Microsoft Stirling su Internet Magazine di Luglio

Sul numero di Luglio di Internet Magazine - ed. Master - è stato pubblicato il mio articolo su Microsoft Stirling il prodotto - chiamarlo solo prodotto e' un po' riduttivo -  Microsoft attualmente in Beta.

E' possibile acquistare e scaricare, in formato PDF, il numero di Luglio ad un prezzo davvero incredibile 1€ invece dei 4,90€ del formato cartaceo.

Per scaricare il numero in formato PDF fare clic qui

IPv4 2 IPv6 Transition

E' stato aperto un nuovo forum su ISAserver.it dedicato ad un problema molto interessante e di attualità. La transizione delle reti da piano di indirizzamento IPv4 a IPv6. Il forum è dedicato principalmente agli ambienti Windows Vista, Windows Server 2008. Entrambi i prodotti hanno ricevuto la certificazione IPv6 Ready. E' importante ricordare che al momento la versione Beta di Forefront TMG non supporta IPv6, sia in forma nativa che incapsulata - 6to4, ISATAP, Teredo ecc. -. Ovviamente è logico aspettarsi che questo cambierà nella versione definitiva visto che competitor di ISA Server  supportano IPv6 già da tempo.

Quindi credo che sia più che adatto il forum su IPv6 in ISAserver.it. Così possiamo cominicare a lavorarci sopra e prenderci confidenza. 

Da ora in poi oltre all' IPv4 127.0.0.1 possiamo anche utilizzare, sui sistemi Vista e Windows 2008,  l'equivalente IPv6 ::1. Ecco di seguito l'esito del comando ping ::1 su una Macchina Windows 2008. 

 
Di seguito un estratto dal Technet che riporta il non supporto di IPv6 per TMG:

• Forefront TMG denies all IPv6 traffic.
• ISATAP (Intra-Site Automatic Tunnel Addressing Protocol) is disabled.
• The 6to4 interface is disabled. This mechanism allows IPv6 packets to be transmitted over an IPv4 network.
• Whenever the Forefront TMG Control service restarts the Forefront TMG server reregisters with DNS to ensure that there is only an A record registered for the server, and no AAAA (IPv6) record. It also clears the DNS, Address Resolution Protocol (ARP), and Neighborhood Discovery (IPv6 version of ARP) caches.

Per collegarsi direttamente al forum dedicato a IPv4 -> IPv6 Transition fare clic qui

Webcast su Microsoft Hyper-V di VMexperts.org

VMexperts.org ha organizzato un Webcast della durata di 1h e 30' sulla soluzione di virtualizzazione Microsoft Hyper-V. Si terrà Lunedì 30 giugno dalle ore 14:30 alle ore 16:00.

La partecipazione al webcast è gratuita.

Possono partecipare al Webcast solo 15 persone, ne saranno comunque registrate 20.

La partecipazione al Webcast è riservata ai membri della Community di VMexperts.org. Per diventare membri  basta registrarsi sul forum di VMexperts.org.

Ulteriori informazioni sul programma e sui requisiti software per partecipare sono presenti nella pagina Training di VMexperts.org.

Per collegarsi alla pagina training fare clic qui

Buon webcasting

Luca

ISAserver.it aggiornamenti del sito Web

Il sito web di ISAserver.it in questi giorni è stato oggetto di modifiche piu' o meno profonde. Queste modifiche continueranno per tutta l'estate. Entro settembre ISAserver.it raggiungerà la sua nuova struttura. Intanto alcune novità sulle nuove sezioni introdotte e disponibili:

1. Utility Software per ISA Server e Forefront TMG - visita la sezione
2. Soluzioni Hardware ISA Server - visita la sezione
3. Libreria di ISAserver.it - visita la sezione

Sia le nuove sezioni che quelle attualmente presenti sono in fase di modifica. E' in programma la riorganizzazione dell'intero sito web. Sono certo, almeno è quello che mi auguro, che ISAserver.it riuscirà a consolidare ulteriormente la sua posizione di Community Tecnica di qualità dedicata a ISA Server e Forefront TMG.

Non perdete i webcast di giugno su Forefront TMG

WebCast di ISAserver.it - 27 e 30 Giugno - Gratis

Il 27 ed il 30 Giugno si terranno due Webcast organizzati da ISAserver.it. La partecipazione ai webcast è riservata ai membri della Community di ISAserver.it ed e' limitata a 15 persone. Saranno accettate le prime 20 adesioni dopodichè la pagina di registrazione sarà bloccata.

La partecipazione ai Webcast di Giugno e Luglio è gratuita.

Venerdi' 27 Giugno, ore 11:00 (60')

Forefront TMG  - Installazione e prima configurazione

Lunedi' 30 Giugno, ore 11:00 (60')

Forefront TMG - Configurare la Web Access Policy e le funzionalità Antimalware di Forefront TMG

Per poter participare al webcast è necessario un browser - es. Internet Explorer, Firefox -, una connessione ad Internet ad alta velocità, audio.

Si consiglia di utilizzare un monitor con risoluzione 1024x768 o superiore.

Per registrarsi fate riferimento alla pagina training di ISAserver.it - http://www.isaserver.it/training

Network Monitor 3.2 Beta - Disponibile per il download

L'analizzatore di protocollo di casa Microsoft ha raggiunto la versione 3.2. Questa versione, attualmente in Beta, è disponibile per il download direttamente dal sito Connect di Microsoft.

Per accedere al sito connect è necessario un Live ID.

Una volta autenticati sul sito connect dovete inviare la richiesta di partecipazione al programma, dopodichè potete scaricare il nuovo Network Monitor 3.2 Beta direttamente da qui

Network Monitor 3.2 Beta  è disponibile per le piattaforme x86, x64 e IA64.  Inlcude inoltre il supporto del formato PCAP - vedi Wireshark, WinDump, Snort ecc. -. Sono supportati Windows XP, Windows Vista, Windows Server 2003 e Windows Server 2008.

Il blog del Team Microsoft dedicato a Network Monitor.

TCP/IP Fundamentals for Microsoft Windows V 2.0

E' stata aggiornata la guida al TCP/IP di Microsoft Windows. Include il TCP/IP anche per i sistemi operativi Windows Vista e Windows Server 2008. All'interno di questa guida, di ben 560 pagine - praticamente quanto un Training Kit - si trova veramente tutto ciò che riguarda il TCP/IP di Windows. Il file, di quasi 5MB, è scaricabile in formato PDF. Di seguito la drescrizione direttamente dal sito Microsoft:

"...This online book is a structured, introductory approach to the basic concepts and principles of the Transmission Control Protocol/Internet Protocol (TCP/IP) protocol suite, how the most important protocols function, and their basic configuration in the Microsoft Windows Vista, Windows Server 2008, Windows XP, and Windows Server 2003 families of operating systems. This book is primarily a discussion of concepts and principles to lay a conceptual foundation for the TCP/IP protocol suite and provides an integrated discussion of both Internet Protocol version 4 (IPv4) and Internet Protocol version 6 (IPv6)..." 

Se avete consultato una guida - Microsoft e NON - attinente alle finalità di ISAserver.it e l'avete trovata particolarmente interessante e utile segnalatemela, sara' mia cura valutarla e pubblicarla sul blog.

Per scaricare la guida fare clic qui

Progetto per automatizzare la creazione di Exploit

Per chi si occupa di sicurezza è noto che al rilascio delle Security Patch corrisponde il rilascio di exploit generati con un processo di reverse engineering.  La Security Patch viene così sfruttata per ottenere informazioni sulla vulnerabilità; queste stesse informazioni sono utilizzate per generare del codice maligno - alias exploit -, che la sfrutta. Dal momento in cui viene rilasciata pubblicamente la security patch - es. Windows Update, Microsoft Update - inzia la corsa contro il tempo, fra chi deve applicarla e chi la sfrutta per generare l'exploit per attaccare le macchine non protette. Il processo di reverse engineering genera codice sorgente sulla base del contenuto binario dell'eseguibile. Infatti tutte le software house vietano espressamente questa pratica.

La domanda che si sono posti alcuni ricercatori - David Brumley, Pongsin Poosankam, Dawn Song, and Jiang Zheng - della Carnagie Mellon University è se fosse possibile automatizzare il processo di generazione degli Exploit sulla base delle security Patch rilasciate.

La risposta è affermativa!

Con alcune eccezioni, il progetto ha dimostrato che, dal rilascio della security patch, dopo una manciata di minuti, è già disponibile l'exploit che sfrutta la vulnerbilità.

Di seguito l'abstract dell'articolo:

Abstract
The automatic patch-based exploit generation problem is: given a program P and a patched version of the program P', automatically generate an exploit for the potentially unknown vulnerability present in P but fixed in P'. In this paper, we propose techniques for automatic patch-based exploit generation, and show that our techniques can automatically generate exploits for vulnerable programs based upon patches provided via Windows Update.

In many cases we are able to automatically generate exploits within minutes or less. Although our techniques may not work in all cases, a fundamental tenet of security is to conservatively estimate the capabilities of attackers. Thus, our results indicate that automatic patch-based exploit generation should be considered practical. One important security implication of our results is that current patch distribution schemes which stagger patch distribution over long time periods, such as Windows Update, may allow attackers who receive the patch first to compromise the significant fraction of vulnerable hosts who have not yet received the patch. Thus, we conclude update schemes, such as Windows Update as currently implemented, can detract from overall security, and should be redesigned.

What does this mean?
Attackers can simply wait for a patch to be released, use these techniques, and with reasonable chance, produce a working exploit within seconds. Coupled with a worm, all vulnerable hosts could be compromised before most are even aware a patch is available, let alone download it. Thus, Microsoft should redesign Windows Update. We propose solutions which prevent several possible schemes, some of which could be done with existing technology.

Download del documento in PDF

Questo deve essere da stimolo ad adottare soluzioni di patch management efficaci ed efficienti, specialmente per ciò che riguarda i servizi resi su Internet. Da questo punto di vista ISA Server operando su più livelli - Multilayer Inspection Firewall - ha modo di limitare l'effetto degli exploit sui server pubblicati.

Nella settimana della sicurezza in rete Microsoft rende disponibile gratuitamente un Security Checkup del proprio sistema informativo (sotto i 25 PC).

Se volete fare da soli potete utilizzare anche l'utilissimo strumento (gratuito) Microsoft Security Assessment Tool.

Proteggere il proprio monitor da occhi indiscreti :-)

Questo post ha molto poco a che fare con ISA Server ma è così originale che ho deciso di scriverlo. Per chi si occupa di sicurezza o si interessa di sicurezza informatica uno dei problemi da risolvere è come proteggersi da occhi indiscreti quando operiamo al computer, in particolare con i notebook in ambienti pubblici - es. aereoporti, in treno ecc. -. Questo è lo strumento che deve entrare a far parte del vostro Security Kit.. :-)

In questo modo non vedranno il vostro monitor ma sicuramente vedranno VOI!!!

Se qualcuno si vuole cimentare nel test di questo ed altri concept può consultare il sito web Sternlab, troverà anche una valida soluzione per le tastiere e cellulari.

VMexperts.org è ONLINE!

Finalmente VMexperts.org è online! L'obiettivo di VMexperts.org è quello di creare un punto di incontro/confronto fra i professionisti Italiani che operano nel mondo della virtualizzazione.

Un luogo dove affrontare le numerose problematiche tecniche che gravitano intorno al mondo della virtualizzazione.

Un luogo dove è possibile confrontarsi in maniera trasversale prescindendo dai forum/newsgroups  di supporto ufficiale resi disponibili dalle varie software house.

VMexperts.org è una nuova sfida che nasce a seguito della esperienza positiva maturata con la Community di ISAserver.it,  che rappresenta la prima community a livello Italiano ed Europeo su Microsoft ISA Server.

VMexperts.org segue quindi le orme di ISAserver.it, sia nella forma - il layout web è lo stesso - che nella filosofia; ma VMexperts.org è una Community completamente nuova ed aperta a nuove idee.

Mi auguro davvero che intorno a VMexperts.org si crei e cresca una Community tutta italiana sulla Virtualizzazione con momenti di confronto sia online che in presenza - vedi Virtual Discovery 2008 di Maggio u.s. - .

Al momento VMexperts.org è focalizzata principalmente sulle tecnologie di virtualizzazione di VMware, Microsoft e Citrix anche se sono presenti nel forum sezioni dedicate a xVM, Oracle VM e KVM. Questa scelta, proprio sulla base delle vostre indicazioni, potrà essere ripensata.

Sono i programma la scrittura di articoli su Microsoft Hyper-V, su VMware ESX, VMware Server e Citrix XenServer - così come sessioni in webcast che partiranno in maniera piu' organica dopo l'estate-.

VMexperts.org non dispone di hardware per poter provare i vari ambienti di virtualizzazione, storage ecc. In questo ambito il contributo della Community è, e lo sarà sempre, fondamentale.  Se avete affrontato e risolto problematiche di particolare interesse, potreste condividerlo con l'intera community scrivendo sul forum oppure pubblicando direttamente nella sezione articoli di VMexperts.org.

Le sezioni al momento presenti su VMexperts.org sono:

• Forum
• Blog
• Articoli
• Software Dowload
• Training

Altre sezioni seguiranno, cosi' come quelle presenti potranno essere modificate, ampliate o eliminate. VMexperts.org è ovviamente aperta a commenti, suggerimenti e contributi. Le prossime settimane ed i prossimi mesi saranno davvero stimolanti; così come è stimolante tutto ciò che ruota intorno al mondo della Virtualizzazione. 

Augurandomi che VMexperts.org abbia successo auguro a tutti i futuri membri Buon Lavoro

Luca Conte

"ISA Server Essentials" goes online!!

Per chi non ha modo, per motivi logistici di partecipare a ISA Server Essentials di Luglio a Firenze, potrà partecipare alla sessione online che si terrà il 22 Luglio, dalle 9.00 alle 17.00. La sessione seguirà lo stesso programma con stessi costi. Per chi partecipa alla sessione il risparmio in termini di tempo e denaro è notevole.
Essendo questa la prima sessione erogata online, il numero di partecipanti sarà limitato a 15.

In questa sessione è prevista anche attività di laboratorio che sarà direttamente monitorata da me. I partecipanti riceveranno tutte le indicazioni per partecipare alla sessione di training e laboratorio in remoto.

Per poter partecipare ad ISA Server Essentials è necessario essere membri della community di ISAserver.it.

Per partecipare alla sessione non è necessaria l'installazione di alcun software -ad esclusione di Virtual PC 2007 per l'esecuzione dei LAB -!!

Di seguito vi riporto i dettagli di ISA Server Essentials.

Titolo: ISA Server Essentials
Data: 22 Luglio 2008
Sede: online
Partecipanti Max: 15
Costo: 99€+IVA*
Preregistrazione: qui
Programma:
- Installazione di ISA Server 2006
- Controllo degli accessi ad Internet con la Firewall Policy
- Creazione di una Black/White List
- Pubblicazione di server Web
- Pubblicazione di server di posta
- Configurazione di ISA Server 2006 come server VPN
Una miscela perfetta di Teoria e Pratica per mettere immediatamente in pratica ciò che si è imparato. Tutto in un solo giorno.
(*)Esclusa la documentazione

Requisiti di sistema sessione online:
Connessione ad Internet ADSL
Browser Internet Explorer 6.0 o successivi
Per l'esecuzione delle VM dei laboratori:
OS: Windows XP/Vista
RAM: >=1GB (2GB con Vista)
HD: >=10 GB di spazio disponibile (consigliato disco esterno USB)

Per ulteriori informazioni potete scrivermi a lconte@isaserver.it, così come sul forum di ISAserver.it nella sezione Eventi - Commenti, suggerimenti e critiche.

Le iscrizioni sono aperte e si chiuderanno Lunedì 14 luglio. Le iscrizioni vengono elaborate in ordine di arrivo.

Settimana della Sicurezza in rete dal 7 al 14 giugno

"..La settimana della Sicurezza in Rete è la campagna nazionale di sensibilizzazione per la protezione e la sicurezza online che si propone di aiutare gli utenti della Rete anche mediante la diffusione di risorse certificate..." - fonte: sicurezzainrete7x24.org 

Microsoft è il principale sponsor di questa inziativa - con il patrocinio del Ministero dello sviluppo Economico -, affiancata da Expedia, Norton (from Symantec), Webank.it; l'elenco di chi collabora al progetto è lunga - es.Polizia Postale, Agenzia AGR, Unione Nazionale Consumatori, Dada Skuola.net ecc. -

Il sito web è raggiungibile all'indirizzo web http://www.sicurezzainrete7x24.org/

Il sito è diviso in quattro sezioni:

• I cittadini di Internet
• Teen-ager
• Famiglie e Scuole
• Piccole imprese

Sono presenti Video interviste ed altro ancora aggiornati quotidianamente con nuovi contenuti e documenti...Per iniziare vi consiglio di vedere il videoteaser che trovate in homepage...veramente simpatico!
Il fine di questa campagna è sensibilizzare maggiormente l'opinione pubblica al problema della sicurezza informatica!!

ISAserver.it sostiene ufficialmente questa iniziativa; è fra le Community  che trovate nella sezione Amici della Sicurezza in Rete insieme ad altre Community Italiane.

Buona navigazione e buona settimana della sicurezza

Automatic Discovery (WPAD) vs DNS Server Global Query Block List (W2k8)

Una delle funzionalità di protezione introdotte in Windows Server 2008 influenza il comportamento del resource record WPAD. Quest'ultimo viene utilizzato dai client WEBProxy e Firewall Client per rilevare automaticamente il server ISA presente in rete e ricevere la relativa configurazione (wpad.dat).

Nell'articolo Automatic Discovery con ISA Server 2006/2004 abbiamo visto come configurare il DHCP ed DNS in esecuzione su Windows Server 2003 per configurare automaticamente i client.

Windows Server 2008 introduce per il DNS una nuova funzionalità di protezione, la Global Query Block List. Grazie a questa funzionalità, attiva di default, il server DNS di Windows Server 2008 impedisce la risoluzione dei nomi per nome host WPAD registrati nella zona DNS gestita dal nostro server DNS. Indipendentemente dal fatto che il resource record WPAD sia stato creato a mano dall'amministratore oppure mediante il processo di Dynamic Update. La funzionalità introdotta con Windows Server 2008 vuole andare a scongiurare proprio quest'ultima condizione - WPAD creato tramite Dynamic Update da server non autorizzati -. Purtroppo non esiste un meccanismo che permetta di garantire che il server che pubblica il file di configurazione wpad.dat sia un ISA Server e non un qualunque altro server non sotto il nostro diretto controllo. 

Questa problematica la vedremo con maggior dettaglio in un'altro articolo. Per ora quello che ci interessa è riabilitare la risoluzione dei nomi per il record WPAD. Per riuscirci dobbiamo istruire il server DNS affinché risolva query anche con nome host WPAD. Prima di tutto verifichiamo se è attiva la Global Query Block List. Basta eseguire sul nostro server DNS Windows Server 2008 il comando:

dnscmd /info /enableglobalqueryblocklist

Se il valore restituio è 1 (default) allora è attiva.

Per visualizzare l'elenco dei nomi host bloccati basta eseguire il comando

dnscmd /info /globalqueryblocklist

Di default sono bloccate le query per nomi host WPAD e ISATAP.  Se vogliamo utilizzare il server DNS Windows 2008 ed implementare il WPAD allora dobbiamo rimuovere dalla Global Query Block List i nomi host bloccati. Per farlo basta lanciare il seguente comando

dnscmd /config /globalqueryblocklist

In questo modo svuotiamo TUTTA la lista. Possiamo verificare che la lista risulta TUTTA svuotata lanciando nuovamente il comando:

dnscmd /info /globalqueryblocklist

Se abbiamo seguito la procedura indicata nell'articolo Automatic Discovery con ISA Server 2006/2004 siamo pronti per utilizzare il WPAD ed il nostro nuovo server DNS in esecuzione su Windows Server 2008.

Nota: per riabilitare la Global Query Block List basta utilizzare il seguente comando aggiungendo anche i nomi host da bloccare:

dnscmd /config /globalqueryblocklist wpad isatap

Per domande e commenti vi aspetto sul forum di ISAserver.it

Throubleshooting di ISA Server - Risorse online

Di seguito vi riporto quelle che sono le risorse ufficiali Microsoft per il supporto di Microsoft ISA Server 2006/2004. In particolare la sezione General contiene chiare indicazioni sulle configurazioni NON supportate dal PSS Microsoft. Questi sono i principali riferimenti che andremo a consultare tutte le volte che qualcosa "NON VA"...e non è detto che il problema sia ISA Server!

Setup

• Troubleshooting Setup

Clients

• Troubleshooting Web Access for Internal Clients
• Troubleshooting Outbound FTP Access in ISA Server
• Troubleshooting Firewall Clients in ISA Server 2004
• Troubleshooting Client Authentication on Access Rules in ISA Server 2004

VPN

• Troubleshooting VPN over IPsec
• Troubleshooting Virtual Private Networking

Performance

• How to Back Up and Restore an ISA Server Enterprise Configuration (Enterprise Edition)
• Monitoring and Troubleshooting Performance

Networks

• Troubleshooting Network Configuration in ISA Server 2004

Monitoring and Logging

• Troubleshooting Alert Action Failures
• Troubleshooting Logging

Enterprise Edition

• Troubleshooting Host IDs in ISA Server 2004 Enterprise Edition
• Troubleshooting Network Load Balancing in ISA Server 2004 Enterprise Edition
• Troubleshooting Configuration Storage Servers in ISA Server 2004 Enterprise Edition

General

• Troubleshooting HTTP 502: The Uniform Resource Locator (URL) does not use a recognized protocol
• Troubleshooting Automatic Detection
• Troubleshooting Unsupported Configurations  << Configurazioni NON supportate!!
• Troubleshooting SSL Certificates in ISA Server 2004 Publishing
• Troubleshooting Web Proxy Traffic in ISA Server 2004
• Troubleshooting Outlook Web Access Publishing

Inoltre il team di sviluppo di ISA Server/Forefront TMG ha reso, e rende continuamente, disponibili numerose risorse per il throubleshooting di ISA Server di notevole valore tecnico:

• Isolating problems that seem to be related to ISA Server - Part I
• Isolating problems that seem to be related to ISA Server – Part II
• Isolating problems that seems to be related to the ISA Server – Part III
• Isolating problems that seem to be related to ISA Server– Part IV

ISA Server 2006 SP1 in Action (Demo)

Pur non essendo ancora stato rilasciato il Service Pack 1 è possibile prendere visione delle nuove funzionalità introdotte tramite i seguenti video realizzati da Yuri Diogenes (Support Engineer di Microsoft). Di seguito le demo realizzate e pubblicamente visionabili:

"...
Demo 1 – Configuration Change Tracking

This demo shows the functionalities of this new feature and how to easily identify what change was done in the Firewall Policy.

Demo 2 – Web Publishing Rule Test Button

Very cool feature that can be used proactively to see if the publishing rule is working (prior to put in production) or reactively while troubleshooting an issue.

Demo 3 – Traffic Simulator

Tired to wait for the user to be able to see the error that he is receiving when accessing a web site? Now you can do your own simulation with this tool.

Demo 4 – Diagnostic Logging Query

With this integration you will be able to understand exactly what is going on when ISA is processing your request.

..."

Ulteriori informazioni sono disponibili qui

Alcune Foto di ISA Server Jumpstart (2008/2007)

Non sono un amante delle fotografie durante le sessioni, non sono presenti tutti i partecipanti - mea culpa -. Mi impegno a realizzare un più rispondente "reportage" fotografico per le prossime edizioni.
Grazie a Giulio (ISACab) e Antonio (Jumpstart 2007) per aver messo a disposizione il loro tempo per scattare alcune di queste foto.

Grazie 1000

Luca

Alcune foto della edizione 2008 - Reggio Emilia

Foto di gruppo della edizione 2007 - Reggio Emilia

Installare Forefront TMG - Step 1

Per poter installare Forefront TMG è necessario un dominio Active Directory. Il dominio può essere realizzato con Microsoft Windows Server 2003 o Microsoft Windows Server 2008.

Nota: Su come creare un dominio Active Directory con Windows Server 2008 è possibile seguire la guida realizzata da Graziano Mariella su Networkline.org, nel caso in cui incontraste dei problemi potete chiedere aiuto direttamente nel forum dedicato a Windows Server 2008.

Io farò riferimento ad un dominio Active Directory Windows Server 2003 R2 - edu.lucaconte.it -.  Il server su cui sarà installato Forefront TMG sarà FI-TMG.edu.lucaconte.it.

Prima di procedere con l'installazione di Forefront TMG è necessario verificare che siano soddisfatti i requisiti minimi Hardware e Software così come riportati nella seguente tabella - ulteriori informazioni sono disponibili qui -.

OS	Windows Server® 2008 64-bit
RAM	>=1GB
HD	150 MB - NTFS
NIC	1 NIC, almeno 2 se vogliamo implementare la configurazione Edge (Perimetro). In questo articolo vedremo la configurazione Edge.

 

Dalla tabella dei requisiti si vede chiaramente che la versione Beta NON è installabile su OS a 32bit. La versione definitiva potrà essere installata su OS a 32 bit in ambienti non di produzione (stessa politica di Exchange 2007 e di quasi tutti i nuovi prodotti server Microsoft). Questa versione Beta non gestisce traffico IPv6, sia nativo che incapsulato in IPv4. Come motore di logging utilizza solo SQL Server 2005 Express, richiede inoltre IIS, ma non vi preoccupare se non è presente il programma di Setup provvede  automaticamente alla installazione (ma non alla disinstallazione).  

Una volta che ci siamo procurati la versione Beta - su come procurarsela basta leggere qui - , ci basta lanciare il file ForefrontThreatManagementGatewayBeta.exe (ca. 300MB) per avviare il processo di decompressione. Al termine del quale lo spazio occupato sarà di ca. 340MB.

 
La versione di TMG che andremo ad installare è la 6.0.6388.100.

 

Prima di avviare l'installazione di Forefront TMG, al pari di quando si deve avviare l'installazione di Microsoft ISA Server, è necessario svolgere un lavoro preparatorio. Il server su cui andiamo ad installare TMG è un server Windows Server 2008 Enterprise Edition 64-bit con due schede di rete. Una è utilizzata per comunicare con il dominio edu.lucaconte.it la seconda è utilizzata per connettersi ad Internet mediante router di frontiera.

Di seguito è riportata la configurazione delle due interfacce di rete:

 

Configurazione LAN

 

Nome	Configurazione
LAN	IP: 192.168.10.254/24 DNS: 192.168.10.114

 

 

 

Il Server DNS in un dominio Active Directory è spesso associato al Domain Controller. Nel nostro caso l'indirizzo IP del DNS è proprio l'indirizzo IP del domain Controller.

Configurazione WAN

 

Nome	Configurazione
WAN	IP: 10.10.10.254/24 DG: 10.10.10.1

 

 

 

 

Il Default Gateway è spesso rappresentato dall'indirizzo IP della interfaccia LAN del router di frontiera, a volte di proprietà del nostro fornitore di connettività.

 

Nota: LAN e WAN devono essere su due subnet separate - logicamente e fisicamente - quindi NON devono essere collegate, a meno di non usare VLAN, allo stesso Switch!!

   

Il Default Gateway è configurato SOLO sulla interfaccia WAN. Nel caso in cui fossero presenti subnet di sedi remote è necessario configurare su Forefront TMG delle route statiche permanenti tramite il comando route -p ADD. Sulla interfaccia WAN NON è configurato il DNS. Il DNS interno provvederà a risolvere i nomi tramite l'utilizzo di un forwarder - oggetto di un prossimo articolo -.

Nota: Sulla interfaccia WAN (TCP/IP) devono essere disabilitati anche tutte i servizi di rete NON necessari. Nella Beta questa operazione non verrà fatta.

 

Configurare il Binding delle schede di rete

Una volta completata la configurazione delle tue schede di rete è necessario configurare il binding per fare si che la interfaccia di rete LAN sia "consultata"  per prima quando è necessario utilizzare un qualunque servizio di rete - es. logon al dominio -. Nella sezione Network Connections ci basta selezionare Advanced  | Advanced Settings

 

Dopodichè tramite i pulsanti a freccia posizionare in alto (la prima dall'alto) la scheda di rete LAN e cofermiamo la configurazione.

A questo punto la configurazione delle interfacce di rete è completata. Nel prossimo articolo passiamo alla installazione vera e propria di Forefront TMG. Per domane e commenti vi aspetto sul forum di ISAserver.it.

Sarà Forefront TMG ma oggi è ancora ISA Server

Come ormai sappiamo ISA Server, come nome distintivo del firewall Microsoft, è soppiantato da Forefront Threat Management Gateway (TMG). La famiglia Forefront ha assimilato - per i nostalgici di Star Trek -anche ISA Server. Installando la Beta si vede subito nell'interfaccia che il nome ISA Server non è più presente, ma è proprio sparito del tutto? Ancora NO. Non guardiamo la documentazione...ma la parte funzionale, di sistema. ISA Server c'è!

 

In quale cartella si installa il nostro Forefront TMG?
In Program Files (x86)\Microsoft ISA Server.

Mi sarei aspettato subito un cambio in \Microsoft Forefront TMG invece no. Lo so che non è niente di che...ma giusto per mantere ancora vivo un nome che ci ha accompagnato dalla versione 2000. Insomma il nostro ISA Server, il cui cuore ancora batte in Forefront TMG, ancora per un pò ci farà compagnia anche grazie al fatto che Microsoft NON supporta installazioni di Forefront TMG in una cartella DIVERSA da quella di default che è appunto Microsoft ISA Server.

Forefront Threat Management Gateway (TMG) - Documentazione & Download

Documentazione Forefront TMG
Microsoft ha già reso disponibile una versione preliminare della documentazione su Forefront TMG. La documentazione generale è consultabile direttamente dal sito Technet. Di seguito alcune delle sezioni più significative. 

Note di rilascio:

• Release Notes for Forefront Threat Management Gateway

Requisiti di Sistema/Installazione/Migrazione:

• System requirements
• Installing and migrating

Documentazione sul motore antivirus/antimalware:

• Planning for malware inspection
• Managing advanced malware inspection settings 

Web Access Policy:

• Planning Web access policy

Caching:

• Configuring caching

Download Forefront TMG
Forefront TMG è disponibile per il download insieme agli altri componenti della soluzione di protezione Microsoft nota con il nome in codice "Stirling". L'installazione di Stirling è gia' stata oggetto di un mio precedente post.

Fare clic qui per scaricare Forefront TMG (302.7MB) - ForefrontThreatManagementGatewayBeta.exe

Una volta scaricato il file basta lanciare l'eseguibile per avviare la decompressione del file.

Per poter utilizzare la versione Beta di Forefront TMG è necessario un dominio Active Directory.

L'installazione di Forefront TMG sarà oggetto del prossimo articolo.