Biztonság A-tól Z-ig Forefront TMG - változások Kiss Tibor SystemAdministrator JaKiT-Sys Informatikai Kft.
Miről lesz szó!? Rendszer követelmények Migráció ISA szerverről TMG újdonságok ISP Redundancy Malware Inspection HTTPS Inspection Web Access Policy
TÖRTÉNELEM
Rendszerkövetelmények Hardver Minimum Rendszerkövetelmények CPU 64-bit!!, 1.86 GHz, 2 mag (1 CPU x dual core) proceszor. Memoria 2 GB, 1 GHz RAM HDD 2.5 GB szabad hely. További hely szükséges az egyéb fileok tárolására. (Pl.: Cash…) NTFS partíció Hálózati adapter 2 db hálózati kártya, a belső (internal) és a külső (external) hálózatokhoz Hardver ajánlások: http://technet.microsoft.com/en-us/library/ff382651.aspx
Rendszerkövetelmények Software Minimum Rendszerkövetelmények Operációs rendszer Windows Server 2008 Version: SP2 or R2 Edition: Standard, Enterprise or Datacenter Windows Szerepkörök és Szolgáltatások Ezeket a szerepköröket és szolgáltatásokat a TMG Preparation Tool telepíti: Network Policy Server. Routing and Remote Access Services. Active Directory Lightweight Directory Services Tools. Network Load Balancing Tools. Windows PowerShell. Futtassuk a Preparation Tool-t a Forefront TMG autorun oldalon. Egyéb szoftverek Microsoft .NET Framework 3.5 SP1 Windows Web Services API. Windows Update. Microsoft Windows Installer 4.5. A TMG szerver tartományvezérlőre való telepítése nem támogatott!
Rendszerkövetelmények Capacity Planning Tool http://www.microsoft.com/downloads/details.aspx?FamilyID=01b2f7a5-8165-4ead-9693-994504f66449&displaylang=en
Migráció ISA -> TMG Exportáljuk ki az ISA szerverünk konfigurációs állományát. Exportáljuk ki az ISA szerveren tárolt Tanúsítványainkat. Bővebb információ itt: http://go.microsoft.com/fwlink/?LinkId=152428 3/a. Amennyiben ugyan arra a számítógépre szeretnénk telepíteni a TMG-t mint amelyiken az ISA szerverünk is volt, el kell távolítanunk az ISA szervert. Bővebb információ itt: http://go.microsoft.com/fwlink/?LinkId=152933 3/b. Telepítsünk egy új Windows Server 2008-at (SP2 64 bit, vagy R2) a 32 bites Windows Server 2003 frissítése Windows Server 2008 64 bit-re NEM támogatott. Bővebb információ itt: http://go.microsoft.com/fwlink/?LinkId=152429 4. Telepítsük fel a TMG 2010 szervert. 5. Importáljuk be a Forefront TMG szerverbe a Tanúsítványokat. Bővebb információ itt: http://go.microsoft.com/fwlink/?LinkId=152430 6. Importáljuk be és alkalmazzuk az ISA szerver konfigurációkat, a TMG Management consolba. Segítség a lépésekhez: http://technet.microsoft.com/en-us/library/dd440994.aspx#BKMK_ImportConfig 7. Az ISA szerveren használt jelentéseket és logolásokat állítsuk be a TMG szerveren. 8. Amennyiben tiszta telepítést választottunk állítsuk be az ISA szerver által használt IP címeket a megfelelő hálózati csatolókra, és állítsuk be a DNS-ben az új szerver nevét 9. Ellenőrizzük le a beállításokat, TESZTELJÜNK, TESZTELJÜNK, TESZTELJÜNK!
ISP Redundancy 2 típus közül választhatunk Failover Load Balancing A típusok között „menet közben” is lehet váltani Előfeltétel: Legyen két vonal Tudjuk ezek alapadatait (default gateway, netmask) Tudjuk, hogy melyiket szeretnénk elsődlegesnek (a failover típusnál) Egészítsük ki a hálózatainkat (mondjuk egy External2 nevűvel, amelyhez természetesen a hálózati szabály(oka)t is meg kell csinálnunk (Network Rules, Route vagy NAT, stb))
ISP Redundancy - Failover Két beállított kapcsolat között automatikus váltás történik vonalszakadás esetén Az elsődlegesen beállított kapcsolat „menet közben” is változtatható
ISP Redundancy – Load balancing Megoszthatjuk a két kapcsolat között a használat arányát Explicit route-ok bevitelének lehetősége
Malware Inspection működése A http folyamot figyeli és szűri Integrált és frissíthető adatbázisa segítségével A 64K-nál (fejléc) kisebb anyagok ellenőrzése a memóriában történik Megjegyzés: A statisztikák szerint a szimpla http letöltések, kérések 98%-a kisebb mint 64K, így a szűréshez a legtöbb esetben nem is kell semmilyen klasszikus I/O művelet
Malware Inspection beállításai Attempt to clean infected files: legyen-e tisztítási kísérlet, vagy e nélkül csak szimplán blokkoljon? Block suspicious files: egyáltalán blokkolja-e a "kényes" tartalmat? Block spyware: nemcsak a vírusos, hanem a spyware kategórájú fertőzés blokkolása is kérhető. Block corrupted files: a korruptnak tűnő forgalom blokkolása Block files that cannot be scanned: ha nem tudja valamiért megvizsgálni, akkor tilthatja is Block encrypted files: titkosított tartalom blokkolása Block files if scanning time exceeds (seconds): ha túl sokáig tart az ellenőrzés, legyen inkább blokkolás belőle :) Block files if archive depth level exceeds: warezelő, zipből arj-be, majd rar-ba illetve .ace-ba tömörítő userek elleni védekezés :D Block files larger than (MB): nem kell túlmagyarázni, viszont lehet más szempontok alapján is használni Block archive files if unpacked content is larger than (MB): szintén a mérethatár
Malware Inspection Standard trickling: a TMG elküldi az adatfolyam első 4 Kbyte-ját 10 másodpercen belül, majd minden következő 5 másodpercben 50 byte-onként a többit, miközben az ellenőrzés megy a háttérben, és ha véget ér, akkor teljes sebességgel megy a fennmaradó adat a kliens felé Fast trickling: az audio illetve video anyagok letöltésénél indokolt lehet a gyorsítás (az alsó Content Types for fast trickling... gomb alatt láthatjuk is, hogy alapértelmezés szerint 62, ebbe a csoportba tartozó tartalomtípus már ki is van jelölve), ezzel az opcióval viszont általánossá tehetjük.
HTTPS Inspection Miután létrejött az SSL csatorna az adott weboldal felé, a TMG "lemásolja" adott oldalhoz tartozó tanúsítványt 2. Létrehoz egy új tanúsítványt ezekkel az adatokkal, majd ezt aláírja egy másik, általunk a TMG-ben generálttal, vagy éppen kijelölttel 3. A kliens már ezt a tanúsítványt kapja meg, egy újonnan létrejött, szeparált SSL csatornában
Web Access Policy A Microsoft az e célokra kialakított adatbázisában jelenleg körülbelül 45 millió domainről és több milliárd weblapról tart nyilván olyan információkat, amelyek segíthetnek a TMG-nek a kártékony tartalmakat rejtő weboldalak kiszűrésében. A nagyméretű adatbázis aktualizálásában olyan cégek vesznek részt, mint például a Brightcloud és a FutureSoft.
Web Antivirus védelem
KÖSZÖNÖM A FIGYELMET