Denk na over de ruleset.

Een incorrecte ruleset kan er toe leiden dat een TMG slecht of niet functioneert. De juiste manier van de rule set implementeren is belangrijk. De volgende tips gaan dan ook specifiek hierover.

1.  De rule die het meeste verkeer vangt zet je boven aan. Op het moment dat een netwerkpakketje aankomt bij de TMG zal de TMG zijn ruel set doorlopen totdat hij een rule tegenkomt die betrekking heeft op het netwerkpakketje. Daarna zal de TMG de bijpassende actie uitvoeren, doorlaten of tegenhouden. Door de rule die het meeste verkeer vangt boven aan te zetten zal de TMG deze snel tegenkomen en dus het meeste verkeer snel afhandelen.

2.  Maak een rule voor DNS. Standaard houdt TMG alles tegen. Als de TMG tussen het interne netwerk en het internet staat zal hij DNS verkeer tegenhouden. Hierdoor zal internet niet “functioneren”. Maak dus een rule om DNS verkeer door te laten.

3.  Sta alleen toe wat je wilt doorlaten. Standaard houdt TMG al het verkeer tegen. Heb je dus geen allow rule dan wordt het tegengehouden. Deny rules zijn in principe niet noodzakelijk.

Kies de juiste Setup

4.  Gebruik een EMS. EMS geeft je de mogelijkheid de config los op te slaan van de TMG. Gebeurd er iets met de TMG dan kun je dit snel herstellen, door een nieuwe TMG weer lid te maken van de array. De nieuwe TMG haalt dan zijn config op van de EMS server. Wil je meerdere TMG’s gaan gebruiken dan kun je snel nieuwe/extra toevoegen en je houdt het beheer centraal.

5.  Neem een aparte disk/lun voor log files, cache enz. De log files van TMG kunnen snel groot worden. Het is dus aan te raden hiervoor een aparte disk/lun te nemen van enige omvang. Per dag zal een gebruiker 25MB aan log files creëren op de TMG. Als je dus voor 100 gebruikers de logs voor een jaar wilt bewaren, dan loopt dat al snel op naar 800 GB. Denk dus goed na hoe lang je de log files wilt bewaren. TMG gebruikt verschillende caches. Hij heeft er eentje om download tijdelijk in op te slaan, om ze daarna te kunnen scannen. Je hebt de PROXY cache en als je gebruik maakt van de Exchange integratie heb je natuurlijk de mail queue. Het is aan de raden deze allemaal op een aparte disk te zetten. Lees hier meer over Sizing TMG.

6.  Vergeet RDP niet. Als je de TMG installeert via RDP zal hij het IP nummer van je werkplek automatisch RDP toegang geven. Dit is noodzakelijk, zodat je de setup ook kan afmaken. Het is dus aan te raden om de RDP groep uit te breiden met alle IP nummers die via RDP toegang mogen hebben tot de TMG. Op die manier voorkom je dat je jezelf of een collega buitensluit. Lees hier meer over System Policy Rules

7.  Gebruik Microsoft Update voor het ophalen van je malware updates. Je kunt natuurlijk gebruik maken van je interne WSUS omgeving. Je loopt dan wel het risico dat een malware update te laat komt. Dit wordt erger als je gebruik maakt van SCCM voor je updates. Dan moet je ze eerst approven, voordat de malware updates naar de TMG gaan.

Kies het juiste Scenario

8.  Binnen is binnen en buiten is buiten. Na de installatie van de TMG kun je een wizard gaan draaien. Deze wizard gaat je vragen wat je interne en externe interfaces zijn. Op basis hiervan zal de wizard de system rule vullen. Door de verkeerde interface te kiezen worden de verkeerde IP range toegewezen aan de TMG. Dit kan leiden tot een TMG die niet meer functioneert.

9.  Gebruik HTTPS inspectie alleen als je gebruikers het weten. De TMG heeft de mogelijkheid SSL verkeer te inspecteren. Nu is dit heel mooi, want op die manier verhoog je de beveiliging, maar je kunt in de problemen komen als je gebruikers dit niet weten. Je overtreed dan namelijk de privacy wetgeving, tenzij je van te voren je gebruikers op de hoogte stelt. Je zult ze dan moeten uitleggen dat je al hun verkeer in de gaten houdt.

10.  De TMG is de start van je verdediging. Door het neerzetten van de TMG ben je niet per definitie helemaal veilig. Je zult altijd een aantal poorten willen open zetten. Een aanvaller kan door deze poorten een aanval uitvoeren op het achterliggende systeem. Nu vangt de TMG veel op, maar er bestaat altijd het risico dat er een lek is, die de TMG niet kent. Voer de juiste beveiligingspolicy uit op je achter liggende systemen.

Zou jij het anders aanpakken of is er nog een extra punt toe te voegen? Laat het weten in de comments!