Upgrade ISA Server 2004 na Forefront Threat Management Gateway 2010
Březen 31, 2011
Společnost Marius Pedersen Česká Republika se rozhodla pro nahrazení stávajícího řešení síťové bezpečnosti, kterou zajišťoval „Microsoft Internet Security and Acceleration Server 2004“ novinkou Microsoft Forefront Threat Management Gateway 2010. Toto řešení nabídlo moderní funkcionalitu postavenou na výkonné 64bitové platformě, nové možnosti zabezpečení, či rozšíření stávající úrovně. Ve velmi krátké době potřebné na realizaci projektu bylo dosaženo plného nahrazení původního řešení, včetně propojení poboček společnosti s centrálou pomocí VPN spojů či důkladnější zabezpečení připojení pro mobilní uživatele.
Kategorie: Bezpečnost, Forefront produkty | Autor: Jan Pilař
Situace
Společnost Marius Pedersen je jedním z velkých hráčů na trhu nakládání s různými druhy odpadů. Vlastnit spolehlivé a moderní řešení síťové bezpečnosti je tak klíčové. Po analýze trhu a možností produktů zajišťující síťovou bezpečnost bylo rozhodnuto pro nasazení řešení Microsoft Forefront Threat Management Gateway 2010 od společnosti Microsoft (dále Forefront TMG 2010). Toto řešení nabízí veškerou moderní funkcionalitu, kterou zákazník požadoval a stalo se tak důstojným nástupcem dosud používaného řešení „Microsoft Internet Security and Acceleration Serveru 2004“ (dále ISA Server). Díky pokrokům na poli síťové bezpečnosti za posledních několik let, přestal ISA Server vyhovovat požadavkům společnosti Marius Pedersen. Velkou brzdou se stávaly chybějící funkce, jako jsou možnost kontroly SSL spojení, antivirová ochrana uživatelů, či podpora 64bitové platformy.
Cíle
Cílem celého projektu byla modernizace stávajícího řešení síťové bezpečnosti a hraničního firewallu sítě společnosti Marius Pedersen Česká Republika (dále MPCR). Řešení na platformě ISA Serveru již nedokázalo, vzhledem ke svému věku, reflektovat aktuální požadavky uživatelů i IT managementu na nové funkce. Jedním z dalších důvodů proč nahradit původní řešení byla také záruka v rámci životního cyklu produktu ISA Server. Nejen díky pozitivním zkušenostem s produktem ISA Server bylo jednohlasně rozhodnuto IT managementem MPČR o nasazení nového řešení Forefront TMG 2010. Nové řešení s sebou ruku v ruce neslo i nové cíle a očekávání. Ta by se dala charakterizovat takto:
- Kontrola probíhající komunikace vestavěným antivirovým strojem
- Kontrola navštěvovaných stránek a jejich omezení na základě URL kategorizace
- Možnost plné kontroly šifrované SSL komunikace
- Hlubší integrace s dalšími produkty společnosti Microsoft, např. Exchange Server
- Podpora duálních internetových linek pro zajištění vysoké dostupnosti internetového provozu
- Snížení celkových nákladů na vlastnictví
- Podpora 64bitové platformy
- Podpora Windows Server 2008 jako hostující operační systém
Řešení
V rámci tohoto projektu bylo přistoupeno k úplné migraci na nové řešení síťové bezpečnosti. Jedním z cílů byla minimalizace výpadků či nutnosti rekonfigurace stávajícího nastavení.
Obrázek 1: Schéma přístupu k internetu
Migrace zahrnovala úplné nahrazení původního řešení postavené na ISA Serveru a řešení pomocí software třetí strany - GFI Web Protection. V rámci nasazení byly migrovány taktéž všechny VPN spoje mezi pobočkami společnosti MPČR i individuální VPN spoje mobilních uživatelů. Ti jsou ověřování oproti RADIUS serveru a bezpečnost je taktéž posílena o nutnost použití certifikátu uloženého na USB tokenu. Veškerá aktivita je ukládána formou logů do lokální SQL databáze, kde jsou uložené minimálně po dobu 90 dnů, což umožňuje zpětné dohledání libovolné komunikace v tomto časovém období. Celkový koncept řešení síťové bezpečnosti může být dále rozvíjen návaznými technologiemi jako je Network Access Protection (NAP, neboli síťová karanténa), či využití dalších, nejen bezpečnostních technologií od společnosti Microsoft.
|
ETAPA
|
Co je cílem ETAPY
|
|
0 - Dokumentace stávajícího prostředí
|
Zdokumentovat stávající prostředí ISA Server 2004 SP3, jednotlivá ISA Server pravidla, síťový routing, VPN připojení, použité certifikáty, konfigurace DNS a další.
|
|
1 - Návrh cílového řešení
|
Popis budoucí infrastruktury, návrh použití SSL inspekce, URL filteringu, Malware kontroly a další.
|
|
2 - Návrh migračních procedur
|
Navrhnout postup prací na projektu, jejich posloupnost a návaznosti.
|
|
3 - Implementace
|
Instalace operačního systému a jeho odladění (bezpečností nastavení systému, optimalizace síťového frameworku, atd.), instalace Forefront TMG 2010, základní nastavení Forefront TMG 2010, instalace licencí a provedení prvotních aktualizací Malware strojů a další.
|
|
4 - Technická podpora a řešení problémů
|
Technická podpora a řešení problémů po samotné implementaci.
|
|
5 - Zaškolení správců
|
Zaškolení správců nad vybudovaným prostředím.
|
|
6 - Dokumentace
|
Dokumentace zbudovaného prostředí.
|
Tabulka 1: Časový harmonogram projektu
Licenční model - Microsoft Select
Přínosy
Pro společnost Marius Pedersen byla velice přínosná spolupráce s partnerem KPCS CZ, který již má řadu praktických zkušeností s nasazením řešení Forefront Threat Management Gateway 2010 v podobných scénářích. V dohodnutých termínech se tak postavilo zcela stabilní a plně funkční řešení síťové bezpečnosti.
Největší přínosy pro MPČR se dají definovat takto:
- Vyřešení dlouhodobé nespokojenosti s funkčností konkurenčního SW v oblasti zabezpečení ochrany uživatelů, tedy ochrana před malware, či kategorizace přístupu na bázi URL
- Cenově výhodnější řešení v oblasti placených služeb malware ochrany
- Ochrana prostředí MPČR pomocí Network Inspection System (NIS), který díky pravidelné aktualizaci chrání síť MPČR před nejnovějšími hrozbami
- Vyřešení dlouhodobého přetížení firewallu, který byl řešen na 32bitové architektuře
- Větší propracování modelu současného užití oproti ISA Serveru
- Novinky v NAT (ENAT), možnosti definovat konkrétní odchozí IP pro VPN tunely
- Možnost kontroly SSL spojení, a to nejen příchozího, ale i odchozího
- Podpora Windows Server 2008 a Windows Server 2008 R2 v roli hostujícího serverového operačního systému a tím sjednocení operačních systémů serverové platformy v MPČR
Velmi kladným ohodnocením prošla oblast ochrany před malware, která je ve Forefront TMG 2010 propracována do detailu a splňuje tedy nejpřísnější nároky zákazníků. Jak z hlediska finančního, tak funkčního Forefront TMG 2010 dokázal nahradit a zásadním způsobem zlepšit tuto oblast bezpečnosti, a to s menšími vstupními náklady oproti konkurenčnímu řešení.
Citace
Společnost Marius Pedersen a.s. cítila potřebu provést migraci stávajícího stabilního leč technologicky zastaralého řešení firewallu ISA 2004. Marius Pedersen a.s. si byla vědoma možných rizik, které můžou vyvstat při migraci a tím narušit strategicky potřebné datové toky informací, které jsou pro každodenní práci velmi důležité. Proto vsadila na odborníky společnosti KPCS CZ a jejich zkušenosti s tímto produktem, která se vyplatila. Díky nim byla migrace plynulá a uměli rychle a erudovaně řešit nečekaně vzniklé problémy. Forefront TMG 2010 je opravdu bezpečnostním prvkem, který v krátkém čase přinesl očekávané ovoce v oblastech bezpečnosti a výkonnosti a ujistil nás v tom, že naše volba byla správná.
Tomáš Masák, Manažer ICT