Het einde van de Threat Management Gateway

In 2009 heeft Microsoft de opvolger van de ISA 2006 server uitgebracht, genaamd de Threat Management Gateway (TMG). Ondanks het succes van TMG heeft Microsoft in 2012 besloten om te stoppen met TMG. Dit betekent dat op 14-04-2015 de algemene ondersteuning voor de TMG afloopt. Concreet betekent dit: geen ‘non-security Hotfix’, garantie, kosteloze ondersteuning en nieuwe features of andere aanpassingen.

De verlengde ondersteuning loopt tot 2020, maar Microsoft verlangt wel dat er een extra ondersteuningscontract wordt afgesloten. Heeft u dit niet gedaan, dan is er ook geen garantie dat u geholpen gaat worden. Gebruikt u momenteel TMG? En vraagt u zich af wat u moet gaan doen? Dit artikel  van Martijn Bellaard helpt u op weg om hierover een helder beeld te krijgen.

Wat is Threat Management Gateway?

Voor we kunnen vaststellen met welke software of appliance we de TMG kunnen vervangen, moeten we eerst helder hebben wat de TMG precies is en wat hij kan. Om met de eerste vraag te beginnen, de TMG is (was) een Unified Threat Management. Een UTM is het Zwitsers zakmes onder de beveiligingsproducten. De TMG heeft dan ook meerdere securityproducten samengevoegd in één stuk software. De functies die TMG uitvoert, zijn:

TMG als firewall
TMG is een application layer firewall. Dit betekent dat netwerkverkeer tot aan de applicatielaag wordt gecontroleerd door de TMG. Deze stopt netwerkaanvallen, zoals een DOS-aanval, en inspecteert inkomend verkeer op de aanwezigheid van virussen. Hierbij beschikt hij over de mogelijkheid om te kijken in encrypted verkeer.

TMG als proxy
Proxy functionaliteit maakt het mogelijk internetverkeer via TMG te reguleren. Op basis van iemands Active Directory account, is te bepalen welke website op welk moment bekeken mag worden. Elke download wordt gecontroleerd op de aanwezigheid van virussen, die tegengehouden worden door de TMG.

TMG als reverse proxy
De TMG is vooral bekend geworden als reverse proxy voor Exchange, waarbij de TMG-server als FrontEnd server dient. Na authenticatie van de gebruiker op de TMG, krijgt deze toegang tot zijn of haar mailbox. Vooral de mogelijkheid om user authenticatie op de TMG plaats te laten vinden, is een belangrijk voordeel. De TMG kan naast Exchange ook SharePoint, Remote Desktop Services, websites en andere diensten publiceren op het internet. Veel organisaties hebben dan ook gekozen voor de TMG vanwege de reverse proxy functionaliteit.

TMG als SMTP-gateway
Een minder bekende optie van TMG is de SMTP-gateway. Hierbij wordt de TMG ingezet als anti-spamoplossing. De TMG bevat een aantal basis anti-spam security features. Boven op de TMG wordt de Exchange en ForeFront geïnstalleerd. Dit geeft de mogelijkheid de TMG te koppelen aan een interne Exchange omgeving. Hierbij doet de TMG dienst als Exchange Edge server en houdt op die manier alle spam tegen.

TMG als VPN-server
De TMG kan ook dienst doen als VPN-server. In de eerste plaats als VPN-servers voor clients. Hierbij kan een connectie gemaakt worden over PPtP, LT2P en SSL. Het installeren van een client is niet noodzakelijk, omdat Windows standaard de client bevat. De VPN-functionaliteit van de TMG kan ook site-to-site VPN maken. Hierbij kan de keuze gemaakt worden tussen een TMG-to-TMG VPN of een TMG-to-OtherRouter VPN.

Kortom, de TMG was en is nog steeds een hele mooie UTM-oplossing voor het midden- en kleinbedrijf. Maar… het support voor TMG stopt in 2015 en de vraag voor veel organisaties is dan ook: ”Hoe nu verder?”.

Hoe nu verder?

Deze vraag hebben we ons bij TriOpSys ook gesteld. Over het antwoord kunnen we heel kort zijn: “koop een andere UTM!”. Natuurlijk is dit waar het in eerste instantie ook op neerkomt, maar er is wel een aantal zaken waarover nagedacht moet worden.

Wat doet de TMG?
In de vorige paragraaf hebben we vastgesteld welke functies de TMG allemaal kan ondersteunen. De eerste vraag die dus gesteld moet worden, is: “Welke van deze functies worden binnen uw organisatie gebruikt?”. Het vinden van het antwoord op deze vraag is niet extreem moeilijk, maar het vraagt wel kennis van de TMG. Het gaat namelijk niet alleen om de functies die gebruikt worden, maar ook om hoe ze geconfigureerd zijn.

De locatie van de TMG
Een tweede vraag die beantwoord moet worden, is wat de locatie is van de TMG. Nu lijkt dit een voor de hand liggende vraag, hij staat tenslotte in de serverruimte en is waarschijnlijk virtueel. Dat is dan ook niet wat bedoeld wordt. De TMG maakt onderdeel uit van het netwerk en heeft dus binnen dat netwerk een logische plaats gekregen. Waar deze logische plaats is, is belangrijk. Hoe komen gebruikers netwerktechnisch bij de TMG, hoe komt de TMG netwerktechnisch bij de backend, internet, etc.?

Rules van de TMG
Een derde vraag is welke rules er zijn aangemaakt binnen de TMG. Afhankelijk van de functies die gebruikt worden, is er vaak al een basisset regels aangemaakt, maar de meeste organisaties passen de regels aan om beter aan te sluiten bij de behoeftes die er zijn. Het is belangrijk te weten welke regels ooit zijn aangemaakt en waarom.

Certificaten
Het gebruik van SSL-certificaten is de laatste jaren flink toegenomen. Het lezen van webmail, het benaderen van een intranet of het opbouwen van een VPN gaat vaak samen met een SSL-certificaat. Op de TMG zijn waarschijnlijk een of meerdere SSL-certificaten aanwezig. Sommige worden nog gebruikt en sommige niet meer. U moet dus bepalen wat u gaat doen met uw certificaten. Nieuwe certificaten kopen voor de nieuwe firewall, of de huidige certificaten hergebruiken?

Nu, vandaag de dag
De TMG staat waarschijnlijk al een aantal jaar vrolijk te snorren, aangezien deze in 2010 is uitgekomen. Toen zag het ICT-landschap er heel anders uit. De eisen die een organisatie stelt aan ICT, zijn de afgelopen jaren sterk veranderd. Cloud computing, Het Nieuwe Werken, gastnetwerken en BYOD zijn belangrijke thema’s voor een ICT-afdeling geworden. De vraag is dan ook of de TMG in de huidige configuratie nog wel voldoet. Moet er een één op één vervanging komen of juist een meer gedifferentieerde oplossing? Kiest u opnieuw voor het Zwitsers zakmes of gaat u juist voor meerdere oplossingen die gespecialiseerd zijn in één deelgebied? Welke nieuwe security uitdagingen zijn erbij gekomen en wilt u nu adresseren? Allemaal vragen die vooraf beantwoord moeten zijn.

Conclusie

Stap 1 bij het vervangen van de Threat Management Gateway is duidelijk te krijgen welke rollen hij op dit moment vervult en hoe hij is geplaatst in de infrastructuur. Hiervoor zal een onderzoek gedaan moeten worden naar de aanwezige rollen.
Stap 2 is helder krijgen welke wensen er zijn vanuit de organisatie. Wordt er meer gebruikt gemaakt van Cloud, is Social Media een belangrijk punt in de organisatie, enzovoort? Een organisatie verandert en dat moet meegenomen worden in de beslissingen.
Stap 3 is het securitybeleid. Wat zegt deze over security, welke eisen worden gesteld? Een firewall is een securityproduct, het securitybeleid zal dus invloed hebben op de te kiezen oplossing.
Stap 4 is bekijken welke alternatieven er zijn. Hierbij worden stap 1 t/m 3 als input meegenomen. Vervolgens onderzoekt u welke oplossingen er zijn en kiest u de optimale oplossing voor uw organisatie.

Hulp nodig?

Vanuit TriOpSys helpen we u graag verder. Daarvoor hebben we een speciale Quickscan ontwikkeld: ‘De TMG vervanging Quickscan’. Deze scan duurt maximaal 1 dag en heeft een vaste prijs van € 500,-. Onze specialist komt dan bij u langs en legt u de huidige securitymarkt uit, welke opties en mogelijkheden er zijn. Daarna bespreekt hij de wensen van uw organisatie. Tot slot kijkt hij naar de configuratie van de TMG en de locatie in de infrastructuur. Binnen een week ontvangt u een handzaam rapport met daarin de bevindingen, een mogelijk alternatief voor de TMG en een vervolgadvies.

Martijn Bellaard heeft 3 jaar als lead architect bij TriOpSys gewerkt. Begin 2017 heeft hij zijn grote droom gevolgd en is hij docent aan de Hogeschool van Utrecht geworden. Dit artikel is gepubliceerd op 29-01-2015.

Share on FacebookTweet about this on TwitterShare on LinkedInEmail this to someonePrint this page