lundi 28 mai 2012

[Ports used] How to protect TMG with DPM : Part 6


We finally reach the last article for talking about how to protect Forefront TMG/UAG with DPM 2010.

6/ Test and validating
After applying the new configuration on our Forefront TMG box we could now make some tests to from the DPM server. These tests will help us to check that everything goes well:

Warning: some command lines work only on DOS and not on PowerShell.

[Matrice de flux] Protection DPM pour TMG Partie 6


Cet article clôture la série de billets pour la protection d'un serveur Forefront TMG/UAG par DPM 2010.

6/ Test et validation
Après avoir appliqué la configuration au niveau de notre serveur Forefront TMG il est possible d’effectuer les tests suivant depuis le serveur DPM. Ces derniers permettront de vérifier que l’ajout du serveur Forefront TMG à protégé n’échouera plus :

Attention : certaines de ces commandes ne fonctionnent qu’au travers d’une commande DOS et non sous PowerShell.

lundi 21 mai 2012

[Ports used] How to protect TMG with DPM : Part 5


In this article we will see how to configure the DCOM/RPC communication between our DPM and TMG server.

5/ RPC settings
When the access rules are created, RPC filter used by Forefront TMG don't fully support the DCOM call, in this case we will have a denied connection. We will make a workaround to solve this issue by disabling the Enforce Strict RPC Compliance option on Forefront TMG:

[Matrice de flux] Protection DPM pour TMG Partie 5


Dans cette article nous verrons comment configurer le dialogue DCOM/RPC pour la communication entre notre serveur DPM et TMG.

5/ Configuration RPC
Une fois les règles créées il faut savoir que le filtre RPC utilisés par Forefront TMG ne supporte pas totalement les appels DCOM, ce qui peut résulter à des refus de connexion par ce dernier. Nous allons donc contourner le problème en désactivant l’option Enforce Strict RPC Compliance au niveau de notre serveur Forefront TMG :

lundi 14 mai 2012

[Ports used] How to protect TMG with DPM : Part 4


This article describe how to create the access rules on the TMG firewall in order to allow the communication required for DPM, we will also use the protocols created on the previous article.

4/ Access rules
In order to authorize communication between the DPM server and Forefront TMG 2010 the following two access rules are required, on our lab the DPM Servers is a Computer Set object containing the IP address of the DPM server:

[Matrice de flux] Protection DPM pour TMG Partie 4


Cet article décrit la création de règles au niveau du firewall TMG afin d'autoriser les flux utilisés par DPM, en se reposant sur les protocoles créés dans l'article précédent.

4/ Règles d'accès
Afin d’autoriser les échanges entre le serveur DPM et notre serveur Forefront TMG 2010 à protéger les deux règles suivantes seront nécessaires, dans le cas présent l’objet DPM Servers est un objet de type Computer Set regroupant la ou les adresses IP des différents serveurs DPM :

lundi 7 mai 2012

[Ports used] How to protect TMG with DPM : Part 3


After the network prerequisites we could now see how to create our access rules, first we will create the protocol objects required for them.

3/ Protocols

3.1/ Standard protocols
The following protocols will be used by the access rules:
Name
Protocol type
Direction
From
To
DPM Agent Coordinator
TCP
Outbound
5718
5718
DPM Protection Agent
TCP
Outbound
5719
5719
DPM Dynamic Ports
TCP
Outbound
10000
65535

Be careful for the DPM Dynamic Ports protocol, you must be sure that on the DPM and TMG server that they used the default RPC port. To check this you could use the following command line netsh int ipv4 show dynamicport tcp with the following result:


[Matrice de flux] Protection DPM pour TMG Partie 3


Suite aux différents prérequis nous entrons dans le vif du sujet avec la création des protocoles qui seront utilisés par nos différentes règles d'accès.

3/ Protocoles

3.1/ Protocoles standard
Afin de créer les règles d’accès les protocoles suivant devront être créés :
Nom
Protocol type
Direction
From
To
DPM Agent Coordinator
TCP
Outbound
5718
5718
DPM Protection Agent
TCP
Outbound
5719
5719
DPM Dynamic Ports
TCP
Outbound
10000
65535

Attention pour le protocole DPM Dynamic Ports il faudra s’assurer que sur le serveur DPM et Forefront TMG que ces derniers utilisent bien les ports RPC par défaut afin de s’en assurer la ligne de commande netsh int ipv4 show dynamicport tcp devrait renvoyer le résultat suivant :