Az előadás letöltése folymat van. Kérjük, várjon

Az előadás letöltése folymat van. Kérjük, várjon

Biztonság A-tól Z-ig Forefront TMG - változások Kiss Tibor SystemAdministrator JaKiT-Sys Informatikai Kft.

Hasonló előadás


Az előadások a következő témára: "Biztonság A-tól Z-ig Forefront TMG - változások Kiss Tibor SystemAdministrator JaKiT-Sys Informatikai Kft."— Előadás másolata:

1 Biztonság A-tól Z-ig Forefront TMG - változások Kiss Tibor SystemAdministrator JaKiT-Sys Informatikai Kft.

2 Miről lesz szó!? • Rendszer követelmények • Migráció ISA szerverről • TMG újdonságok -ISP Redundancy -Malware Inspection -HTTPS Inspection -Web Access Policy

3 TÖRTÉNELEM

4

5 Rendszerkövetelmények HardverMinimum Rendszerkövetelmények CPU64-bit!!, 1.86 GHz, 2 mag (1 CPU x dual core) proceszor. Memoria2 GB, 1 GHz RAM HDD 2.5 GB szabad hely. További hely szükséges az egyéb fileok tárolására. (Pl.: Cash…) NTFS partíció Hálózati adapter 2 db hálózati kártya, a belső (internal) és a külső (external) hálózatokhoz Hardver ajánlások:

6 Rendszerkövetelmények SoftwareMinimum Rendszerkövetelmények Operációs rendszer Windows Server 2008 •Version: SP2 or R2 •Edition: Standard, Enterprise or Datacenter Windows Szerepkörök és Szolgáltatások Ezeket a szerepköröket és szolgáltatásokat a TMG Preparation Tool telepíti: •Network Policy Server. •Routing and Remote Access Services. •Active Directory Lightweight Directory Services Tools. •Network Load Balancing Tools. •Windows PowerShell. Futtassuk a Preparation Tool-t a Forefront TMG autorun oldalon. Egyéb szoftverek •Microsoft.NET Framework 3.5 SP1 •Windows Web Services API. •Windows Update. •Microsoft Windows Installer 4.5. A TMG szerver tartományvezérlőre való telepítése nem támogatott!

7 Rendszerkövetelmények Capacity Planning Tool

8

9 1.Exportáljuk ki az ISA szerverünk konfigurációs állományát. 2.Exportáljuk ki az ISA szerveren tárolt Tanúsítványainkat. Bővebb információ itt: 3/a. Amennyiben ugyan arra a számítógépre szeretnénk telepíteni a TMG-t mint amelyiken az ISA szerverünk is volt, el kell távolítanunk az ISA szervert. Bővebb információ itt: 3/b.Telepítsünk egy új Windows Server 2008-at (SP2 64 bit, vagy R2) a 32 bites Windows Server 2003 frissítése Windows Server bit-re NEM támogatott. Bővebb információ itt: 4.Telepítsük fel a TMG 2010 szervert. 5.Importáljuk be a Forefront TMG szerverbe a Tanúsítványokat. Bővebb információ itt: 6.Importáljuk be és alkalmazzuk az ISA szerver konfigurációkat, a TMG Management consolba. Segítség a lépésekhez: 7.Az ISA szerveren használt jelentéseket és logolásokat állítsuk be a TMG szerveren. 8.Amennyiben tiszta telepítést választottunk állítsuk be az ISA szerver által használt IP címeket a megfelelő hálózati csatolókra, és állítsuk be a DNS-ben az új szerver nevét 9.Ellenőrizzük le a beállításokat, TESZTELJÜNK, TESZTELJÜNK, TESZTELJÜNK!  Migráció ISA -> TMG

10

11 ISP Redundancy 2 típus közül választhatunk •Failover •Load Balancing •A típusok között „menet közben” is lehet váltani Előfeltétel: •Legyen két vonal •Tudjuk ezek alapadatait (default gateway, netmask) •Tudjuk, hogy melyiket szeretnénk elsődlegesnek (a failover típusnál) •Egészítsük ki a hálózatainkat (mondjuk egy External2 nevűvel, amelyhez természetesen a hálózati szabály(oka)t is meg kell csinálnunk (Network Rules, Route vagy NAT, stb))

12 ISP Redundancy - Failover •Két beállított kapcsolat között automatikus váltás történik vonalszakadás esetén •Az elsődlegesen beállított kapcsolat „menet közben” is változtatható

13 ISP Redundancy – Load balancing •Megoszthatjuk a két kapcsolat között a használat arányát •Explicit route-ok bevitelének lehetősége

14 •A http folyamot figyeli és szűri •Integrált és frissíthető adatbázisa segítségével •A 64K-nál (fejléc) kisebb anyagok ellenőrzése a memóriában történik Megjegyzés: A statisztikák szerint a szimpla http letöltések, kérések 98%-a kisebb mint 64K, így a szűréshez a legtöbb esetben nem is kell semmilyen klasszikus I/O művelet Malware Inspection működése

15 Attempt to clean infected files: legyen-e tisztítási kísérlet, vagy e nélkül csak szimplán blokkoljon? Block suspicious files: egyáltalán blokkolja-e a "kényes" tartalmat? Block spyware: nemcsak a vírusos, hanem a spyware kategórájú fertőzés blokkolása is kérhető. Block corrupted files: a korruptnak tűnő forgalom blokkolása Block files that cannot be scanned: ha nem tudja valamiért megvizsgálni, akkor tilthatja is Block encrypted files: titkosított tartalom blokkolása Block files if scanning time exceeds (seconds): ha túl sokáig tart az ellenőrzés, legyen inkább blokkolás belőle :) Block files if archive depth level exceeds: warezelő, zipből arj-be, majd rar-ba illetve.ace-ba tömörítő userek elleni védekezés :D Block files larger than (MB): nem kell túlmagyarázni, viszont lehet más szempontok alapján is használni Block archive files if unpacked content is larger than (MB): szintén a mérethatár Malware Inspection beállításai

16 Malware Inspection Standard trickling: a TMG elküldi az adatfolyam első 4 Kbyte-ját 10 másodpercen belül, majd minden következő 5 másodpercben 50 byte-onként a többit, miközben az ellenőrzés megy a háttérben, és ha véget ér, akkor teljes sebességgel megy a fennmaradó adat a kliens felé Fast trickling: az audio illetve video anyagok letöltésénél indokolt lehet a gyorsítás (az alsó Content Types for fast trickling... gomb alatt láthatjuk is, hogy alapértelmezés szerint 62, ebbe a csoportba tartozó tartalomtípus már ki is van jelölve), ezzel az opcióval viszont általánossá tehetjük.

17 HTTPS Inspection 1.Miután létrejött az SSL csatorna az adott weboldal felé, a TMG "lemásolja" adott oldalhoz tartozó tanúsítványt 2. Létrehoz egy új tanúsítványt ezekkel az adatokkal, majd ezt aláírja egy másik, általunk a TMG-ben generálttal, vagy éppen kijelölttel 3. A kliens már ezt a tanúsítványt kapja meg, egy újonnan létrejött, szeparált SSL csatornában

18 Web Access Policy A Microsoft az e célokra kialakított adatbázisában jelenleg körülbelül 45 millió domainről és több milliárd weblapról tart nyilván olyan információkat, amelyek segíthetnek a TMG-nek a kártékony tartalmakat rejtő weboldalak kiszűrésében. A nagyméretű adatbázis aktualizálásában olyan cégek vesznek részt, mint például a Brightcloud és a FutureSoft.

19 Web Antivirus védelem

20 KÖSZÖNÖM A FIGYELMET


Letölteni ppt "Biztonság A-tól Z-ig Forefront TMG - változások Kiss Tibor SystemAdministrator JaKiT-Sys Informatikai Kft."

Hasonló előadás


Google Hirdetések