Biztonság A-tól Z-ig Biztonság A-tól Z-ig Forefront TMG - változásokForefront TMG - változások
Kiss TiborSystemAdministratorJaKiT-Sys Informatikai Kft.
Miről lesz szó!?Miről lesz szó!?• Rendszer követelmények• Migráció ISA szerverről• TMG újdonságok
ISP Redundancy
Malware Inspection
HTTPS Inspection
Web Access Policy
TÖR
TÉN
ELEM
TÖR
TÉN
ELEM
RendszerkövetelményekRendszerkövetelmények
Hardver Minimum Rendszerkövetelmények
CPU 64-bit!!, 1.86 GHz, 2 mag (1 CPU x dual core) proceszor.
Memoria 2 GB, 1 GHz RAM
HDD2.5 GB szabad hely. További hely szükséges az egyéb fileok tárolására. (Pl.: Cash…)NTFS partíció
Hálózati adapter 2 db hálózati kártya, a belső (internal) és a külső (external) hálózatokhoz
Hardver ajánlások: http://technet.microsoft.com/en-us/library/ff382651.aspx
RendszerkövetelményekRendszerkövetelmények
Software Minimum Rendszerkövetelmények
Operációs rendszer
Windows Server 2008•Version: SP2 or R2•Edition: Standard, Enterprise or Datacenter
Windows Szerepkörök és Szolgáltatások
Ezeket a szerepköröket és szolgáltatásokat a TMG Preparation Tool telepíti:
•Network Policy Server.•Routing and Remote Access Services.•Active Directory Lightweight Directory Services Tools.•Network Load Balancing Tools.•Windows PowerShell.
Futtassuk a Preparation Tool-t a Forefront TMG autorun oldalon.
Egyéb szoftverek
•Microsoft .NET Framework 3.5 SP1•Windows Web Services API.•Windows Update.•Microsoft Windows Installer 4.5.
A TMG szerver tartományvezérlőre való telepítése nem támogatott!
RendszerkövetelményekRendszerkövetelményekCapacity Planning ToolCapacity Planning Tool
http://www.microsoft.com/downloads/details.aspx?FamilyID=01b2f7a5-8165-4ead-9693-http://www.microsoft.com/downloads/details.aspx?FamilyID=01b2f7a5-8165-4ead-9693-994504f66449&displaylang=en994504f66449&displaylang=en
1. Exportáljuk ki az ISA szerverünk konfigurációs állományát.
2. Exportáljuk ki az ISA szerveren tárolt Tanúsítványainkat. Bővebb információ itt: http://go.microsoft.com/fwlink/?LinkId=152428
3/a. Amennyiben ugyan arra a számítógépre szeretnénk telepíteni a TMG-t mint amelyiken az ISA szerverünk is volt, el kell távolítanunk az ISA szervert. Bővebb információ itt: http://go.microsoft.com/fwlink/?LinkId=152933
3/b. Telepítsünk egy új Windows Server 2008-at (SP2 64 bit, vagy R2) a 32 bites Windows Server 2003 frissítése Windows Server 2008 64 bit-re NEM támogatott.Bővebb információ itt: http://go.microsoft.com/fwlink/?LinkId=152429
4. Telepítsük fel a TMG 2010 szervert.
5. Importáljuk be a Forefront TMG szerverbe a Tanúsítványokat.Bővebb információ itt: http://go.microsoft.com/fwlink/?LinkId=152430
6. Importáljuk be és alkalmazzuk az ISA szerver konfigurációkat, a TMG Management consolba.Segítség a lépésekhez: http://technet.microsoft.com/en-us/library/dd440994.aspx#BKMK_ImportConfig
7. Az ISA szerveren használt jelentéseket és logolásokat állítsuk be a TMG szerveren.
8. Amennyiben tiszta telepítést választottunk állítsuk be az ISA szerver által használt IP címeket a megfelelő hálózati csatolókra, és állítsuk be a DNS-ben az új szerver nevét
9. Ellenőrizzük le a beállításokat, TESZTELJÜNK, TESZTELJÜNK, TESZTELJÜNK!
Migráció ISA -> TMGMigráció ISA -> TMG
ISP RedundancyISP Redundancy2 típus közül választhatunk•Failover•Load Balancing
•A típusok között „menet közben” is lehet váltani
Előfeltétel:•Legyen két vonal •Tudjuk ezek alapadatait (default gateway, netmask)
•Tudjuk, hogy melyiket szeretnénk elsődlegesnek (a failover típusnál)
•Egészítsük ki a hálózatainkat (mondjuk egy External2 nevűvel, amelyhez természetesen a hálózati szabály(oka)t is meg kell csinálnunk (Network Rules, Route vagy NAT, stb))
ISP Redundancy - FailoverISP Redundancy - Failover•Két beállított kapcsolat között automatikus váltás történik vonalszakadás esetén
•Az elsődlegesen beállított kapcsolat „menet közben” is változtatható
ISP Redundancy – Load balancingISP Redundancy – Load balancing
•Megoszthatjuk a két kapcsolat között a használat arányát
•Explicit route-ok bevitelének lehetősége
•A http folyamot figyeli és szűri
•Integrált és frissíthető adatbázisa segítségével
•A 64K-nál (fejléc) kisebb anyagok ellenőrzése a memóriában történik
Megjegyzés: A statisztikák szerint a szimpla http letöltések, kérések 98%-a kisebb mint 64K, így a szűréshez a legtöbb esetben nem is kell semmilyen klasszikus I/O művelet
Malware Inspection működéseMalware Inspection működése
Attempt to clean infected files: legyen-e tisztítási kísérlet, vagy e nélkül csak szimplán blokkoljon?
Block suspicious files: egyáltalán blokkolja-e a "kényes" tartalmat?
Block spyware: nemcsak a vírusos, hanem a spyware kategórájú fertőzés blokkolása is kérhető.
Block corrupted files: a korruptnak tűnő forgalom blokkolása
Block files that cannot be scanned: ha nem tudja valamiért megvizsgálni, akkor tilthatja is
Block encrypted files: titkosított tartalom blokkolása Block files if scanning time exceeds (seconds): ha túl sokáig tart az ellenőrzés, legyen inkább blokkolás belőle :)
Block files if archive depth level exceeds: warezelő, zipből arj-be, majd rar-ba illetve .ace-ba tömörítő userek elleni védekezés :D
Block files larger than (MB): nem kell túlmagyarázni, viszont lehet más szempontok alapján is használni
Block archive files if unpacked content is larger than (MB): szintén a mérethatár
Malware Inspection beállításaiMalware Inspection beállításai
Malware InspectionMalware Inspection
Standard trickling: a TMG elküldi az adatfolyam első 4 Kbyte-ját 10 másodpercen belül, majd minden következő 5 másodpercben 50 byte-onként a többit, miközben az ellenőrzés megy a háttérben, és ha véget ér, akkor teljes sebességgel megy a fennmaradó adat a kliens felé
Fast trickling: az audio illetve video anyagok letöltésénél indokolt lehet a gyorsítás (az alsó Content Types for fast trickling... gomb alatt láthatjuk is, hogy alapértelmezés szerint 62, ebbe a csoportba tartozó tartalomtípus már ki is van jelölve), ezzel az opcióval viszont általánossá tehetjük.
HTTPS InspectionHTTPS Inspection
1. Miután létrejött az SSL csatorna az adott weboldal felé, a TMG "lemásolja" adott oldalhoz tartozó tanúsítványt
2. Létrehoz egy új tanúsítványt ezekkel az adatokkal, majd ezt aláírja egy másik, általunk a TMG-ben generálttal, vagy éppen kijelölttel
3. A kliens már ezt a tanúsítványt kapja meg, egy újonnan létrejött, szeparált SSL csatornában
Web Access PolicyWeb Access Policy
A Microsoft az e célokra kialakított adatbázisában jelenleg körülbelül 45 millió domainről és több milliárd weblapról tart nyilván olyan információkat, amelyek segíthetnek a TMG-nek a kártékony tartalmakat rejtő weboldalak kiszűrésében. A nagyméretű adatbázis aktualizálásában olyan cégek vesznek részt, mint például a Brightcloud és a FutureSoft.
Web Antivirus védelem
KÖSZÖNÖM A FIGYELMETKÖSZÖNÖM A FIGYELMET