How DPM 2010 Could Protect Forefront TMG 2010 with a Minimum Opening of Feeds | Proteger Son Serveur Forefront TMG 2010 Avec DPM 2010
Editor's Note: The Following MVP Monday post is by French Forefront: Architecture MVP Lionel Leperlier. This post is also available in English below.
Introduction
Lorsque l’on souhaite protéger son serveur Forefront TMG au travers de Microsoft System Center Data Protection Manager (DPM) 2010, l’on applique naturellement les ports requis listé sur l’article officiel suivant : https://technet.microsoft.com/en-us/library/ff399341.aspx. Cependant l’on rencontre l’erreur suivante lorsque l’on tente de rattacher au niveau du serveur DPM 2010 l’agent DPM installé au préalable sur le serveur Forefront TMG (https://technet.microsoft.com/en-us/library/bb870935.aspx) :
Cette erreur veut simplement dire que des flux sont manquants au niveau de Forefront TMG, nous verrons dans cette article quels sont les différents objets à créer afin de réduire au maximum les ouverture de flux requis pour la protection par le serveur DPM de notre firewall.
Prérequis
Afin que le serveur DPM 2010 puisse accéder au fichier au travers des partages administratif il faudra vérifier sur la carte réseau rattachée au réseau interne que les options suivantes soient bien activées :
- Client for Microsoft Networks
- File and Printer Sharing for Microsoft Networks
Protocoles
Protocoles standard
Afin de créer les règles d’accès les protocoles suivant devront être créés :
Attention pour le protocole DPM Dynamic Ports il faudra s’assurer que sur le serveur DPM et Forefront TMG que ces derniers utilisent bien les ports RPC par défaut afin de s’en assurer la ligne de commande netsh int ipv4 show dynamicport tcp devrait renvoyer le résultat suivant :
Protocols RPC
Puis le protocole RPC spécifique à DPM suivant sera aussi nécessaire, les interfaces devront être ajoutées manuellement au niveau de l’assistant. De plus lors de l’ajout des différents Universally Unique Identifier (UUID) l’option Publish on a Dynamically Assigned Port devra être sélectionnée.
Les différents UUID à rajouter dans notre protocole RPC nommé DPM UUID sont les suivants :
Règles d’accès
Afin d’autoriser les échanges entre le serveur DPM et notre serveur Forefront TMG 2010 à protéger les deux règles suivantes seront nécessaires, dans le cas présent l’objet DPM Servers est un objet de type Computer Set regroupant la ou les adresses IP des différents serveurs DPM :
Configuration RPC
Une fois les règles créées il faut savoir que le filtre RPC utilisés par Forefront TMG ne supporte pas totalement les appels DCOM, ce qui peut résulter à des refus de connexion par ce dernier. Nous allons donc contourner le problème en désactivant l’option Enforce Strict RPC Compliance au niveau de notre serveur Forefront TMG :
Tout d’abord au niveau de la règle DPM – Inbound en sélectionnant Configure RPC protocol.
Puis au niveau des règles système de Forefront TMG au niveau du nœud Active Directory qui se trouve dans le groupe Authentication Services.
Tests et validation
Après avoir appliqué la configuration au niveau de notre serveur Forefront TMG il est possible d’effectuer les tests suivant depuis le serveur DPM. Ces derniers permettront de vérifier que l’ajout du serveur Forefront TMG à protégé n’échouera plus :
Attention : certaines de ces commandes ne fonctionnent qu’au travers d’une commande DOS et non sous PowerShell.
Tout d’abord un ping vers le serveur Forefront TMG ne devrait pas retourner d’erreur.
Afin de vérifier que l’accès aux partages administratifs est possible la commande net view \\tmg_FQDN devrait renvoyer le résultat suivant :
Puis pour s’assurer que les différents appels RPC soient bien configurés la commande sc \\tmg_FQDN query renvoie la liste des interfaces RPC en ecoute sur notre serveur Forefront TMG :
Enfin l’on vérifie que les appels WMI fonctionnent avec la commande wmic /node :"TMG_FQDN" OS list brief qui renvoie un résumé d’information sur le système d’exploitation sur lequel se repose notre serveur Forefront TMG :
Une fois tous ces tests passés avec succès le fait de rattacher l’agent DPM installé sur le serveur Forefront TMG ne doit plus renvoyer d’erreur au niveau de la console de gestion DPM, et notre serveur Forefront TMG sera désormais protégé.
English Translation
How DPM 2010 Could Protect Forefront TMG 2010 with a Minimum Opening of Feeds
Introduction
When we want to protect a Forefront TMG with Microsoft System Center Data Protection Manager (DPM) 2010, we naturally apply the following used ports listed on the following article: https://technet.microsoft.com/en-us/library/ff399341.aspx. However when we try to attach the DPM agent deployed on the Forefront TMG server (https://technet.microsoft.com/en-us/library/bb870935.aspx) the following error occur on the DPM console:
This error mean that some steps on the Forefront TMG firewall are missing, we will see on the following article th required steps to be sure that the DPM communications to the agent installed on the Forefront TMG work correctly.
Prerequisites
To be sure that the DPM 2010 server could access to the administrative shares on the properties of the NIC connected to the internal network, the following options must be activated:
- Client for Microsoft Networks
- File and Printer Sharing for Microsoft Networks
Protocols
Standard protocols
The following protocol has to be added to be used on our access rules:
Note : for the DPM Dynamic Ports protocol we have to be sure that the DPM 2010 and Forefront TMG servers both used the default RPC range, the netsh int ipv4 show dynamicport tcp command line must display the following result:
RPC protocols
The specific DPM RPC protocol is also required, and on the RPC protocol wizard the interfaces have to be manually added. In addition when we add the Universally Unique Identifier (UUID) the Publish on a Dynamically Assigned Port option must be selected.
The following UUID will be added to our custom RPC protocol named DPM UUID:
Access rules
In order to allow the communication between the DPM 2010 server and Forefront TMG to protect two access rules are required, here the DPM Servers object is a Computer Set containing the IP addresses of the DPM server(s):
RPC configuration
When the access rules are created a last step is required, indeed the RPC filter used by Forefront TMG don’t fully support DCOM call. A workaround is to disable the Enforce Strict RPC Compliance option in Forefront TMG:
First we will do it on our DPM – Inbound by selecting Configure RPC protocol.
Then on the System policy of the Forefront TMG on the Active Directory node located on Authentication Services.
Tests and validation
After applying the configuration on Forefront TMG it’s possible to test the communications from the DPM servers. These tests will validate that attaching the agent on the DPM console will not fail again:
Warning: some command works only on the DOS command line and not on PowerShell.
First of all a ping to Forefront TMG doesn’t raise any errors.
In order to check the access to the shares we will use the net view \\tmg_FQDN command line <ith the following result:
Then the RPC call could be verified with the sc \\tmg_FQDN query command line which returns the RPC interfaces listening on our Forefront TMG server:
Finally we test the WMI call with the wmic /node :"TMG_FQDN" OS list brief command line which return a short description of the operating system on the Forefront TMG server:
If all these tests pass without any errors the attachment process of the DPM agent will not fail again on the DPM console, and our Forefront TMG server is now protected.
Author's Bio
Lionel Leperlier has been a Security consultant since 2009 at ALSY division of Orange Business Services. He works on edge protection project with UAG, TMG and DirectAccess, internal networks with FPE, FPSP and FPSMC, and on AD CS and NPS specific needs. He provides community content through his blog (https://security.sakuranohana/) and Twitter (https://twitter.com/liontux).
MVP Mondays
The MVP Monday Series is created by Melissa Travers. In this series we work to provide readers with a guest post from an MVP every Monday. Melissa is a Community Program Manager for Dynamics, Excel, Office 365, Platforms and SharePoint in the United States. She has been working with MVPs since her early days as Microsoft Exchange Support Engineer when MVPs would answer all the questions in the old newsgroups before she could get to them.
