Geisler und mir im Sharepoint Magazin (Ausgabe Januar 2011)

2 Konfiguration von SharePoint

Anbindung des eibport an das Internet

Kurzanleitung. MEYTON Aufbau einer Internetverbindung. 1 Von 11

Anlegen eines SendAs/RecieveAs Benutzer unter Exchange 2003, 2007 und 2010

Lernwerkstatt 9 privat- Freischaltung

Installationsanleitung dateiagent Pro

Installation und Einrichtung des Microsoft SQL Servers 2005 Express. Abb.1.0

VPN/WLAN an der Universität Freiburg

Software zur Anbindung Ihrer Maschinen über Wireless- (GPRS/EDGE) und Breitbandanbindungen (DSL, LAN)

Terminabgleich mit Mobiltelefonen

Firewalls für Lexware Info Service konfigurieren

Universal Dashboard auf ewon Alarmübersicht auf ewon eigener HTML Seite.

Installation und Bedienung von vappx unter ios

Hallo, Anmeldung auf der Office-Webplattform: Seite 1 von 7 Office 365 Pro Plus

Version Deutsch In diesem HOWTO wird beschrieben wie Sie Ihr vorhandenes PMS-System mit der IAC-BOX verbinden und konfigurieren.

Installation von Windows.NET Enterprise Server RC1

Partnerportal Installateure Registrierung

Electronic Systems GmbH & Co. KG

.htaccess HOWTO. zum Schutz von Dateien und Verzeichnissen mittels Passwortabfrage

Electronic Systems GmbH & Co. KG

Was meinen die Leute eigentlich mit: Grexit?

Inhaltsverzeichnis. Beschreibung. Hintergrund

Daten-Synchronisation zwischen dem ZDV-Webmailer und Outlook ( ) Zentrum für Datenverarbeitung der Universität Tübingen

System-Update Addendum

Das Starten von Adami Vista CRM

Handbuch. timecard Connector Version: REINER SCT Kartengeräte GmbH & Co. KG Goethestr Furtwangen

Sich einen eigenen Blog anzulegen, ist gar nicht so schwer. Es gibt verschiedene Anbieter. ist einer davon.

OutLook 2003 Konfiguration

INDEX. Öffentliche Ordner erstellen Seite 2. Offline verfügbar einrichten Seite 3. Berechtigungen setzen Seite 7. Öffentliche Ordner Offline

E-Government Sondertransporte (SOTRA) Registrierung von Benutzerkennung

Für die Einrichtung des elektronischen Postfachs melden Sie sich wie gewohnt in unserem Online-Banking auf an.

Regeln für das Qualitäts-Siegel

Windows Server 2012 RC2 konfigurieren

Installation des Zertifikats am Beispiel eines Exchang -Servers. Voraussetzungen. Zertifikate importieren. Outlook-Webaccess

SharePoint Demonstration

Windows Small Business Server (SBS) 2008

Netzwerk einrichten unter Windows

STRATO Mail Einrichtung Mozilla Thunderbird

Installation und Bedienung von vappx unter Android

Collax PPTP-VPN. Howto

How-to: HTTP Proxy mit Radius Authentifizierung an einem Windows 2003 Server. Securepoint Security System Version 2007nx

ISA Server 2004 stellt verschiedene Netzwerkvorlagen zur Einrichtung einer sicheren Infrastruktur zur Verfügung:

Kleines Handbuch zur Fotogalerie der Pixel AG

Voraussetzung. Anleitung. Gehen Sie auf Start Einstellungen und suchen Sie hier den Eintrag Datenverbindungen oder Verbindungen. Öffnen Sie diesen.

Inhaltsverzeichnis PROGRAMMDOKUMENTATION SPCM

Transkript:

Forefront Threat Management Gateway (TMG) und Forefront Unified Access Gateway (UAG) Die perfekte Lösung

Das Problem Die Abkündigungen seitens Microsoft von Forefront Threat Management Gateway (TMG) und Forefront Unified Access Gateway (UAG) sind ein herber Einschnitt und bedeuten für viele Kunden eine Neuorientierung bezüglich des Themas Reverse Proxy, denn beide Produkte wurden in der Praxis als Reverse Proxies eingesetzt. Bevor auf die Alternativen eingegangen wird betrachten wir zunächst einmal die Grundfunktionen eines Reverse Proxy. Grundfunktionen eines Reverse Proxies Ein Reverse Proxy nimmt Anfragen von einer Firewall an. Bei diesen Anfragen handelt es sich um HTTP / HTTPS Traffic. Die Anfrage wurde auf der Firewall schon nach schädlichem Inhalt überprüft. Der Reverse Proxy prüft die angefragten Server und URLs auf ihre Richtigkeit und präsentiert ein Formular zur Eingabe der Credentials. Diese Credentials werden Prä Authentifiziert. Sind die Credentials korrekt wird die Anfrage an den jeweiligen Applikations Server weitergeleitet. Ein Reverse Proxy ist dabei so platziert, dass er selbst kein Mitglied einer Domäne ist und die Abfrage nach der Korrektheit der Credentials per LDAP an einen Domain Controller gerichtet wird. Dazu werden vom Reverse Proxy eigene Eingabe Formulare verwendet. Des Weiteren existieren auf einem Reverse Proxy Regeln zu den erlaubten FQDN der Applikations Server und deren URLs, die ebenfalls überprüft werden. Um in die Netzwerkpakete hineinschauen zu können arbeitet ein Reverse Proxy im Layer 7 Modus und terminiert bei HTTPS die SSL Verbindung am Reverse Proxy, um diese dann wieder verschlüsselt an den Applikations Server durchzureichen.

Bei größeren Installationen und einer hohen Anzahl von Anfragen werden diese in der Regel über einen Loadbalancer weitergeleitet, der die Lastverteilung auf die Applikationsserver übernimmt. Eines muss an dieser Stelle noch klar vermittelt werden: Ein Reverse Proxy ist KEINE Firewall und ersetzt auch nicht eine Firewall. Reverse Proxies werden also immer im Zusammenspiel mit Firewalls eingesetzt, je nachdem wie die Netzwerktopologie sich darstellt (Perimeter Netzwerk, Front End / Back End Firewall, ). Bei der Fülle an Angeboten zu Reverse Proxies ist es müßig, Vergleiche im Einzelnen aufzulisten. Allerdings seien an dieser Stelle zwei neue Funktionalitäten der Microsoft Windows 2012 R2 Server kurz beleuchtet, die Reverse Proxy Funktionalitäten beinhalten und durchaus Beachtung finden. Es handelt sich dabei um die Features IIS Application Request Routing (IIS ARR) und IIS Webapplicationproxy (IIS WAP). Beide Features stehen nur mit Windows Server 2010 R2 zur Verfügung, erfordern also grundsätzlich den Einsatz eines Windows 2012 R2 Servers (IIS ARR) oder von zwei Windows 2012 R2 Servern (IIS WAP). WAP benötigt Windows ADFS (Active Directory Federation Services) für die Prä Authentifizierung, deshalb werden für diese Konfiguration 2 Windows 2012 R2 Server benötigt. IIS ARR wird auf einem Windows Server 2012 R2 installiert, der nicht Member einer Active Directory Domäne ist. Die Installation von IIS ARR ist relativ einfach. IIS ARR eignet sich eher für kleine Umgebungen. IIS ARR hat allerdings einen gravierenden Nachteil, es kann keine Prä Authentifizierung! Für IIS WAP braucht es zwei Windows 2012 R2 Server, einen für ADFS der Domain Member ist und einen für den WAP, der nicht Domain Member ist. IIS WAP beherrscht Prä Authentifizierung, die Konfiguration ist allerdings sehr aufwendig und fehlerträchtig und auch die Fehlersuche, wenn in diesem Konstrukt etwas nicht funktioniert, ist sehr aufwendig. Beide also nicht unbedingt elegante und leicht zu konfigurierende und zu bedienende vollwertige Alternativen.

Die Lösung Nach der Abkündigung von TMG und UAG besannen sich natürlich die verschiedenen Hersteller von Loadbalancern auf die Möglichkeiten, diese Funktionalitäten in den Loadbalancern nachzubilden. Denn es ist natürlich geschickt, eine derartige Funktion in einem Loadbalancer zu haben, den man in vielen Fällen sowieso benötigt und womit man sich weitere Installationen erspart. Bei den Loadbalancern der Firma KEMP Technologies wird die Web Proxy Funktionalität durch das Edge Security Pack (ESP) nachgebildet. Das ESP ist fester Bestandteil der Kemp Loadbalancer Funktionen, muss also nicht extra geordert werden. ESP wird per Virtual Service aktiviert. Um das ESP an einem Virtual Service nutzen zu können muss allerdings der SSL Traffic für diesen Virtual Service am Loadbalancer terminiert werden. Das ESP bietet verschiedene Optionen:» Single Sign On» Abfrage User Credentials per LDAP gegen einen Domain Controller» Beschränkung Zugriff auf bestimmte Server und URLs» Formular basierte Anmeldung» Logging der Zugriffe Single Sign On Optionen: ESP Settings:

Für weitere Informationen stehen wir Ihnen gerne persönlich zur Verfügung. Central Tower Munich Landsberger Straße 110 80339 München Germany Phone: +49 (0)89 800 656-0 Fax +49 (0)89 800 656-66 info@3kv.de www.3kv.de

2024 © DocPlayer.org Datenschutzbestimmungen | Nutzungsbedingungen | Feedback