A kapun tlMicrosoft Forefront Threat Management Gateway 2010

Gl TamsMicrosoft Magyarorszg technetklub.hu

A kapun tl, ha oda bemegyek, tr nylik, egyszerre kzel-tvol, elre, vissza brmit nzhetek, minden kitrul, minden kitrul. Fetyk Judit

BEVEZETS 2010, Gl Tams Els kiads Minden jog fenntartva. A knyv rsa sorn a szerz s a kiad a legnagyobb gondossggal s krltekintssel igyekeztek eljrni. Ennek ellenre elfordulhat, hogy nmely informci vagy pldul hivatkozs (link) nem pontos vagy teljes, esetleg elavultt vlt. A pldkat s a mdszereket mindenki csak sajt felelssgre alkalmazza. Felhasznls eltt prblja ki s dntse el sajt maga, hogy megfelel-e a cljainak. A knyvben foglalt informcik felhasznlsbl fakad esetleges krokrt sem a szerz, sem a kiad nem vonhat felelssgre. A cgekkel, termkekkel, honlapokkal kapcsolatos listk, hibk s pldk kizrlag oktatsi jelleggel kerlnek bemutatsra, kedvez vagy kedveztlen kvetkeztetsek nlkl. Az oldalakon elfordul mrka- valamint kereskedelmi vdjegyek bejegyzjk tulajdonban llnak. Lektor: Harmath Zoltn (Architect, Microsoft Magyarorszg)

A knyv anyaga teljes terjedelemben s ingyenesen letlthet a Microsoft TechNetKlub portlrl (http://technetklub.hu/content/tmgkonyv.aspx).

Microsoft Magyarorszg 2010

KsznetnyilvntsTbb embernek is tartozom ksznetnyilvntssal, illetve a tartozom taln nem is elgg szp sz, ahhoz, hogy valjban mennyire szeretnm megksznni a segtsgket. Budai Pter s Lipp Szabolcs azok a kollgim a Microsoft-nl, akikkel a legtbbet gyrjk egymst. Petivel 2006 s 2010 kztt prbltunk rengeteg hasznosat elkvetni a hazai rendszergazdk s zemeltetk oktsrt, egy vlts utn pedig Szabolccsal 2010 nyr eleje ta prgnk egytt ugyanezen a terleten. Mindkettjknek lett volna elg oka r, hogy piszkljon a knyv elkszltvel vagy az rs sebessgvel kapcsolatban, de ezt sosem tettk, bztak bennem. Mivel engem amgy is egy elgg fggetlen s ntudatos embernek ismernek, dupln hls vagyok, hogy ez gy alakult, gy alakulhatott. A lektornak, azaz Harmath Zoltnnak extra ksznet jr. Egy nagyon rvid hatrid alatt, flig Budapesten, flig Redmondban, a jetlag-gel kzdve nzte t ezt a rengeteg oldalt, s tbb lnyeges s praktikus javts mellett, mg bels rdekessgekkel is szolglt az ISA s a TMG szerverek ksztsi folyamatrl, a dilemmkrl s a dntsekrl. Persze, ennyi segtsg mg mindig kevs lenne, de nekem olyan htorszgom van, amellyel egsz fldrszeket igzhatnk le, ha gy alakulna . Ez a htorszg a csaldom, s fkpp a felesgem. Ugye, semmi sincs ingyen, ellenben a csillogs sokszor csak nekem jut, mg az rt fizeti meg. Ez egy megfelel alkalom arra, hogy valamit mlt mdon visszaadjak ebbl. Ksznm. Egybknt egyetlen ember(ke) biztosan van, aki mr most is utlja ezt a knyvet. az n 9 ves kisfiam, akit 2010 augusztusban annyiszor lepattintottam a kosrlabdzs, a focizs, vagy brmi ms kzs tevkenysg kapcsn erre a knyvre hivatkozva, hogy szerintem estnknt a szobjban kicsi voodoo knyveket szurklt mr, vrva hogy vgre-vgre befejezzem....

BEVEZETS

TARTALOMJEGYZK1 2 Bevezets __________________________________________________________ 9 Mlt s jelen _______________________________________________________ 11 2.1 2.2 2.3 3 gy kezddtt __________________________________________________ 11 Mirt FOREFRONT s mirt TMG? ___________________________________ 17 Hny TMG van? _________________________________________________ 20

A telepts s elzmnyei ____________________________________________ 23 3.1 3.2 A rendszerkvetelmnyek _________________________________________ 23 A hlzati viszonyokrl ___________________________________________ 25 A hlzati krtyk ktsi sorrendje ______________________________ 26 A hlzati krtyk finomhangolsa _______________________________27 DNS s NetBIOS _____________________________________________ 30

3.2.1 3.2.2 3.2.3 3.3

TMG forgatknyvek _____________________________________________ 32 Edge firewall _________________________________________________ 33 3-Leg perimeter _____________________________________________ 34 Back-end firewall _____________________________________________35 Branch Office Firewall _________________________________________35 Single network adapter _______________________________________ 36

3.3.1 3.3.2 3.3.3 3.3.4 3.3.5 3.4 3.5 3.6 3.7 3.8 3.9

A kliensek _______________________________________________________ 37 Teleptsnk vgre ________________________________________________ 43 Ha nem sikerl, nyomozunk ________________________________________53 Migrci, export-import __________________________________________ 55 Virtulis krnyezetben? ___________________________________________ 58 J ha megszvleljk _____________________________________________ 61 Nhny klszably __________________________________________ 62 Tartomny vagy munkacsoport? ________________________________ 63

3.9.1 3.9.2 4

Vegyk birtokba! ___________________________________________________ 66 4.1 4.2 4.3 A konzol felfedezse _____________________________________________ 66 Az j varzslk ___________________________________________________ 77 Hogyan leszel TMG admin a sajt gpeden? __________________________ 79

5

A tzfal ___________________________________________________________ 81 5.1 Az alapok s nmi trtnelem ______________________________________ 81 A csomagszrs _____________________________________________ 82 Az llapottart-vizsglat (s szrs) _____________________________ 84 Az alkalmazs szrs _________________________________________ 85 A TMG helye a tzfalak kztt __________________________________ 87

5.1.1 5.1.2 5.1.3 5.1.4 5.2

Multi (nem level) networking _______________________________________ 88 Mit is jelent ez? ______________________________________________ 89 Az alaprtelmezett hlzatok __________________________________ 89 A hlzatok tulajdonsgai _____________________________________ 93 A hlzati szablyok __________________________________________ 98

5.2.1 5.2.2 5.2.3 5.2.4 5.3

Azok a csodlatos szablyok ______________________________________ 103 A szablyok alapanyagai, azaz a hlzati objektumok _____________ 103 Hogyan pl fel egy hozzfrsi tzfalszably? ___________________ 108 s hogyan mkdik? _________________________________________ 109

5.3.1 5.3.2 5.3.3 5.4 5.5 6

A System Policy ________________________________________________ 112 Behatols detektls, IP szrs ____________________________________ 120

A tzfal a TMG-ben ________________________________________________ 124 6.1 Egy nagygy: a NIS_____________________________________________ 124 NIS rszletek _______________________________________________ 128 A szignatrkrl mg egy kicsit ________________________________ 132

6.1.1 6.1.2 6.2

ISP Redundancy _________________________________________________135 Tpusok s mkds _________________________________________ 136 A kapcsolat tesztelse _______________________________________ 138 lltsuk be! _________________________________________________ 140

6.2.1 6.2.2 6.2.3 6.3 7

Enhanced NAT _________________________________________________ 146

A proxy szerver ____________________________________________________ 149 7.1 7.2 7.3 7.4 Mit csinl egy proxy szerver? ______________________________________ 149 Proxy tpusok __________________________________________________ 150 Szerver oldali belltsok _________________________________________ 154 Hitelestsi metdusok __________________________________________ 158

BEVEZETS7.5 7.6 Auto Discovery megoldsok ______________________________________ 162 Cache avagy trazzunk gyorsan ___________________________________ 169 Hogyan mkdik a web proxy cache? ____________________________ 170 A gyorsttr finomhangolsa __________________________________ 173

7.6.1 7.6.2 8

A web proxy a TMG-ben ____________________________________________ 185 8.1 Enterprise Malware Protection ____________________________________ 185 Hogyan csinlja? ____________________________________________ 186 Az EMP konfigurlsa ________________________________________ 188

8.1.1 8.1.2 8.2

A HTTP filter ___________________________________________________ 199 Hogyan rjk el? ____________________________________________ 200 A HTTP filter konfigurlsa ___________________________________ 202

8.2.1 8.2.2 8.3

HTTPS Inspection _______________________________________________ 208 A kvetkezmnyek s a kvetelmnyek _________________________ 210 A HTTPSi konfigurlsa _______________________________________211

8.3.1 8.3.2 8.4

URL-F ________________________________________________________ 219 Hogyan mkdik? ___________________________________________ 220 Amit az URL-F-bl ltunk _____________________________________ 222

8.4.1 8.4.2 9

Kit s hogyan engednk be? ________________________________________ 228 9.1 A szimpla szerver publikls ______________________________________ 229 Egy plda: FTP szerver kzzttel ______________________________ 230

9.1.1 9.2

A webszerver publikls _________________________________________ 235 Egy nagy falat: a web listener _________________________________ 236 Tovbbi webszerver publiklsi opcik __________________________ 247 Egy msik plda: Webszerver SSL-el____________________________ 253

9.2.1 9.2.2 9.2.3 9.3

Specilis publikls: az Exchange Server ____________________________ 260 Az SMTP szerver publikls ___________________________________ 261 SMTP vdelem, vrus- s spamszrs ___________________________ 264 A klasszikus e-mail protokollok publiklsa ______________________ 272 A webes kliensek ____________________________________________ 274

9.3.1 9.3.2 9.3.3 9.3.4

10 Tvoli elrs: VPN s nem VPN ______________________________________ 281 10.1 Hogyan faragjunk VPN szervert a TMG-bl? _________________________ 281

10.2 Site-to-Site VPN ________________________________________________ 293 10.3 A nagy durrans: DirectAccess tmogats ___________________________ 302 10.3.1 10.3.2 11 DirectAccess alapok _________________________________________ 302 DA vs. TMG ________________________________________________ 305

Ellenrizznk s javtsunk __________________________________________ 308 11.1 Naplzs ______________________________________________________ 308

11.2 Riasztsok ______________________________________________________315 11.3 A legjobb bartaink: Session Monitor s a realtime napl ______________ 320

11.4 Egy jabb bart: a Connectivity Verification _________________________ 323 11.5 12 J bartokbl sosem elg: a BPA __________________________________ 325

A rads: az SP1 ___________________________________________________ 328 12.1 BranchCache, RODC, Sharepoint 2010 ______________________________ 328

12.2 URL szrs vltozsok ___________________________________________ 330 12.3 jdonsgok a jelentseknl _______________________________________ 332 13 Zrsz ___________________________________________________________ 335

BEVEZETS

1 B EVEZETSKrlbell 6 ve szeretnk knyvet rni az ISA-rl. Szmtalan oka van annak, hogy eddig mirt nem sikerlt, legfkppen az, hogy egy knyv az egy egsz embert kvn, ami egy bizonyos prgsszm felett majdnem lehetetlen feladat. De most mr nem halogathattam tovbb (br a 2010-es v els msfl hnapja mgiscsak ezzel telt ), hiszen jra lett aktulis rtelme, a TMG megjelense kapcsn. Mindezt 2010 februrjnak kzepn rtam le. Hossz habozs utn ugyanis ekkor vgre tnyleg hajland voltam lelni, hogy elkezdjem. Aztn 10 nap folyamatos rs utn, sszehoztam kb. 120 oldalt. Nagyon bszke voltam magamra, de ez aztn elmlt. Merthogy ezutn flvig semmi sem trtnt. Semmi. A nyr elejn rtam egy pr oldalt, de aztn gyakorlatilag az egszet kikukztam. Mondhatnnk, hogy anyagot gyjtttem, elegns is lenne, de nem igaz. Az viszont igaz, hogy nem unatkoztam, de rni nem voltam hajland az ember kivlan kpes meggyzni magt arrl, hogy amit nem akar, arra nincs is szksg. Aztn augusztus kzepe fel nagyon elkezdett gni a lbam alatt a talaj, s kb. 20 kemny munkanap alatt sszehoztam a maradk 215 oldalt. Durva, mert mondhatjuk, hogy 7 hnapig kszlt a knyv, pedig csak egyig, de az milyen volt. Durva. Nos, ezen anyag bet szerinti elsajttsa sok-sok hasonl vastagsg okossg illetve j pr v gyakorlat nlkl kiss nehezen fog menni. Azt viszont mr a legelejn meggrtem magamnak, hogy minden lehetsg szerint s minden rendelkezsre ll eszkzzel maximlisan arra fogok trekedni, hogy ne legyen lehetetlen 1 ebbl a knyvbl megrteni egy ilyen komplex, nagy tuds, s tbbfle krnyezetben is praktikusan hasznlhat szoftver mkdst s fkpp mkdtetst, mint a Forefront Threat Management Gateway 2010. De azrt alapozzunk sokrten, mert ez a termk valban ignyli ezt. De most, hogy ksz btran kijelenthetem, hogy ez nem egy 120%-osan Forefront TMG knyv, az az nem csak egy frissts, hanem inkbb tfog jelleg. Tbb okbl is: - Rengeteg jdonsg van benne (ahogyan a termkben is), de azrt vannak olyan rszek is, amelyek ISA 2006 vagy esetleg az ISA 2004 ta nem vltoztak, viszont kihagyhatatlanok. - A stateful inspection az ISA s a TMG nlkl is stateful inspection.1

Az elmlt 15 vben (azaz kb. mita zemeltetek) egy szp terjedelmes mret

~9~

A KAPUN TL

Remlem, sokak szmra okoz majd legalbb annyi rmet e frcm elolvassa, mint nekem - leszmtva a kezdeti knldst, meg nha a fonal elvesztst vez pnikhangulatot - a lekrmlse. s persze az okos ember legutoljra rja meg az elszt, s ilyenkor mr, a befejezstl elkbulva, minden megszpl, kk az g, zld a f, s a szvemben kicsi virgok nylnak fj. De hogy mr az els oldalakon is legyen valami rtelmes tartalom, azonnal eszkzlk egy praktikus rvidtst a hivatalos, de kiss hossz elnevezsen: mi TMG-nek fogjuk hvni innentl az j fit, az eldjt pedig egyszeren ISA-nak. Hrom bet mindkett, de mecsoda klnbsg

~ 10 ~

MLT S JELEN

2 M LT

S JELEN

2.1 GY KEZDDTT A Microsoft els prblkozsa a hlzatot vd komplexebb alkalmazsok tern (direkt nem rok tzfalat) a Proxy Server 1.0 volt, mghozz 1997 janurjban. Abban az idben egy ilyen tpus termk igencsak ritkasg volt, gondoljunk bele (de ha kb. 30 v alatt van az letkorunk ez biztosan nem fog menni) a megjelens pr hnappal a Windows NT 4.0 kiadsa utn trtnt ami mg ppen nem tartalmazta a TCP/IP-t, hanem csak kln eljrs keretben lehetett rtelepteni. Szval a Proxy Server 1.0 igencsak korltozott kpessg volt, s ersen behatrolt tmogatssal rendelkezett az internetes protokollok viszonylatban. A szerz ezzel a vltozattal mg nem, ellenben a gyorsan megrkez utddal a Proxy Server 2.0-vl (1997. december) mr dolgozott a mindennapokban is. s nem annyira lvezte, mivel mg itt is volt j csom korlt s rthetetlen mkds, fkpp, ha szembelltottuk az ekkor mr bven ledez/l konkurensekkel.

2.1 BRA A P ROXY S ERVER 2.0

m egy nagy elnye a Microsoft termknek mr akkor is volt: kpes volt a szintn Microsoft termk, a hlzati opercis rendszer felhasznli adatbzist hasznlni (nincs mg Active Directory, ez a ugye mg mindig a Windows NT 4.0), ami vllalati krnyezetben lnyegesen egyszerbb tette a felgyeletet. St, ekkor mr mkdtt a

~ 11 ~

A KAPUN TLcsomagszr (packet filtering), st ebben a verziban debtlt a web cache, azaz a gyorsttr szolgltats. De azrt az sszkp mg mindig inkbb fjdalmas volt, mint lvezhet. Nagy vltozs trtnt 2001 mrciusban, mivel megszletett az j nev, s akkoriban nagyszer s meghkkent jdonsgokat hoz ISA 2000. Elszr is rgtn kt vltozat jelent meg, a Standard s az Enterprise. Az ISA Server 2000 eleinte csak Windows 2000 Server-en futott (de csak az SP1-tl, viszont brmelyik kiadson), m ksbb mr a Windows Server 2003-ra is feltelepthet lett. Ezt a termket mr nevezhettk tzfalnak, a sima csomagszrsen kvl mr a stateful szrst is ismerte, s megjelentek az egyedi alkalmazs- s webszrk is. Mkdtt az RRAS-ra pl (ez azta is vltozatlanul gy van) VPN tmogats, volt dinamikus IP szrs, s egy pici IDS (Intrusion Detection System). Az IDS kpessgek a kvetkez ismert tmadsi formkat ismertk fel s adott esetben automatikusan tiltottk is a problms forrs IP-t: WinNuke, Ping of Death, Land, UDP bombs, POP Buffer Overflow, Scan Attack (portscan). Az ISA szerverek els minstsi tanstvny: ISA Server Earns ICSA Labs Certification, Industry's de Facto Standard for Firewall Security http://www.microsoft.com/presspass/features/2001/feb01/02-14isaserver.mspx A cache mr reverse irnyban2 is hajland volt dolgozni, valamint gyrthattunk idztett letltsre vonatkoz krseket is. 3 Megjelentek a mr akkor is jl varilhat s idzthet jelentsek, s volt Gatekeeper H.323 tmogats is, valamint a zr konfigurlst megkvn Secure NAT kliens alkalmazsra is sort kerthettnk (immr a web proxy s a tzfal kliens mellett). s volt svszlessg szablyzs (!), de annyira, gyengre s hasznlhatatlanra sikerlt, hogy - br igny az lenne r - azta se kerlt be semelyik ISA vagy TMG verziba.

2

Azaz a reverse cache eredmnyeknt egy publiklt portl esetben elfordulhat az, hogy a bngsz kliensnek visszaadott tartalom nem kzvetlenl a webszerverrl, hanem az ISA gyorsttrbl jn. 3 s volt automata letlts is (Active Caching), azaz frekventlt oldalakat nllan lehzta jjel a cache-be, gy pl. a szerz az els napokban a logok bngszse kzben idegbetegg vlt, a userneveket nem tartalmaz, m folyamatos letltsi bejegyzsektl

~ 12 ~

MLT S JELENA Gatekeeper H.323 elviekben lehetv tette az ISA Server szmra az IP telefonls felgyelett, illetve a H.323 alap VoIP alkalmazsok hasznlatt (pl. Microsoft NetMeeting 3.0). De ehhez mg DNS SRV rekordot is kellett regisztrlni, szval nem volt egyszer mka.

2.2 BRA A Z ISA S ERVER 2000

A szmtalan jdonsg egyike a mra mr egysgess vlt tzfal szablyok eldjeinek a megjelense volt, de kiss mshogy, mint napjainkban. Az Access Policy gyjtnv alatt kln szablyok vonatkoztak a Local Host gpre (IP Packet Filters), a weboldalak elrsre (Site and Content Rules) s kln az engedlyezett protokollokra (Protocol Rules), plusz kln elgazs volt a publiklsra (Published Rules). De ha pl. a hlzatkezelst nztk, akkor volt sszesen egy, azaz 1 db Internal nev hlnk (kizrlag a bels cmtartomnyt tartalmaz LAT, azaz Local Address Table alapjn), meg 1 db External s ksz. A bels s a kls hlzat kztt minden forgalom NAT-olt volt, a bels hlzathoz tartozk kztt pedig minden forgalomterels a tradicionlis tvlasztssal (route) trtnt.

~ 13 ~

A KAPUN TL

2.3 BRA ZEMMDVLASZTS TELEPTS KZBEN AZ ISA S ERVER 2000- BEN

A nvbl mr kiderl, hogy az Enterprise kiads a nagyobb rendelkezsre lls, a magasabb igny elvrsok miatt kszlt, s rkezett vele 1-2 olyan technolgia is, ami miatt a mai napig is ezt vlasztjk a nagyvllalati gyfelek (tovbbi rszletek a 13. fejezetben): - Az ISA tmb (array) alkalmazst, s gy pldul a tmbben lv ISA szerverek mkdsnek kzponti, hzirend alap knyelmes szablyzst. - Az NLB (Network Load Balancing) mdszer alkalmazst, ami pl. a webszervereink folyamatos elrhetsge s magas rendelkezsre llsa miatt vezettnk be - Mr akkor is jelen volt az Enterprise vltozatnl a CARP protokoll, amely az esetleges nagyobb mrtk, tbb szerverre elosztott web gyorsttr kialaktst is lehetv tette - Nem kerlt korltozsra a hasznlhat CPU-k szma (ti. a Standard vltozatnl maximum 4 CPU volt a limit) Az ISA Server 2000 Enterprise csak s kizrlag tartomnyvezrln mkdtt s - azta is pldtlan mdon - smabvtst is ignyelt! Kiadstl fggetlenl az ISA 2000 hozott mg egy rmiszt vltozst: a telepts utn azonnal lezrt minden kifel- s befel tart forgalmat, azaz neknk kellett engedlyezni adott esetben gpenknt, protokollonknt, vagy felhasznli fikonknt

~ 14 ~

MLT S JELEN(s mg jpr paramter segtsgvel) a hozzfrst. Egyetlen szably volt csak a rendszerben alaprtelmezs szerint, az pedig mindent letiltott! Az elv helyes volt s ma is az, de akkoriban ez azt jelentette, hogy sokaknak jra kellett tanulni a tzfal szakmt. Mg slyosabb kvetkezmny volt, hogy RDP-n keresztl a telepts br ment, de a sikeres telepts utn egy game over kvetkezett. Az ajnls akkor az volt, hogy hzd le a hlzatrl az ISA-t s gy teleptsd, konfigurld be, majd tedd fel a hlzatra. A ksbbi ISA-k s a TMG viszont ebben is maradandt alkotott: a teleptskor ha RDP-n vagy bent, szreveszi s forrs IP cmedet automatikusan engedlyezi.

2.4 BRA A Z ISA S ERVER 2004

Aztn pontosan 3,5 v mlva jra jratanultuk. Ugyanis 2004 szeptemberben megrkezett az ISA Server 2004. A fellet teljes egszben megvltozott, tnyleg eltvedtnk benne az elejn. Belpett a multinetworking tmogats (az 5 alap hlzaton kvl akrhny logikai hlzatot kipthettnk), egysgesedtek, m sszetettebbek lettek a tzfalszablyok, megvltozott a VPN szerver szerepkr, immr lett VPN karantn tmogats is, vltozott a felhasznli csoportok kezelse, a hitelestsi metdusok, a felgyeleti mdszerek, s megjelent az eleinte igencsak rejtlyesnek tn System Policy. risi vltozsok trtntek a szimpla s a webszerver publiklsban, a tanstvnyok

~ 15 ~

A KAPUN TLhasznlatban (azrt itt mg rfrt volna), a TCP s az UDP mellett az IP szint s az ICMP protokollokat is tmogatta az ISA 2004. Egyttal jra vltozott a tartomnyi tagsggal kapcsolatos ajnls: a RADIUS tmogatssal a kzvetett hitelests lehetv vlt, gy a tartomnyi tagsg (klnsen az Enterprise kiadsnl) mr nem volt felttel, st. Az RSA SecurID nvtr hasznlata egyszerv vlt, s kaptunk egy remek, m azta is mltatlanul httrbe szorult HTTP filter-t is, meg egy csudaj online naplt, s megjelent a szleskr Exchange tmogats is, beptve. Azt hiszem, ez nem egy akrmilyen lista, pedig most mr prblok szkszav lenni, mivel ezek a tmk konkrtan s rszletesen visszaksznnek majd a kvetkez fejezetekben. De - hogy ms oldalrl is emltsnk meg pldkat eltnt a termkbl a mr emlegetett svszlessg-szablyzs, valamint pl. az Active Caching (ami valjban ott maradt a UI-n, de nem mkdtt, csak az SP1 radrozta ki vgleg ).

2.4 BRA A Z ISA S ERVER 2006

Na de, a trtnetnek (lsd: az ISA saga) nincs vge, alig ocsdtunk fel, mris itt volt a nyakunkon a legjabb trnkvetel, az ISA Server 2006 (2006 oktberben). A ktves intervallumbl bizonyra az avatlan szemllnek is kiderl, hogy itt risi, az alapokat is rint vltozsok mr nem trtntek, de sok okos s praktikus finomts viszont igen. Ahol nagy vltozsok trtntek, az a hitelests, ezen bell is a hitelests-delegls, a rlap alap hitelests (mobil eszkzkre is kiterjesztve), valamint a klnbz nvterek (AD, Windows, RADIUS, SecurID, OTP) vltozatos hasznlhatsga, az SSO (Single-

~ 16 ~

MLT S JELENSign On), s a Link Translation lehetsgek soha nem ltott magassgokba emelkedtek. Az Exchange mellett integrlt Sharepoint publiklst is kaptunk, kibvlt az NLBS tmogats, valamint (vgre) tlthatbb vlt a tanstvnykezels. Az ISA Server 2006 mr nem volt telepthet Windows 2000 Server-re, ellenben hasznlhattuk a Windows 2003 R2-n is. n nem unatkoztam 2006-ban sem, azaz volt mit elsajttani az ISA Server kapcsn, s a vgn annyit mg hozztennk, hogy az azta elrhet - nem elssorban biztonsgi4 javtcsomagokban (Supportability Upgrade, valamint az SP1) is kaptunk szmos kellemes meglepetst okoz segdeszkzt.

2.2 M IRT FOREFRONT

S MIRT

TMG?

A historikus ttekints utn nem rt megjegyezni rgtn az elejn, azt a tnyt, hogy a TMG-ben minden benne van ami az SP1-es llapot ISA Server 2006-ban megtallhat volt. Ahogy lttuk a korbbi ISA vltozatoknl voltak vltozsok, volt, ami kiesett, volt, ami visszajtt, de itt most nem, a jelents szm jdonsg mellett minden eddigi ISA tuds benne lakozik a termkben. Ezt az elvet kvetem ebben a frcmben is, sok-sok helyen, amikor a TMG egyegy olyan szolgltatsrl lesz sz, ami az ISA-ban is megvolt, ezt nem fogom kln kihangslyozni. gy viszont a drzslt szakiknak is t kell futni mindent de taln ez nem lesz akkora fjdalom. Ms krds, hogy a fellet vltozsai miatt, ha a j rgi megszokott helyen keresnk pl. bizonyos belltsokat vagy funkcikat, akkor idnknt orra bukunk, de ez csak navigci illetve megszoks krdse, idvel menni fog. Errl mg lesz bven sz egybknt a 4. fejezetben. Egy msik lnyeges elem a nv. A Microsoft termkeknl idnknt elgg szofisztikusan vltoznak a termknevek, az tnevez kommand5 lelkesen mkdik. gy aztn - ahogyan lthat -, a TMG esetben is trtnt vltozs, mghozz kett is, de azrt egy rvid kitekints utn ezek vrhatan mindenki szmra logikusnak s rthetnek tnnek majd.

4 5

Az ISA nem arrl ismert, hogy gyrilag tele lenne lyukakkal, de ez gy is van rendben. A jogok BK tulajdonba tartoznak ..

~ 17 ~

A KAPUN TLrdekes bels sztori az, hogy 2003-ban amikor Redmondban dolgoztunk az ISA 2004-en, akkor a team egyrtelmen a Microsoft Firewall Server nevet akarta adni a termknek, viszont ezt a marketing a vgn thzta. Ennek kt zenete lett volna: 1, szaktani az ISA nvvel, mert rossz men volt a tzfalak krben az ISA 2000; 2: f zenet az, hogy ez a termk NEM web caching termk elssorban, hanem tzfal, ami mellesleg tud gyorsttrazni is (a mai napig alaprtelmezs szerint a cache ki van kapcsolva). Az id bennnket, azaz a team-et igazolja sajnos, mert sokszor mg mindig elssorban web caching proxy-nak tekintik a termket, pedig nem az. (A lektor megjegyzse.) A Forefront eltag a csaldot jelenti. Ez egy npes csald, s egy npes, s rendes csaldhoz illen a tagjai szoros, idnknt egszen intim kapcsolatban llnak egymssal. A csald tagjai rtelemszeren a biztonsgi megoldsokhoz ktdnek, a legfrissebb Forefront Endpoint Protection nev kliens oldali antimalware (a vrusok s spyware-k sszefoglal neve) termktl a specilis kiszolgl szoftverek (Exchange, Sharepoint, OCS) vdelmn keresztl az olyan komplex tagokig, mint a TMG vagy az UAG. s ne feledkezznk meg a skla abszolt nagyvllalati oldaln ll olyan aktv elemrl, sem mint a Forefront Protection Server (lnykori nevn Stirling, jelenleg mg bta), mr csak azrt sem, mert ez lesz az a termk, amely pont a csald sszes, vagy majdnem sszes elemt sszefogja, s kzs munkra brja majd.6 Egybknt ez a csald klnleges gykerekkel br, mivel a tagok jelents rsze kamasz vagy ppen felnttkorban vltak teljes jog csaldtagg, azaz nem a Microsoft eredeti fejlesztse mindegyikk (lsd az Antigen illetve pl. az IAG kulcsszavakat), m mostanra, azaz az olvaszttgelybe trtn alapos s tbbszrs megmerls utn, ez mr nem szmt. Kzs a cl s egysgben az er.

6

2010 janurjban ez mg igaz volt, de augusztusban mr nem, ez a termk bizontytalan ideig kimarad a kzeli fejlesztsekbl, de azrt bennehagytam a szvegben (gy ahogy a TMG MMC-ben is lthatjuk jpr helyen)

~ 18 ~

MLT S JELEN

EGY RSZTVEV HINYZIK , EZ PEDIG A

2.5 BRA A F OREFRONT CSALD TAGJ AI 7 F OREFRONT I DENTITY M ANAGER 2010 (FIM) (A Z FPM APROPJN LSD A LBJEGYZETET )

A fejezetindt krds msodik felt tekintve imho a Threat Management Gateway nv is ersen indokolt, mivel az Internet Security s Acceleration nev megolds egy msik, lassan letn korszak kpviseljt mutatta. Internet Security? Acceleration? Ez az ltalnosts illetve egyszersts mg az ISA 2000-re igaz lehetett, de hogyan lehetne ma mr az Acceleration-nal a cache utalni a nvben, mikor ez a termkben megjelen kpessgek olyan kb. 2 %-t takarja. Ma mr kiss msok a kihvsok, a TMG-be kerl j megoldsok jelents rsze valban az direkt incidensek (threat) elkerlsre illetve megelzsre szolgl (Antimalware, NIS, HTTP s HTTPS vizsglat, spam s vrusszrs az Exchange szmra s stb.). s a Gateway hvsz sem kevsb jelents, azt sugallja, hogy itt, az Edge (perem?) ponton kell megfogni mindent. Idig jnnek a vrusok, idig jnnek a tmadsok, idig jnnek az autentikcis ksrletek innen viszont a TMG lerendezi a problmt, teljhatalm r 8 a hlzati forgalom tekintetben, s ha korrekt mdon uraljuk, akkor a hatalma valban bennnket szolgl. Kiss taln magasztos bekezds volt ez, de a lnyeget lefedi.

7

2010 prilisban aztn meg is jelent. Randa dolog megszemlyesteni a termkeket, n lszban utlom is ezt, de most elnztem magamnak.8

~ 19 ~

A KAPUN TL 2.3 H NY TMGsszesen 2 db. Eddig errl egy sz sem esett, pedig ez egy alapinformci. s muszj rni errl a tmrl, mert sok a flrerts, jrtamban-keltemben mg azoktl is hallok fura vlekedseket, akik elvileg "benne vannak az iparban". Szval a knyv f tmjaknt emlegetett TMG verzi mellett ltezik egy n. TMG MBE vltozat is, amelynek a publikus histrija a rgebbi, azaz 2008 novembernek krnykre datldik (a nagy TMG RTM 2009 novemberben jelent meg), s eleinte elvlaszthatatlanul ktdtt az EBS-hez (Essential Business Server), azaz az SBS szerver nagytestvrhez. Az EBS-ben megjelen hrom f szerepkr s szerver (Management, Security s Messaging) egyikeknt a Microsoft a TMG akkori llapotban lv vltozatt adta hozz ehhez a csomaghoz, amelyet ugyangy a Threat Management Gateway nvvel illetett, de emellett a Medium Business Edition tagot is szerepeltette a nevben. Ennek a cuccnak amellett, hogy az ISA Server 2006 RTM (ez fontos, lsd ksbb) minden tudst lefedte, a kt f jdonsga volt. Az egyik az, hogy fel lehetett telepteni Windows 2008-ra, pontosabban a 64 bites Windows 2008-ra is (az EBS-ben minden szerver x64-es gyrilag), s ebbl kvetkezik, hogy pl. Hyper-V al is. A msik elny a majd a ksbbiekben rszletezett Malware Inspection rszleges integrlsa. A Malware Inspection TMG s TMG MBE kztti klnbsgekrl mr rtam a TechNet blogon: TMG Malware Inspection - szrs ezerrel - I. rsz http://www.microsoft.com/hun/technet/article/?id=30d3d111-4cb9-4f82-b9f7d8167624ecfb TMG Malware Inspection - szrs ezerrel - II. rsz http://www.microsoft.com/hun/technet/article/?id=255b9f92-89d6-42dd-9bcc189ffd68227b Ez a kt jdonsg csak tredke a "nagy" TMG szmos nagy durransnak, de azrt s fleg akkor nagyon hasznos volt. Na de folytassuk a sort a tovbbi MBE hinyossgokkal illetve eltr tulajdonsgokkal, immr felsorols szeren: 1. Hangslyoztam korbban az ISA 2006 RTM verzijt, nos, ez azrt lnyeges, mert az ISA 2006 SP1-gyel (2008.03.) pr praktikus jdonsg "beleesett" a termkbe, sVAN ?

~ 20 ~

MLT S JELENht ezek az MBE vltozatbl viszont kimaradtak (de ebbl a knyvbl nem fognak), nzzk meg melyek: - Configuration Change Tracking (egybknt a TMG-ben ez mr automatikus) - Web Publishing Rule Test Button (ez klnsen fjhat, tesztelsnl remekl mutatja a hibkat) - Traffic Simulator (ez is fj, teljesen praktikus) - Diagnostic Logging Query (ez mr nem annyira, hiszen gyakorlatilag csak egy link gyjtemny, tbbek kztt pl. a BPA-ra utalva) ISA Server 2006 SP1 jdonsgok http://blogs.technet.com/isablog/archive/2008/05/23/isa-server-2006-servicepack-1-features.aspx 2. Ha mr itt tartunk az SP1 eltt, 2007 novemberben megjelent ISA 2006 Supportability Update "jsgait" (mint pl. a log sznezs), az MBE is ismeri. 3. Igaz, hogy 64 bites OS alatt mkdik, de ha jl benznk a Task Managerbe, akkor azt lthatjuk, hogy az MBE processzei mind-mind 32 bitesek. 4. Abszolt nem SA (Software Assurance) kompatibilis, sem lefel, sem felfel, teht kiss nehzkes csomagban hozzjutni, gyis mondhatnm, hogy lehetetlen.

2.6 BRA TMG VS . TMG MBE ( A PIROSSAL KIEMELTEK

AZ

MBE- RE IS VONATKOZNAK )

5. Ksbb az MBE letben annyi vltozs trtnt, hogy az EU-ban kln is kaphatv vlt, azaz az EBS nlkl is megvsrolhat. Jmagam vettem is egy cg szmra egy rendszerpts apropjn, mivel tudtam, hogy amikorra "belesedik" a terv,

~ 21 ~

A KAPUN TLmr szksg lesz egy Windows Server 2008 x64 alatt is mkd tzfalra, s akkor a nagy TMG mg sehol sem volt. Nincs is vele baj, szpen mkdik azta is. De sajnos a teleptsnl kiderlt egy szmomra is meglep krlmny, azaz, hogy sajnos nem Windows Server 2008 R2 kompatibilis, s kis nyomozs utn megtudtam egyenesen Jim Harrisontl9 -, hogy nem is lesz az. Szval ez egy rdekes helyzet, s persze ma mr nincs rtelme MBE-t venni kln10, s be kell ltni, hogy ez egy kztes llapotot jelentett csak, ebben a nagyjbl 1 ves intervallumban.11

9

A szakma egyik kimagasl alakja, a Microsoft Forefront Edge Security Team tagja 2010 szeptemberben mr nem is lehet. 11 Egybknt a kiadsnak egyik oka az volt, hogy az antimalware kpessget lesben is lssuk mkdni, mivel sok aggly volt a teljestmnnyel, de szerencsre ezek alaptalannak bizonyultak (A lektor megjegyzse).10

~ 22 ~

A TELEPTS S ELZMNYEI

3 A

TELEPTS S ELZMNYEI

Tipikusan ez az a rsz, amelyet a rutinos (de nem elg rutinos) rendszergazdk t szoktak lpni. De n (s fleg a Microsoft) ersen ajnlom, hogy egy ilyen extra rzkeny helyzet termk esetn ezt ne tegyk. A TMG szervergp(ek) teljestmnyt, stabilitst s fkpp megbzhatsgt mindenki fogja rezni a hlzat mindkt (vagy inkbb sszes) oldaln. Ebben a fejezetben tbbek kztt teht nemcsak a szoftveres s hardveres kvetelmnyekrl, hanem a hlzattal kapcsolatos elvrsokrl, a TMG alkalmazsnak forgatknyveirl, a virtualizci hasznlatrl, s magrl a teleptsrl is sz lesz. Anlkl hogy bagatellizlnm a teleptst, valsznleg a rutinos szakik is tudjk, hogy az elzmny sz a cmben a 95%, mg a telepts a sikeres bezemelsnek csak tredk rsze, mondhatnnk a gymlcse.

3.1 A

RENDSZERKVETELMNYE K

A hardveres kvetelmnyek rszletezsnl ltalban csak a minimum kvetelmnyeket kapjuk meg, ami rthet, hiszen pldul a feladat s/vagy a terhels az, ami meghatrozza a hardver elemek elvrt teljestmnyt. rtelemszeren a 15 k-s, SAS RAID lemezekrl, vagy a 4x4 magos CPU-krl itt nem lesz s nem is lehet sz, maximum majd a megszvlels fejezetben. A minimumszint teht a kvetkez: - 64-bit-es CPU, akr Intel (Extended Memory 64) vagy akr AMD64 zls szerint, a hitvitba semmikppen nem mennk bele, viszont csak s kizrlag 64 bit, a TMG-nek nincs 32 bites vltozata, mg prbavltozat sem12 - Windows Server 2008 x64, Windows Server 2008 R2 x64 (Standard, Enterprise, s Datacenter kiads, a Web, a Server Core s a Foundation nem) - 2 GB RAM - 2.5 GB HDD hely (ez csak a rendszer, ebben sem a cache, sem pl. a malware vdelem karantnja nincs benne) - Minimum egy hlzati krtya (hogy ez milyen azon is sok mlik, lsd ksbb) - Tovbbi hlzati krtyk a tervezett szkenri fggvnyben (3.3 fejezet) - NTFS fjlrendszer E m elksztse kzben jelent meg az ISA-nl mr megismert n. Capacity Planning Tool TMG-re passzol vltozata. A tervezett svszlessg, a felhasznlk szma illetve a TMG kivlasztott szolgltatsainak ismeretben viszonylag egyszeren kiszmolhatjuk azt, hogy milyen s mennyi hardverre, pl. milyen CPU-ra, mennyi RAM-ra, stb. lesz szksgnk a Microsoft ajnlsa alapjn. Radsul a korbbi vltozathoz kpest egy

12

A Management MMC konzol egy msik krds, de erre mg visszatrnk

~ 23 ~

A KAPUN TLrvendetes vltozs az, hogy a knnyen feledhet flash-es vltozat utn visszatrtnk a j kis Excel tblkra :) Forefront Threat Management Gateway 2010 Capacity Planning Tool http://go.microsoft.com/fwlink/?LinkId=182886

3.1 BRA R SZLET TMG C APACITY P LANNING T OOL - BL , HASZNLJUK BTRAN

A szoftveres kvetelmnyek viszont lnyegesen rnyaltabbak, pl. a Windows Server 2008 szolgltatsai s kpessgei kzl az albbiakra lesz szksg: - Active Directory Lightweight Directory Services (a korbbi ADAM, azaz a TMG a Standard vltozatnl is szaktott a registry-ben trolt konfigurci elvvel) - Network Policy and Access Services Server - Web Server (IIS) - Network Load Balancing Tools - Windows PowerShell Rutinos szemmel az IIS-en meglepdhetnk, hiszen eddig arrl volt sz, hogy a tzfalra webszervert semmikpp se tegynk, mert klnben csnya hallt

~ 24 ~

A TELEPTS S ELZMNYEIhalunk, meg a csaldunk s mg a szomszdok is, de az idk vltoznak. s azrt ez nem egy kznsges a 80-as porton figyel webszerver, hanem egy a 8008asra bedrtozott pldny, amin nem is tudunk vltoztatni. Egyb szksges, de nem integrlt sszetevk: - Microsoft SQL Express 2008 vagy - Microsoft SQL Server Native Client - Microsoft SQL Server Volume Shadow Copy Service (VSS) Writer - Office Web Components (rsze az SQL Server Express teleptsnek) - Microsoft .NET Framework 3.5 SP1. - Windows Web Services API. - Microsoft Windows Installer 4.5. Amit mg tudni kell, hogy a TMG eltvoltsa sorn a Windows Server 2008 szerepkrkn s kpessgeken valamint az Office Web Components alkalmazson kvl minden ms automatikusan lekerl a rendszerrl, m ezeket viszont kzzel kell eltvoltanunk, ha nincs r szksg a tovbbiakban. s ami a legjobb: a szmos felttel ellenre gyakorlatilag semmilyen manulis teendnk nem lesz a szoftveres komponensekkel, mivel a telept rsze egy specilis eszkz, az n. Preperation Tool (a teleptsnl majd megemlkeznk errl bvebben), ami nagyon praktikus. De itt is van kivtel, ugyanis ha az Exchange-nket kisegt e-mail vdelem TMG-re illesztst is hajtjuk, akkor az ahhoz szksges komponenseket viszont mr manulisan kell telepteni.

3.2 A

HLZATI VISZONYOKR L

Az ISA/TMG szerverek teleptse eltti egyik kulcsfontossg krds (sokan el is hasalnak ezen, ez kiderl a frum/levlista krdsekbl), a hlzati krtyk belltsa. A ktsi sorrend, a kls hlkrtya szigor belltsa, a DNS s NetBIOS belltsok, mind-mind olyan terlet, ami adott esetben lehetetlenn, vagy rosszabb esetben13 kiszmthatatlann, illetve teljestmny pazarlv teheti a mkdst. Nzzk sorban a helyes elveket s teendket. Ha tbb hlkrtynk, azaz tbb hlzatunk van (lehetne egy is, lsd 3.3.5), akkor van nhny praktikum illetve aranyszably, amit clszer betartanunk:

13

Szerintem ha valami nem mkdik, akkor ltalban knnyebb kinyomozni az okot, mintha csak rszlegesen, vagy nem kell teljestmnnyel, vagy ideiglenesen teszi ugyanezt.

~ 25 ~

A KAPUN TLNevezzk el a hlkrtykat egy egyrtelm, az adott hlzatra utal nvvel (Internal, External, egy ADSL kapcsolatnl pl. az ISP neve, stb.)

3.2 BRA A Z TNEVEZS EGYSZER , S PRAKTIKUS

-

-

-

-

Szmoljunk azzal, hogy egy s kizrlag egy alaprtelmezett tjrnk lehet14. Ez egy tipikus kt hlkrtys rendszerben mindig a kls interfszen lltjuk be (vagy automatikusan belltja az ISP DHCP-je). A bels hlzat TCP/IP belltsai kztt biztosan nem szerepelhet egy DG. Csak egy interfsz TCP/IP tulajdonsgai kztt lltsunk be DNS szervereket. Ez tipikusan a ktsi sorrend tetejn helyet foglal krtya lesz, s tipikusan (fkpp ha tartomnyban van a TMG) az AD elrshez szksges DNS szerver(ek) cmei lesznek. A nem szksges protokollokat s adapter ktseket minden hlkrtyrl tntessk el (interface hardening). Ez klnsen a klsnl lesz fontos, de errl mg beszlnk. A hlzati interfszek ktsi sorrendjnek (Network Binding Order) kialaktsa kritikus teend.

3.2.1 A H L Z AT I K R T Y K K T S I S O R R E N DJ E Ha tbb krtynk van, mindig van ktsi sorrend, ergo ezzel foglalkoznunk is kell, mert knnyen lehetsges, hogy az alaprtelmezett bellts nem megfelel. Ha az elz brra nznk, akkor a ktsi sorrendet az Advanced/Advanced Settings/Adapter and Bindings fl alatt talljuk meg. A TMG teljestmnyt erteljesen befolysolja ez a sorrend, hiszen itt derl ki, hogy milyen nvfeloldsi mechanizmust hasznl az opercis rendszer elssorban, majd msodsorban s gy tovbb.14

Vagy majd nem, lsd 6.3.

~ 26 ~

A TELEPTS S ELZMNYEI

Az ajnls az, hogy ahol a legnagyobb hlzati forgalmat vrjuk az legyen az els helyen. Kt hlzati krtys krnyezetben azonos forgalmat, vagy kzel azonos forgalmat vrunk mindkt krtyn, ezrt a bels hlzat interfsze legyen a legels helyen. Viszont tbb hlzat esetn ez mr nem mindig egyrtelm, ergo legyen a forgalmi mrtke az irnyad.

3.3 BRA E Z EGY HELYES SORREND

3.2.2 A H L Z AT I K R T Y K F INO M H ANG O L S A Ha az adott krtya a megfelel helyen van a ktsi sorrendben, illetve ha a nem megfelel adapter ktseket eltvoltottuk a hlkrtyinkrl, akkor mg mindig van teendnk: a TCP/IP konfigurci. Ez adapterenknt ersen klnbzhet, s elssorban attl fgg, hogy mire hasznljuk az adott adaptert. A bels, azaz a LAN fel mutat hlkrtya ajnlott belltsai: - File and Print Sharing for Microsoft Networks: ez vitatma lehet, ha nagyon szigorak vagyunk akkor letiltjuk, m ha szksg van tbbek kztt pl. a fjlmegosztsok elrsre a TMG szerveren, akkor muszj engedni. - Client for Microsoft Networks: engedlyezve (lsd elz pont).

~ 27 ~

A KAPUN TL

TCP/IP: - Default Gateway: nincs - DNS kiszolglk: van, az AD-hoz hasznlt, tipikusan a tartomnyvezrlk - Register this connections address in DNS: engedlyezve - NetBIOS over TCP/IP: engedlyezve A DNS illetve a WINS fln szerepl egyb belltsok egyediek lesznek, gy azokat igny szerint hasznljuk. Egy kls, azaz az Internet fel mutat hlkrtya ajnlott belltsai: - File and Print Sharing for Microsoft Networks: szigoran csak letiltva - Client for Microsoft Networks: szigoran csak letiltva TCP/IP: - Default Gateway: nincs - DNS kiszolglk: nincs - Register this connections address in DNS: letiltva - NetBIOS over TCP/IP: szigoran csak letiltva A kls interfsznl mg vannak tovbbi teendink is. Elszr is tipikusan tnyleg minden ktst leszednk a TCP/IP protokollok IPv4-es s IPv6-os (ez megint csak vitatma lehet, lsd mindjrt) kpviselin kvl errl a krtyrl. Ha mr van teleptett TMG-nk, akkor a Forefront TMG Packet Filter-t nem tudjuk egyik interfszrl sem, de ez rendben is van gy. Adott esetben az IPv6-ot is leszedhetjk, de tudnunk kell hogy ezzel mg nem tiltjuk le teljesen, ehhez registry turkra is szksg lesz. m most eljtt az ideje, hogy leleplezzem a fjdalmas titkot: a TMG nem rendelkezik IPv6 tmogatssal. Limitlt forgatknyvekben igen (pl. DirectAccess), de alaprtelmezs szerint nem. Az IPv6 forgalom szrse teht nem megy a TMG szmra, annyira nem, hogy alaprtelmezsben blokkolja is ezt. Ezutn az eddig felsorolsban nem szerepl kvetkez tteleket is kapcsoljuk ki, biztos, ami biztos: - Append parent suffixes of the primary DNS suffix - DNS suffix for this connection - Enable LMHOSTS lookup (s nyilvn WINS szerver sincs)

~ 28 ~

A TELEPTS S ELZMNYEIKsbb lesz mg sz rszletesen a Perimeter hlzatrl, de most anlkl hogy rszletekbe belemennnk, a teljessg kedvrt lejegyzem az ide passzol, ajnlott belltsokat is: - File and Print Sharing for Microsoft Networks: letiltva - Client for Microsoft Networks: letiltva TCP/IP: - Default Gateway: nincs - DNS kiszolglk: nincs - Register this connections address in DNS: letiltva - NetBIOS over TCP/IP: letiltva A hlzati krtyk gyben egy tma mg mindig van, s ez pedig a klnbz specilis az j hlzati hardver technolgik tmogatsa. ISA Server esetn, a Windows Server 2003 SP2-ben egy megjult hlzatkezelsi csomaggal szembeslhettnk (ez Scalable Networking Pack, lsd a linket ksbb), amely arra volt hivatott, hogy megfelel hlzati krtya s meghajt program esetn tmogassa a hlzati csomagok feldolgozsnak thelyezst magra a hlzati krtyra, ami hasznos megolds, mivel processzor kapacits szabadthat fel gy. Szintn jdonsg volt, hogy a megfelel NDIS miniport driver hasznlata esetn (v6.0) a csomagok feldolgozsa mr megoszlott a rendelkezsre ll processzorok kztt. Viszont az ISA Server-nl eleinte ez komoly, a ksbbi vltozatoknl kisebb problmkat okozott, a BPA (Best Practice Analyser, lsd a 11.4 fejezetet) siktott is emiatt, s kvetelte, hogy tiltsuk le az SNP csomag rszeit (pl. a TCP Chimney offload-ot, vagy a Receive Side Scaling-ot. Napjainkban viszont a lnyeg az, hogy mivel a Windows Server 2008-tl ezen sszetevk natv llapotban beptsre kerltek a TCP/IP stack-be, ezrt ilyen problmnk a TMG-vel mr nem lehet, gy ahogy az Explicit Congestion Notificationnel kapcsolatos sem jellemz15, mr persze, ha a hlzati hardverlnc minden eleme rszrl megvan a tmogats. Scalable Networking Pack (a Windows Server 2003-hoz) http://support.microsoft.com/default.aspx?scid=kb;[LN];912222 Rszletes infk az ECN-rl: Petrnyi Jzsef: TCP/IP alapok, 1. ktet v2.0

15

De azrt mg ma is hibznak a driverek, ergo ezt alaposan tesztelni kell s problma esetn kikapcsolni.

~ 29 ~

A KAPUN TLhttp://www.microsoft.com/hun/technet/article/?id=3effd5d3-139c-471a-adeba71a6885562f

3.2.3 DNS S N E T BIOS jabb kritikus terletre tvedtnk. A nvfelolds mindig az, hiszen rengeteg minden fgg ennek a helyes mkdstl, aminek persze nem mindig csak egy jl betltd weboldal, vagy egy pingelhet cm a pozitv vgeredmnye, hanem egy felesleges terhelstl megvott DNS vagy TMG szerver. Mirt is fgg ennyire pl. a DNS-tl a TMG? Szmos okot kinyomozhatunk, de megemltenk egy nem tipikus pldt. Ha szeretnnk egy olyan tzfalszablyt krelni, amellyel ltalunk kivlasztott internetes oldalakat tiltunk vagy engednk nv szerint, akkor a szably rvnyre jutsakor a TMG egy DNS nv- s reverse IP16 lekrdezst is vgez egyms utn. Ha sok ilyennk van, akkor mindannyiszor. Nyilvn a DNS cache nem ismeretlen fogalom a TMG szmra sem, m ennek ellenre is ersen fgg az alap opercis rendszer nvfeloldsi mechanizmustl, ha ms nem addig, amg az informci nem kerl be a sajt DNS cache-be. De mondok mg egy pldt a NetBIOS nvfelolds apropjn, immr lpsekbe szedve: 1. A TMG alatt fut Windows tipikusan gy mkdik a nvfelolds sorn, hogy mindegy, hogy hogyan, de valahogy vgl legyen valamilyen nvfelolds. 2. Ezrt alapesetben a Windows-ok a hybrid node (HNode) tpus NetBIOS nvfeloldst rszestik elnyben. Ez azt jelenti, hogyha az OS-ben DNS s WINS szerver(ek) is be vannak lltva, de ezek valamirt nem vlaszolnak, akkor az OS ktsgbeesetten a klasszikus, s gyllt NetBIOS broadcast megoldst vlasztja. 3. Tny: a TMG nvfeloldsi krseinek jelents rsze internetes host-ok fel megy. 4. Ha egy publikus reverse DNS lekrdezs nem sikerl (Mindenki kitlti a reverse znjt? Dehogyis.), akkor vgl a NetBIOS broadcast lekrdezs lesz az alaprtelmezett. 5. Tny: a TMG alaprtelmezs szerint blokkolja a NetBIOS broadcast zeneteket (nagyon helyesen), de a Windows nem. 6. Kb. mennyi id amg kiderl, hogy a vgs NetBIOS broadcast sem megy az interneten? Rengeteg, akr 1 teljes perc is. szveszejt.

16

Ez utbbi egybknt egy TMG jdonsg, rgebben nem volt ilyen.

~ 30 ~

A TELEPTS S ELZMNYEIJavaslat: tiltsuk le a TMG alatti OS-ben a NetBIOS broadcast forgalmat (azaz lljunk t PNode-ra), s egyben nveljk a TMG teljestmnyt a kvetkez registry kulcs alatti machincival: HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\NetBT\Paramete rs Name: NodeType Type: REG_DWORD Value: 2 Mivel ez a vltozs a Windows egyik kernel md hlzati komponenst rinti, (konkrtan a NetBIOS over TCP/IP-t), ezrt az jraindts ktelez. Most egy kicsit beelzm magam, s a munkacsoport/tartomny tmt egy kicsit elre hozom, de csak a DNS apropjn. Ha ugyanis tartomnyban vagyunk, a bels krtya DNS szervereinek belltsa nem krdses, rtelemszeren a tartomny alapjul szolgl DNS szervereket kell bejegyeznnk, s gondoskodnunk arrl, hogy ez rendesen be is legyen lltva17. Ha viszont valamilyen okbl egy munkacsoportban van a TMG, akkor is szksg van ugyangy a bels s a kls host-okkal kapcsolatos nvfeloldsra, ez alap mindig. De mi van akkor, ha a cges elrsok nem engedik tartomnyi tagsg nlkl a bels DNS szerver(ek) elrst? Kt eshetsg addik ekkor: 1. Tallunk vagy teleptnk kln egy olyan nem tartomnyi tag DNS szervert, amely kpes a Conditional Forwarding mdszert hasznlni, azaz a TMG-tl pl. a bels tartomny fel men krseket mint DNS szerver tovbbtani s vlaszt szerezni. 2. DNS szervert teleptnk a TMG-re s ezt hasznljuk Conditional Forwarding DNS szerverknt a bels hlzat fel, s sima forwarder-knt a kls hlzat fel. Mindkt megoldsnak van elnye s htrnya, ha pldul arra gondolunk hogy a TMGre egy plusz szolgltatst kell teleptennk, az fjdalmas, m egy kln szervert erre hasznlni szintn az. Na de hagyjuk is ezt a munkacsoportos felllst de errl majd ksbb. Vgl s negyedik esetknt a nvfelolds versus TMG gyben, egy abszolt hibs konfigurcira hvnm fel a figyelmet. Magam is lttam, de olvastam is mr olyat, hogy az zemeltet az ISA szerveren a kls s a bels lbra is belltott DNS szervereket, radsul mindkettre egyformn egy-egy kls s bels DNS szerver IP cmt is17

De ez nem TMG specifikus tma, ezt enlkl is meg kell oldanunk, pl. a kls feloldst a forwarder-ekkel vagy ha ms nincs, akkor a root-dns-ekkel.

~ 31 ~

A KAPUN TLbevste, merthogy biztos, ami biztos. Nos, ugyan ezzel nem lltotta meg az ISA mkdst, de hallosan lelasstotta, mivel nha az egyik ment sikeresen, nha a msik, nha elsdlegesnek hasznlta a belst s gy OK volt, de ha ez mgsem volt elrhet, akkor prblkozott a bels cmeknl is a kls DNS szerverrel, szval elgg kaotikus volt a helyzet, s elgg izzadt az ISA szerver is. Ht, van ilyen is, ergo ha nem vagyunk teljesen tisztban a DNS mkdsvel, akkor kiindulsknt olvassuk el ezt a rgi, de rkrvny cikket: Best practices for DNS client settings in Windows 2000 Server and in Windows Server 2003 http://support.microsoft.com/kb/825036

3.3 TMG

FORGATK NYVEK

Kezdjk azzal, hogy nzznk t egy vgs ellenrzsi listt, mieltt nekiesnk a teleptsnek.3.1 TBLZAT

Feladat Rszletek Az opercis rendszer biztonsgi A telepts eltt s utn is szksg lesz arra, hogy a llapota Microsoft Update szerverekrl lehzzuk a frisstseket. Errl gondoskodunk kell valahogy (akr egy helyi WSUS, vagy SCCM is j persze). Meghajtprogramok Klns tekintettel a hlzati krtykra! Hlzati krtyk Sorrend, ktsek, TCP/IP - mr tudunk mindent. Nvfelolds Mely DNS szerver(ek) segtenek majd a TMG-nek a nvfeloldsban? Szksg van NetBIOS nvfeloldsra is? Bels cmtartomny Az alaprtelmezett bels hlzat IP tartomnya Hlzati sablon Milyen hlzati forgatknyvre lesz szksg? Milyen krlmnyek kztt fog dolgozni a TMG? A TMG gp helye Tartomny vagy munkacsoport? Az utols kt krdsre mg nem tudjuk a vlaszt, pedig ezeket mindenkppen ki kell tallnunk a telepts eltt. A tartomny vs. munkacsoport krdssel ksbb foglakozunk, viszont a helyes hlzati sablon kivlasztsa most aktulis. Persze ezt a valsgban nem 2 oldallal elbb jn, mint a telepts, hanem nyilvn jval korbban, hiszen gyakorlatilag ez lesz az els igazn komoly rsze a tervezsnek. Az albbiakban a kvetkez t, kiemelt forgatknyvrl fogok beszlni: - Edge firewall (ktfle is)

~ 32 ~

A TELEPTS S ELZMNYEI3-Leg perimeter Back-end firewall Branch Office Firewall Single network adapter

3.3.1 E D G E

F I R E W A LL

3.4 BRA A Z E DGE FORGATKNYV

Taln ez a legtipikusabb, legtbbet hasznlt fellls, legalbbis a Standard vltozat TMG-nl biztosan. Egy tzfalunk van, kt hlzati krtyval, egy belsvel s egy az Internet-re mutat klsvel, amelynek egy publikus, fix IP-je is van. Ebben a felllsban a TMG blokkol minden nem engedlyezett forgalmat kvlrl, illetve elrejti a bels hlt a nyilvnos hlzatok fel. A tzfal, a web proxy, a cache, a publikls s a VPN szerver szerepkrk biztosan mkdhetnek mr ha van mindegyikre igny. Lthat mdon egy bels hlzatunk van, ebben kzsen foglalnak helyet a kliensek, s a publikland szerverek is, ennek elnye, hogy a bels hlzatban a kliensek a szerverek szolgltatsaihoz (Exchange, IIS, Sharepoint, stb.) egyszeren hozzfrnek. Persze a htrnya is ugyanebbl fakad ha valaki tjut a TMG-n, akkor minden bels erforrst elrhet. Termszetesen ennek kivdsre ebben a topolgiban is sokat tehetnk, azaz sz nincs rla, hogy vdtelenek lennnk, de errl majd ksbb. A bels szervereinket egyszeren publiklhatjuk az Internet fel, illetve a tvoli elrst is biztosthatjuk pl. az TMG-ban belltott VPN szerver segtsgvel. Ennek a megoldsnak ltezik egy B varinsa is, amikor is egy kisebb cgrl, kisebb hlzatrl beszlnk. Ennek a cgnek nincs bels, publikland szervere, vagy van, de nem akarjk publiklni. Az elektronikus levelezs a szolgltatnl van, a webszerver szintn, msra, azaz pl. a tvoli elrsre meg nincs szksgk. gy aztn marad az Edge fellls, azaz a proxy, tzfal s cache szolgltatst hasznljk, de pl. nincs szksg fix IP cmre, illetve a TMG-ben gyakorlatilag semmilyen befel jv forgalmat nem kell

~ 33 ~

A KAPUN TLengednnk (tiltani nem kell, a nem engedlyezs explicit tiltst jelent). J kis biztonsgos megoldsnak tnhet ez, persze kompromisszumokkal az, hiszen nincs Exchange, m az SMTP-t s a POP3-at meg kell majd engednnk az sszes Outlook user szmra. Brrr. 3.3.2 3-L E G P E R I M E T E R A kvetkez fellls egy fokkal biztonsgosabb, ergo magasabb ignyek esetn ezzel srbben tallkozhatunk.

3.5 BRA A 3-L EG P ERIMETER FORGATKNYV

Tovbbra is egy tzfalunk van, de most mr hrom hlzati krtyval, egy belsvel s egy az Internet-re mutat klsvel, illetve egy a Perimeter18 hlzatra mutatval. Ekkor mindent hasznlhatunk amit az Edge tpusnl, de a publikls vltozik. A bels hlzatban lv szervereket (Exchange, Web Server) csak a bels hlzatbl rjk, ha kvlrl jn valaki, akkor a Perimeter fel fogjuk irnytani, ahol szintn van egy webszerver, amely ekkor a publikus webszervernk lesz. s van itt egy Exchange is, ami az SMTP gateway lesz, azaz elfogadja a leveleket (ha rendesen csinljuk, akkor vrust is rt, s spam-et is szr), majd a maradk hasznos tartalmat betolja a bels Exchange fel s vice versa. A Perimeter hlzatnak van mg egy komoly elnye: az ISA vagy a TMG nem fogad el innen krseket elzmny nlkl. Azaz nincs olyan, hogy egy tmad innen prblkozik, mg ha be is jut ide (hiszen ezek a szerverek valban kapcsolatban vannak az internettel), innen a bels hl fel nem tud kezdemnyezni. A Perimeter hlzat elrse a felhasznlink szmra viszont krdses, s vltoz megtls, de a legjobb, ha nincs (a forgalmi hurkok elkerlse miatt adott esetben a kls webszerver s a bels webszerver szinkronjt valahogy meg kell oldanunk).

18

A Microsoft szhasznlata alapjn a Perimeter = DMZ.

~ 34 ~

A TELEPTS S ELZMNYEI3.3.3 B AC K - E N D F IR E W A LL Bekemnytnk. Szaktsunk az eddigiekkel, s legyen kt tzfalunk. A kett kztt lesz egy Perimeter hlzatunk is, de e lnyeg nem ez. Hanem az, hogy az bels tzfalunk s a kls tzfalunk nem egyforma tpus. Ezzel jl sszezavarjuk , a tmadt, hiszen adott esetben kt teljesen eltr tzfal feltrst is meg kell oldania.

3.6 BRA A B ACK -E ND F IREWALL FORGATKNYV

Az viszont nem vletlen, hogy a bels tzfal a TMG (mert ppen lehetne egy front-end forgatknyvnk is), hiszen ez az, amelyiknek kzelebb kell llnia a bels, mondjuk szintn Microsoft kiszolglkhoz s az AD-hoz, hogy minl jobban kiaknzhassuk az ebbl fakad elnyket (hitelests, publikls, stb.). Ms krds, hogy ilyenkor tipikusan a TMG-nek nincs publikus IP-je, azaz VPN szervert kiss nehzkesebb fabriklni, illetve a kt eltr tzfal kztt is addhatnak forgalom/port/stb. tovbbtsi s egyb problmk, de ht a ttel rk: knyelem x biztonsg = 1.

3.3.4 B R A N C H O F F IC E F IR E W AL L Induljunk ki abbl, hogy van egy telephelynk, ez ugye nem egy szokatlan krlmny, tipikusan bizonyos cgmret felett alaprtelmezs.

~ 35 ~

A KAPUN TL

3.7 BRA A B RANCH O FFICE F IREWALL FORGATKNYV

Erre a helyzetre is van forgatknyvnk, amely egy lland, vagy igny szerint felpl (on-demand) VPN csatornn alapszik. A csatorna kt vgn, a hdflls a kt TMG kiszolgl, a kt LAN felhasznli szmra az egsz fellls j esetben viszont transzparens, azaz maximum a sebessg klnbsgbl derl ki, hogy az a megoszts, amelynek parancsikonjra Gipsz Jakab kattintott nem is helyben van Csajgrcsgn, hanem Szegeden a cg kzponti irodjban. Ilyenkor mindenre hasznlhatjuk a TMG szervernket, amire eddig, a Site-to-Site VPN kapcsolatok mellett a TMG univerzlis hasznlata nem problma. A VPN lehet PPTP s L2TP is, st adott esetben tiszta IPSec is (ha valamilyen elvetlt okbl nem TMG-t akarunk a telephelyre tenni, akkor akr egy IPSec-et tud hlzati eszkz is, akr egy SOHO cucc is, de azrt csak vatosan.) Na de brmilyen is a VPN kapcsolat, a telephelyek (mivel persze szmtalan S2S kapcsolatunk lehet) internetes forgalmnak ellenrzse s korltozsa tern komoly elrelpsre szmthatunk (figyelem, ehhez nem szksges az Enterprise kiads!). Azaz van lehetsg arra, hogy a teljes telephelyi forgalmat a kzponti TMG-nk szrje meg, st arra is hogy a nagy-nagy, kzponti gyorsttrunkat megosszuk, s szlssges esetben mg arra is, hogy a kzponti cache tartalmn kvl mst nem rjen el a telephelyi felhasznl. 3.3.5 S I NG LE N E T W O R K AD A P T E R Ez egy pofonegyszer forgatknyv, ers korltokkal s a TMG alacsony szint kihasznlsval. Ebben az esetben egy hlzati krtynk van, s gyakorlatilag a web proxy s a cache szerepkr az ami mkdhet. Ilyenkor a TMG egy msik tzfal kiegsztseknt dolgozik, s mondjuk a web proxy-n keresztl a felhasznlk egyszer azonostsa (ha mondjuk van AD-nk, akkor pl. lehet ez a f szerepe) gy viszont, bna kacsaknt a kvetkez feladatokat illetve szolgltatsokat nem tudja elltni: - Firewall s SecureNAT kliens hasznlata - VPN szerver

~ 36 ~

A TELEPTS S ELZMNYEIIP csomagszrs Multi-network tzfal szablyok Szerver publikls Alkalmazs rtegbeli szrs

3.8 BRA A Z EGYKRTYS FORGATKNYV

Ennl tbb okossgot erre a forgatknyvrl nem lehet rszletezni, de j ha tudunk rla, hiszen addhat olyan helyzet, amikor erre van szksg.

3.4 A

KLIENSEK

Eredetileg ezt az alfejezetet lnyegesen ksbbre szntam, aztn rjttem, hogy nemnem, a kliensek tpusnak ismertetse ersen a tervezshez tartozik, ergo brhogy is lesz, muszj bepasszrozni ebbe a giga-mega hossz fejezetbe. Tisztzzuk az elejn: a TMG kliensei alatt a hlzat sszes maradk gpt rtjk, a tartomnyvezrlktl kezdve, Jucika a titkrn asztali PC-jn keresztl a CNC gpbe pakolt begyazott opercis rendszerig. St, maga a TMG gp is kliens. Hrom tpust klnbztetnk meg, mindegyiknek vannak elnyei illetve htrnyai egyarnt, n most aszerint taglalom ket, hogy mennyi teendnk van a belltsukkal. Fogjuk ltni, hogy minl kevesebb a konfigurcis knyszer, annl kevesebb szolgltatst is nyjtanak, ami egybknt jzan paraszti sszel vgiggondolva logikus is. Secure NAT (SNAT) kliens Ez a legegyszerbb kliens. Semmit sem kell telepteni, brmilyen OS-en hasznlhat (nem csak a Windows platform klnbz opercis rendszereire gondolok). Egyetlen kvetelmny van: az gyfl OS-ben az alaprtelmezett tjr a TMG szerver bels lba kell hogy legyen. Egy egyszer hlzatban ez nem kunszt, pl. a DHCP szerverrel knnyedn bellthatjuk ez alaprtelmezsben. Egy sszetett, tbb alhlzattal s

~ 37 ~

A KAPUN TLtvlasztval elltott rendszernl pedig az lesz a lnyeges, hogy a TMG-hez legkzelebbi tvlaszt alaprtelmezett tjrja a TMG legyen19. Ahhoz, hogy a TMG tmogassa a SNAT klienseket, szintn egyetlen alapfelttel kell: a szerverben legyen 2 hlzati interfsz, s hasznljuk is ezeket, azaz minimum az Edge forgatknyv mkdjn. Annl is inkbb, mivel az SNAT kliensekkel a tzfal szolgltats (firewall service) tartja a kapcsolatot, a TMG NDIS miniportjn illetve a csomagszrn keresztl. Miutn teht a csomagszr tengedte (azaz ha van egy passzol engedlyez szably, ergo nem kell hogy legyen tilt), kiderl az is, hogy kell-e izztani a cache-t, azaz szksg van-e a cache tartalmra, vagy arra, hogy beletoljuk a megszerzett tartalmat20. Ezek utn mg - igny szerint - az alkalmazs- s webfilterek is tgyalogolnak ezen a forgalmon, s adott esetben engednek vagy tiltanak, vagy segtenek mondjuk egy komplex protokollnl (pl. passzv FTP, ami ugye kt csatornval, hosszas egyeztets utn pl csak fel). Ezutn jn a NAT, azaz a cmfordts a kliens privt s a TMG publikus cme hasznlatval. A TMG mindkt oldal (azaz a pl. a kls webszerver s a bels kliens) fel hazudik magrl, de a szekr halad, st, csak gy halad. Az SNAT kliens s a TMG kztti forgalom nincs titkostva, valamint a DNS nvfeloldsban sem segt a TMG ezeknek a klienseknek, magukra (azaz a sajt TCP/IPben belltott DNS szerverekre) vagy egy optimlisabb esetben a bels DNS szerverre vannak utalva. Viszont az SNAT kliens egy jabb elnye, hogy a nem TCP/UDP protokollokat is tmogatja, mint pl. az ICMP (a 6-os IP protokoll), vagy a GRE (a PPTP egyik szksges kellke, a 47-es IP protokoll). Kifejezetten fontos krlmny, hogy azok a szervereink, amelyeket publiklunk (gondoljunk egy Exchange-re vagy Sharepoint-ra, vagy egy FTP-re), azok kizrlag SNAT kliensek lehetnek21, pl. a tzfal klienst tilos telepteni ezekre. Az SNAT kliensek risi htrnya viszont, hogy a TMG s a kliens kztti hitelestsi folyamatban nem lehetnek rsztvevk. s mivel nem tudnak hitelestsi adatokat kldeni a TMG-nek nem kvetelhetnk meg tlk olyan alap lehetsgeket, mint pl. a ktelez proxy bejelentkezs vagy a nvre, csoportra szl tzfalszablyok, vagy pl. a kliens forgalom felhasznli nv szint naplzsa. Szval ilyenkor muszj a sokkal19

Pontosabb kifejezs az, hogy a forgalomnak t kell jutnia a TMG-n. Ez nem felttlenl az alaprtelmezett tjrval oldhat meg. Sok esetben source routing-al bizonyos forgalmak a TMG fel mennek pedig az alaprtelmezett tjr ekkor nem is a TMG. 20 Ez az ISA Server 2000-nl mg nem volt gy, ergo nem is hasznlhattk a cache-t ezek a kliensek. 21 Ez nem felttlenl igaz. Full-NAT esetben (lsd ksbb) amikor a forrs IP nem az eredeti IP hanem a TMG IP-je, nem kell hogy a publiklt szerver SNAT kliens legyen.

~ 38 ~

A TELEPTS S ELZMNYEIkevsb flexibilis IP alap korltozst alkalmazni, ami amellett, hogy egyltaln nem tkletes megolds, egy DHCP szerveres krnyezetben jabb problmkat vet fel. Web proxy kliens A kzps. Sok szempontbl. Kicsivel tbb konfigurcit ignyel, de telepteni mgsem kell semmit, s mondjuk a Csoporthzirendbl (tartomnyban, Windows OS esetn) el tudjuk vgezni a belltst vagy akr WPAD (Web Proxy Autodiscovery Protocol) inf segtsgvel. Brmilyen platformon hasznlhat, mert bngszk, webes kliens alkalmazsok mindenhol vannak 22 , de nem mindegyikkel kpes azonos szint egyttmkdsre. 23 A web proxy kliens tud hitelestst vgezni (Basic, Digest, Kerberos, NTLM), de csak korltozott protokollkszlettel (HTTP, HTTPS s a HTTP-be gyazott FTP). Szval kzps, de mgis nagyon fontos, azaz milli esetben szksgnk van r.

3.9 BRA A PROXY BELLTSOK EGY BNGSZBEN

A mkdst egy bngszbl nzzk meg, mivel tipikusan tnyleg ez a szoftverkategria az amibl a legtbbet hasznljuk (br az MSN, a Skype s a trsaik is jnnek fel, fkpp a fiatal genercit tekintve). Elsknt betjk a cmsorba a http://www.microsoft.hu/technet cmet. Amellett, hogy vgl egy rendkvl rdekes, tfog s izgalmas tartalommal rendelkez oldalra jutunk () a httrben kezdsknt a22

s ami az egyetlen kvetelmny: a legnagyobb rszk kpes CERN kompatibilis krseket intzni a proxy szerver fel. 23 Kitalljuk melyik bngszhz passzol a legjobban? (lsd ksbb).

~ 39 ~

A KAPUN TLbngsz egy HTTP GET krst kld a belltott proxy szerver adott portjra, azaz jelen esetben egy TMG-nek. Az adott port az az ISA s a TMG esetben a 8080-as, s alaprtelmezs viselkeds szerint a proxy mkdik s be is van lltva a telepts utn. A tzfal szolgltats kikeresi ekkor azt a rendszerben lv rnk vonatkoz engedlyez (vagy tilt) szablyt, amelyben a HTTP-rl (azaz a 80-as portrl) van sz. Kzben szintn a tzfal szerviz ltal - lemegy egy klasszikus DNS krs a clpont fel, azrt, mert elkpzelhet, hogy egy IP alap tilts van a rendszerben az adott tvoli host fel. Ha nem, s van engedlynk, akkor a tzfal szerviz tovbbdobja a krst a web proxy filternek, ami aztn elkullog a tvoli host - alapesetben - 80-as portjra. No de vrjunk mg kicsit, ezeltt mg kt kirvan fontos dolog trtnik vagy trtnhet a belltstl fggen: az egyik a hitelests, ez az opcionlis, de errl majd a 7. fejezetben fogok meslni. De mi a msik? Ht az alkalmazs rtegben dolgoz szrk, ergo pl. a HTTP forgalom esetn (de a TMG-nl, ha akarjuk mr a HTTPS-nl is!) pl. a HTTP filter. Ha ezeken mind tjut a krs, akkor megy ki a web proxy filter, s kedvez vlasz esetn visszakapja a 200-as HTTP vlaszzenetet, s mehet az oldal tallzsa. Szval a lnyeg, hogy szmtalan ellenrzsre s szrsre, illetve pl. a hitelestsre s ennek kapcsn az auditlsra (a kliens forgalom nevestett naplzsra) is van ekkor lehetsgnk. Egy msik fontos dolog, hogy a web proxy kliensrl s a hozz kapcsold web proxy szolgltatsrl mg visszatrnk, fkpp a szerver oldal kapcsn. TMG (volt tzfal) kliens24 A legtbb lehetsget ad kliens ez. A legszorosabb kapcsolatot is a tzfal kliens tudja megvalstani a kliens alkalmazsok s a TMG kztt. De egyttal ez a legszkebb krnyezetben is hasznlhat, mivel csak Windows OS-re passzol. s a legbonyolultabban is ez fog felkerlni a kliensre, mivel ez egy alkalmazs, amelyet telepteni kell (a TMGC a telept DVD-n, a Client mappban tallhat, s mivel .msi formtum akr a Csoporthzirenddel is telepthetjk). Tbb automatizmust is beptve tartalmaz, pl. a TMG szerver automatikus detektlsa a WPAD infk elrse cljbl tbbfle mdon is trtnhet (tovbbi rszletek a 7.1.4 fejezetben). Egy tovbbi elnynek szmt, az a lehetsg is, hogy amennyiben egy tzfal kliens van a gpnkn, s pl. ez egy notebook, s mr otthon vagyunk vele, akkor a detektls sorn kiderl, hogy nincs TMG szerver a kzelben. Erre a tzfal kliens24

Ugyanis terminolgiai vlts trtnt e nvvel kapcsolatban.

~ 40 ~

A TELEPTS S ELZMNYEIautomatikusan kilvi magt, ergo a gp (s pl. az IE) mehet az otthoni eszkztl kapott default DHCP infk alapjn, direktben az internetre. Szerkezetileg a tzfal kliens hrom rszbl ll: - Winsock plug-in: A Windowsba integrlt winsock kliens lehetsgeinek kiterjesztse, s a hatalom tvtele is egyben, azaz az alkalmazsok a tzfal kliens teleptse utn kizrlag ezen a bvtmnyen keresztl kommuniklnak a gpen kvlre anlkl, hogy errl tudnnak. Radsul, alaprtelmezs szerint minden forgalom csak s kizrlag a TMG fel megy, olyan mintha egy lthatatlan cs alakulna ki, vasbeton burokkal. - Agent service: Egy rendszerszolgltats (Forefront TMG Client Agent, fwcagent), amely szleli s konfigurlja a winsock bvtmnyt, valamint folyamatosan tartja a kapcsolatot a tzfal kliens a felgyeleti eszkzvel. - Management applet: A Tlcn is megtallhat segdeszkz, amely egyrszt mutatja a tzfal kliens llapott, valamint mi magunk konfigurlhatjuk manulisan is (persze van automatikus konfigurls is a TMG-rl), ezen keresztl belltsait. Winsock azaz a Windows Sockets, a BSD-bl, azaz egy Unix alap OS-bl szrmaz API Microsoft-os implementcija, amely a hlzati kapcsolatok megteremtsvel, kezelsvel s felgyeletvel foglalkozik. Tbbek kztt nvfeloldst, adattvitelt s egyb hlzati feladatokat vgez a Windows alkalmazsok szmra, azrt hogy levegye a vllukrl ezt a terhet. Az ltalnos Windows hlzati modellben a Winsock a TCP/IP felett mkdik.

~ 41 ~

A KAPUN TL

3.10 BRA A TMGC H A 4 FLE VAN , AZ A J ( AZ ISA TZFAL KLIENSNEK CSAK 3 VAN )

Termszetesen kpes hasznlni a hitelestst, st korltok nlkl, azaz ebbl szerkezeti felptsbl addan brmely alkalmazs hitelestse a TMG fel megoldhat (tartomnyban Kerberos, ezen kvl NTLM). A hrombl egyetlen kliensknt kpes a forgalom titkostsra, azaz miutn a TMGC az 1745-s TCP porton felptette a kontroll csatornt a TMG-vel, egy hitelests utn - ignytl fggen - kezddhet is a titkosts. Egy msik elnye az, hogy a web proxy klienssel egytt is hasznlhat, st a kpes automatikusan konfigurlni a proxy belltsokat is (ez persze a szerver oldali belltstl is fgg). Kapcsold rsok a TechNet blogon RDP vs tzfal kliens Mg egy dolgot meg kell emltennk a tzfal kliens kapcsn, s ez pedig a kzponti konfigurci lehetsge. Ennek egyik lehetsge az elbb emltett a tzfal kliensre s a tzfal kliens ltal vezrelt bngsz belltsaira vonatkozik (lsd 5.2.3 fejezet), mg a msik a winsock alkalmazsok s a tzfal kliens viszonyra.

~ 42 ~

A TELEPTS S ELZMNYEIA TMG-ben ezeket a belltsokat a Networking \ Tasks \ Configure a Forefront TMG Client Settings alatt talljuk s kvetkez brn tekinthetjk meg.

3.11 BRA A TMGC SZERVER OLDALI BELLTSAI

Minden paramter amit itt belltunk hat az sszes tzfal kliensnk mkdsre, azaz ezen konfig alapjn mkdik majd egytt a kliensoldali alkalmazsokkal, amelyekbl jpr mr eleve szerepel ebben a listban. Szval, most hogy a TMG kliensekkel kapcsolatos tudomnynak egy rszt megismerhettk, lthat, hogy a megfelel kivlaszts nem knny dnts. A belltsi lehetsgek, az OS, vagy bngsz tpusa, a hitelests, a naplzs, a kapcsolat biztonsga mind-mind szempont kell, hogy legyen a dntsnl.

3.5 T ELEPTSNK VGREHa eddig trgtuk magunkat, s meg is rtettk, akkor mr sok gondunk nem lehet a teleptssel, ami egybknt is (s hagyomnyosan) egy majdnem next-next-finish tpus mvelet. De azrt kvessk le lpsrl-lpsre mi trtnik kzben.

~ 43 ~

A KAPUN TLManulis teleptsrl beszlnk, mivel ugyan lehet telepteni a TMG-t is csendes (unattended) mdban is 25 , de nem gondolnm, hogy ez a tipikus, sem a nem mindennapos termk, sem az egyszer telepts miatt. Vrni gy is kell majd kzben, szval talljunk ki ms teendt is a munkavgzs idejre. No s mg kt dolog: 1. Mg ha van is mr aktv internet kapcsolatunk, akkor ha a konzol eltt lnk, akkor az rtelemszeren a telepts kzben ljk le. Ha tvolban vagyunk, akkor ne . Ha mgis szksges, akkor a Windows Server 2008 integrlt tzfalt mindenkppen kapcsoljuk be, vagy tegyk egy msik tzfal mg ideiglenesen a leend gpnket. 2. Ha tvolbl egy Remote Desktop kapcsolaton teleptnk, akkor logikusan vrhatjuk, hogy a TMG tzfalnak indulsa utn vgnk lesz. De szerencsre erre a fejlesztk is gondoltak, ezrt a telepts egy adott pontjn kapunk egy krdst arrl, hogy a TMG ltja, hogy az RDP-n lgunk, ugyan akarjuk-e, hogy ez a cm azonnal bekerljn a Remote Management Computers csoportba (ez egy System Policy objektum lesz), s gy megkapja azt a kivtelezett lehetsget, hogy elrhessk tovbbra ezen a mdon. Szval telept DVD be, autorun indul, ha nem akkor indtsuk kzzel az autorun.hta-t. Az albbi kperny fogad bennnket, s kivtelesen a j admin szoks szerint - ne ugorjuk t azonnal, hanem keressk meg az egyik legfontosabb menpontot, azaz a Run Preparation Tool-t.

25

St, ngyfle plda .ini fjlt is tallunk a DVD FPC\Unattended_Setup_Sample mappjban, br az egyik kakuktojs, mivel az uninstall-ra vonatkozik.

~ 44 ~

A TELEPTS S ELZMNYEI

3.12 BRA I NDULHAT VGRE A TELEPTS !

Errl a mankrl mr volt sz, s tnyleg sokat segthet, ugyanis automatikusan felpakol mindent, de mindent, ami kell, s amivel frasztottam a Kedves Olvast a 3.1es fejezetben.

~ 45 ~

A KAPUN TL

3.13 BRA S ZERETJK P REPARATION T OOL - T

Menetkzben az informlis kpernyk utn azrt egy krdst meg kell vlaszolnunk, azaz hogy mit szeretnnk telepteni: az egsz TMG-t vagy csak az MMC konzolt? Az msodikat nyilvn akkor vlasztjuk, ha pl. az admin gpre hajtjuk felpakolni ezt az MMC-t (errl ksbb mg lesz sz.) Ide tartozik mg az is, hogy elfordulhat, hogy mgis szksgnk lesz a netre a Prep Tool futsa kzben, de erre figyelmeztet is. Amg fut a Prep Tool, nzznk vissza jra a fmenbe, ahol lthatjuk, hogy 1-2 tmutat is rendelkezsre ll, illetve alul a Forefront csald egy msik tagjt a Forefront Protection for Exchange Server trial vltozatt is telepthetjk persze csak majd sokkal ksbb, ahogyan a knyvbe is errl majd sokkal ksbb lesz sz (8. fejezet). Ha ksz a preparls, akkor indulhat maga a telept, pl. a fmenbl, (de a Prep Tool utols lpseknt ki is vlaszthatjuk ezt).

~ 46 ~

A TELEPTS S ELZMNYEI

3.14 BRA K IS A BLAKOK EZEK NEKNK , DE

A telept kt rszbl ll, van egy varzslnk, ami eleinte csak informl, licenszerzdst mutat, megint megkrdezi, hogy mit szeretnnk telepteni, teleptsi tvonalat ajnl fel, illetve fent megjelenik egy mveleti ablak, amelyben a hromrszes telepts pontjai illetve a becslt idtartam (idnknt nagyon albecsli) mellett kt animlt fogaskerk teszi lvezetess a folyamatot. gyhogy lpkedjnk tovbb szpen vizulisan lenygzve a nagyobb ablakban, egszen addig amg nem kri, hogy hatrozzuk meg a bels hlzatot.

~ 47 ~

A KAPUN TL

3.15 BRA E Z AZ N BELS HLM , MAGAM CSOMZTAM

Ksbb majd ltni fogjuk, hogy nincs olyan, hogy egyetlen bels hlzat, vgtelen szm lehet ebbl a tpusbl, de egyet (fleg ha csak egy van) adjunk meg most az Add gombbal. Hlzati krtyt, ismert privt hlzatokat, vagy tetszleges rtkhatrt is megadhatunk, igny szerint. Jn mg egy figyelmeztets arrl, hogy mely rendszerszolgltatsokat stoppolja majd le a telept ideiglenesen s vgleg (ez az RRAS lesz), majd indul a msols s a telepts. Kzben majd a nagy ablak megunja s becsukdik vgleg, de a kicsiben csak prgnek, zrgnek a fogaskerekek tovbb s tovbb, optimlis esetben addig, amg meg nem jelenik a szumma, hogy minden ksz. me:

~ 48 ~

A TELEPTS S ELZMNYEI

3.16 BRA V GRE , VGE .

De mg nincs igazbl vge, azonnal skit, hogy essnk neki a Getting Started varzslnak (ilyen az ISA-nl nem volt), ht tegyk meg. Elmondom elre, hogy itt gyis szinte csak azokat az egybknt fontos rszleteket krdezi meg, amelyekre mi mr jl felkszltnk, s mindent tudunk, vagy mr be is lltottunk. A varzsl egybknt hrom krs, s az els lpsben hlzati belltsok jnnek.

~ 49 ~

A KAPUN TL

3.17 BRA K EZDJK A HLZATTAL .

Rgtn ki kell vlasztanunk a megfelel hlzati forgatknyvet, rtelemszeren a telephelyes megolds itt mg sehol sincs.

~ 50 ~

A TELEPTS S ELZMNYEI

3.18 BRA M ARADOK EGYELRE AZ E DGE TPUSNL ( KSBB MAJD VARILUNK )

Ezutn kvetkezik az bels hlzat interfsznek egyszer kivlasztsa a listbl (jdonsg, hogy mr itt is megadhatunk plusz tvlasztsi szablyokat), majd a kvetkez ablakban jhet az External hlzat definilsa (ha van Perimeter hlzatunk is, akkor az is sorra kerl). A szumma utn tstlhatunk a rendszerbelltsok varzslba, ahol ha elzetesen belptettk a gpet a tartomnyba, illetve ha jl belltottuk a DNS uttagot, akkor semmi ms teendnk nem lesz, mert a telept varzsl ezeket az adatokat felismeri, jl. Megint egy szumma jn, majd haladunk tovbb a Deployment szakaszba, ahol mr van egy-kt rdekesebb rsz is. Pldul rgtn meg kell adnunk, hogy akarjuk-e a Microsoft Update-et hasznlni, ez ugye a klnbz malware, spam s NIS szignatrk automatikus letltshez is jl jn majd, teht rdemes a MU-t vlasztani (persze ksbb finomthatunk, adott esetben majd sorrendet is fellltva, amibe egy WSUS is befurakodhat, de ne siessnk ennyire elre).

~ 51 ~

A KAPUN TL

3.19 BRA D OMAIN VAGY NEM , EZ ITT A KRDS

A kvetkez lpsben (kt egymst kvet ablakban is) csupa olyan krdst tesz fel a telept, amelyet jelenlegi tudsunk alapjn egyelre nem tudunk eldnteni, de brmit is jellnk be, ksbb knnyedn megvltoztathatjuk, gyhogy szabad a vsr! Komolyra fordtva a szt, az imnt emltett rendszeres frisstsre szorul komponensek aktivlsrl illetve bekapcsolsrl van sz ezen ponton, de tbbet itt s most mg nem rulok el. Ezzel a javaslattal nem sodrok veszlybe senkit s semmit, mivel a telepts kzben a rgi j ISA-s szoks szerint minden forgalom, minden irnybl, minden irnyba le lett tiltva26, egy darab alaprtelmezett szabllyal.

26

Kivtelt kpeznek a System Policy szablyai (lsd 5.4).

~ 52 ~

A TELEPTS S ELZMNYEI

3.20 BRA E Z MEG A KVETKEZ AB LAK , JELEN PILLANATBAN RDEKTELEN SZMUNKRA

A Customer Experience Improvement programba is bejelentkezhetnk ha ez szndkunkban van, illetve a Microsoft Telemetry Reporting programba is, mindezekkel klnbz szint informcikat szolgltatunk a Microsoft-nak termk viselkedsrl, igny szerint hasznljuk ki ezeket a lehetsgeket vagy sem. Viszont ezutn mr tnyleg vgeztnk, habr ha nem figyelnk (bal als sarok) hatatlanul belekerlnk egy hosszas varzsplca forgatsba a Web Access varzslval (4.2 fejezet). Ha importlni fogunk ksbb, akkor klnsen felesleges ezen a varzsln vgigmenni. Szval most tnyleg vgeztnk, immr megkapjuk a vrva-vrt konzolt. Uff.

3.6 H A NEM

SIKERL , NYOMOZUNK

Ha ksz van a telept s sikerlt, rlnk, s akr azonnal elkezdhetjk nzegetni az MMC-t, de ha nem, akkor is akad azrt pr lehetsgnk kiderteni, hogy mirt nem koronzta az erfesztseinket siker.

~ 53 ~

A KAPUN TLA telepts alatt, a TMG teleptje rszletes informcikat naplz a %systemroot%\temp mappba, szmtalan klnbz fjlba (ezt egybknt jelzi is, egy sikertelen telepts szummjaknt). Mindezen fjlok tartalma a Windows Installer naplzson alapszik, s igazbl a hiba utn rgtn, egybknt Getting Started varzsl mkdse alatt kerl vgleges mentsre. Egyetlen kivtel viszont van: ha az Exchange-re passzol SMTP vdelemmel kapcsolatos teleptsi informcik a %systemdrive%\ExchangeSetupLogs mappba kerlnek, plusz ha a Forefront Security for Exchange Server komponenst akarjuk hasznlni, akkor j ha tudjuk, hogy a FssSetupLogYYMMDDTimeStamp.txt fjl lesz az infk gyjtje, ami viszont a %sytemdrive%\Users\All Users\Microsoft\Forefront Security for Exchange Server mappba kerl Sok esetben viszont maga a hibazenet is mindent elmond, pl. az AD LDS-sel kapcsolatosak (ezt szemlyesen is sikerl mr tapasztalnom27), egszen egyrtelmek, ha nem akkor nzzk meg a naplfjlokat. A mappa tartalma nmagban elgg frusztrl tud lenni, ergo nzzk meg, hogy a fontosabbak mire valak?3.2 TBLZAT ( AZ XXX- EK TIPIKUSAN EGYEDI SZMOK )

A naplfjl neve ISAWRAP_XXX.log

Lers ltalnos infk, a teleptsrl szl, de csak fbb vonalakban. ISAFWSV_XXX.log Nagyon rszletes zenetek a teleptsrl (egy szimpla teleptsrl 10-12000 sor), amelyek nagyon is fontosak lehetnek. Ha valami nem specifikus, vagy extra hibba futunk, ezt kell nagyon alaposan megnzegetni. ISAFWUI_XXX.log Contains information recorded by the MSI UI with events logged during the installation process. ISAADAM_INSTALL_XXX.log Az AD LDS teleptsvel kapcsolatos trtnseket s hibkat tartalmazza. ISAADAM_IMPORTSCHEMA_XXX.log Elgg magrt beszl a fjl neve, ugyanis az AD LDS sma importjval kapcsolatos sikeres vltoztatsokat talljuk meg ebben a j nagy fjlban. ISA_GettingStarted_XXX.log Ha a Getting Started varzsl futsa kzben trtnik valami problma, akkor az ebben a fjlban lesz rgztve. IsaUpdateAgent.log A TMG frisst gynknek jelzsei ebbe a fjlba kerlnek, de nemcsak a telepts,27

Volt mr olyan a bta verzik cserlse kzben, hogy nem sikerlt rendesen egy AD LDS instance eltvoltsa, s ez rgtn kibukott a telepts elejn. Nmi takarts utn viszont megolddott.

~ 54 ~

A TELEPTS S ELZMNYEIpontosabban a Getting Started varzsl alatt, hanem ksbb is. Minden inf a Windows Server szerepkrk s kpessgek teleptsrl (amit ugye e Prep Tool vgez)

ServerManager*.log

Tallunk mg itt egy nagy halom *.etl fjlt is, de ezeket mi nem tudjuk rtelmes informciknt felhasznlni, mert ezek a klnbz tracing naplfjlok, amelyek a Microsoft fel elkldhetnk, ha megengedtk pl. a Customer Experience Improvement programban rszvtelt.

3.21 BRA I TT VALAMI BIBI VAN , S MIVEL EGY OS KOMPONENST RINT , AZ E SEMNYNAPLBAN IS LESZ R LABEJEGYZS

Egybknt mg annyit errl a tmrl, hogy abban az esetben ha a telept hibba fut bele, akkor ezt tipikusan rtelmesen kzli, s ha tudomsul vettk az zenetet, akkor azonnal egy roll-back jn, azaz visszallt mindent, s leszedi a szemetet. Ez a tapasztalatom szerint pontosan mkdik.

3.7 M IGRCI ,

EXPORT - IMPORT

Az esetek jelents szzalkban szksgnk lesz a migrcira. Azaz mr van valamilyen kiads ISA szervernk, amelyet mr felruhztunk az vek sorn szmtalan okossggal, hlzati objektumokkal, szablyokkal, szval elkpzelhet, hogy egy vek alatt kicsiszolt konfigurcit nem szeretnnk eldobni s mindent jrakezdeni. Mr csak azrt

~ 55 ~

A KAPUN TLsem, mert a Ki tudja a 47-es szablyt mikor s mirt hoztuk ltre?, Mi az oka hogy a 22es System Policy szablyban be van lltva a Kfaragk csoport? s ms hasonl krdsek egy tllskor aktulisak lehetnek 28 . s van mg egy tuti apropja a migrlsnak: az ISA 200x-ek s a TMG kztt biztosan nem tudunk helyben frisstst (in-place upgrade) vgezni, mivel az egyik csak Windows Server 2003 x86-on megy, a msik pedig kizrlag Windows Server 2008 / R2 X64-en. Ez elgg behatrolja a lehetsgeinket, szval ljen a migrci. Ha szabad szemlyes tartalmat belecsempszni ebbe a frcmbe, akkor el kell mondanom, hogy trtnelmi okokbl jmagam a migrcitl kb. gy tartok mint a egy frmnis fogorvostl, szval nagyon. Volt lehetsgem (a knyszerrl mr ne is beszljnk) az ISA 2000 s a 2004, valamint a 2004 s a 2006 verzik kztt sokszor migrlni, s akadtak negatv tapasztalataim is (st). Mita .xml alap a konfigurci mentse, exportlsa, visszalltsa, stb. azta a helyzet sokat javult, de miutn egyszer-ktszer knykig merltem az .xml fjlba, hogy mkdhessen az import29, azta beleremeg a billentyzet, ha ilyesmibe kezdek. ISA Server 2006 frissts - vegyes lmnyek I. http://www.microsoft.com/hun/technet/article/?id=517752bc-6d76-4471-b102365c7e7dc213 ISA Server 2006 frissts - vegyes lmnyek II. http://www.microsoft.com/hun/technet/article/?id=cf71adf5-5ac1-49a7-9171e63ccc0dc2b4 Rendszerfrissts - majdnem tszavakban http://www.microsoft.com/hun/technet/article/?id=48b5fc18-563a-420f-9c6f729d43fd904a Aztn, pr ve, az ISA Server 2006-ok egyms kztti migrlsa kapcsn mr alig volt problmm, s a dolog ltvnyosan a TMG btknl javult fel, knnyedn ment keresztbe kasul a folyamat az ISA 2006 vs. TMG tmakrben, illetve a btk kztt is (erre sokig nagy szksg volt, mivel a bta fzisok kztt sokig nem volt helyben frissts, s aztn a vgs RC-k s az RTM kztt sem lett, de ez most ms krds). Szval amita TMG-kkel dolgozom, s kt TMG kztt, vagy ISA 2006-rl kell tllni, azta a migrci gond nlkl megy. De azrt van pr elzetes teend, amivel sokat28

Nyilvn egy tkletesen dokumentlt rendszerben ilyen nem fordulhat el, na de tegyk a szvnkre a keznket... 29 rdekes mdon az exporttal sosem volt gond .

~ 56 ~

A TELEPTS S ELZMNYEIsegthetnk azon, hogy ne kelljen falat rugdosni a sikeretlen migrci kzben, vagy utn. Elszr is, a migrci gyakorlatilag az ISA 2006-os konfigurci lementst (Backup) jelenti, majd a visszatltst (Restore). De, emellett van mg export/import lehetsgnk is, amivel finomthatunk a lementeni kvnt matrin, azaz csak a tzfalszablyokat, vagy ppen csak a hlzati krnyezet belltsait szeretnnk tvinni. Mindez az .xml formtum trhdtsa ta van gy, az ISA 2000-nl ez mg igencsak mskpp volt, na de feledjk el a negatv emlkeket. A lnyeg, hogy hasznljuk ki ezeket a rugalmas lehetsgeket, jmagam pl. amit csak lehetsges (tzfal szablyok, st a lnyegesebb szablyokat akr egyesvel is, VPN konfig, cache szablyok, stb.) kiexportlok .xml-be, tbb rszletben, majd megkoronzom egy hagyomnyos mentssel is s idnknt mg screenshot-okat is ksztek, fleg ha tnyleg sszetett a konfig. St csinltam mr nagyjbl ugyanolyan virtulis krnyezetet is a modellezs miatt, de ez utbbi taln mr tnyleg extra plda, legalbbis egy kisebb hlzat esetn.

3.22 BRA E Z A BACKUP , DE VALJBAN EGY EXPORT ALL

A problma megoldsa nha nagyon egyszer. Nzzk meg, hogy milyen, kevss a szemnk eltt lv objektumaink vannak a rgi rendszerben. Van-e pl. valahol egy eldugott az automatikus trcszshoz szksges ADSL kapcsolatunk integrlva az ISA szerverbe. Ha van, s az j gpen nincs ilyen kapcsolat (mert pl.

~ 57 ~

A KAPUN TLnem is lehet), akkor ennek kitakartsa a rgi gpen, majd egy jabb ments utn, a visszallts mris sikeres lesz. Vagy pl. gondoskodtunk-e a privt kulcsokkal elltott tanstvny tvitelrl az j gpre? Ezeken sok mlhat. Egy nagyon fontos jsg, hogy a mentssel, vagy az exporttal az alkotelemek, azaz a klnbz objektumok (pl. egy sajt definils protokoll, vagy egy URL gyjtemny) is eltroldik s a visszallts vagy az import utn az j helyre is bekerl. s, van arra is lehetsgnk, hogy a tanstvnyok belltsai (maga a tanstvny nem!), a jogosultsgok, s az egyb szenzitv informcik is tmenjenek, de ezekhez tbbnyire egy jelszavas vdelmet is kell rendelnnk majd, de annyi baj legyen. Nos, akkor vgl a sok-sok csapongs utn foglaljuk ssze a lnyeget egy felsorols formjban A-tl Z-ig: - A TMG nem telepthet a 32-bites OS-eken. - A TMG nem telepthet a Windows Server 2003-ra. - A TMG nem tmogatott minden Windows Server 2008-on (Server Core/Web/Foundation kiadsok) - Az ISA Server 2004/2006-rl TMG-re trtn helyen frissts nem tmogatott (ez az els kt sorbl egybknt is kiderl). - Ilyenkor az eljrs a kvetkez: alapos ISA export > j telepts WS08 SP2, vagy WS08 R2, TMG telepts, import. - Ha van egy TMG-nk egy Windows Server 2008-on, akkor nem lehetsges egy az egyben az R2-re frissteni. Ilyenkor: alapos TMG export > TMG eltvolt > Windows Server 2008 R2-re frissts > TMG telepts > import a helyes megolds. Egy teljesen rszletes, sok-sok kpernykppel illusztrlt migrcis dokumentumot az albbi linken nzhetnk meg. How to migrate Microsoft ISA Server 2006 to Microsoft Forefront TMG http://www.isaserver.org/tutorials/How-migrate-Microsoft-ISA-Server-2006Microsoft-Forefront-TMG.html

3.8 V IRTULIS

KRNYEZETBE N ?

Igen, igen, nincs mit tenni, 2010-re ez a tmakr is bven aktuliss vlt. St, mr korbban, az ISA Server 2006 letben is eljtt ez a vltozs (a TMG-nl pedig a Beta 2tl). Mindez annak ellenre, hogy j ideig nem volt ajnlott virtulis krnyezetbe rakni ezeket a szervereket.

~ 58 ~

A TELEPTS S ELZMNYEI

Jim Harrison 28 perces eladsa: Virtualize your ISA or Forefront TMG servers http://edge.technet.com/Media/Virtualize-your-ISA-or-Forefront-TMG-servers/ Kt f a virtualizci specialitsaibl fakad szempontot emelnk ki rszletesebb magyarzatra, a host (parent) gp biztonsgt, illetve a hlzati sajtossgokat, klns tekintettel a hlzatok kapcsoldsi forgatknyvre. A host gppel szemben tmasztott kritriumok kzl az els a jl megvlasztott OS. Ha pl. valamelyik Server Core opercis rendszert vlasztjuk, akkor mris nyugodtabban alhatunk, hiszen ez a kiads a behatrolt kpessgek miatt biztonsgosabb, kevesebb biztonsgi frisstst ignyel s kevesebb felgyeletet vr el. Ellenben azzal viszont a specilis krlmnyek miatt (a Server Core nem alkalmazsplatform) szmolnunk kell, hogy az esetleges a hostra sznt alkalmazsok tekintetben kompromisszumot kell vllalnunk. Mindezek ellenre sosem vlasszunk a host gp opercis rendszernek nem kifejezetten hlzati kiszolgl opercis rendszert s hardvert, azaz pl. egy munkallomst. De mg akkor is ha szerver, nagyon oda kell figyelni a szl partci hozzfrsekre (felhasznli fikok, fjlrendszer, stb.), hiszen megint csak ez a partci lesz a legknnyebben kijtszhat tjr a host gpek fel. gy aztn adott esetben a Bitlocker s trsai hasznos szolglatokat tehetnek a biztonsg rdekben. A szl partcinak mindenkppen up-to-date llapotnak kell lennie a biztonsgi frisstsek szempontjbl (is). Ez farkastrvny, hiszen ebben a helyzetben nem csak egy gpet veszlyeztetnk, hanem minden guest gpet is. Egy msik fontos szably, hogy biztonsgi szempontbl az ugyanazon a hoston fut guest gpek legyenek egy slycsoportban, egy ersen sarktott pldval lve, pl. Exchange s SQL szerverek ugyanazon a Hyper-V szerveren ne legyenek internetes jtkszerverek. A host gp hlzati vdelmvel kapcsolatban az integrlt tzfalat clszer elsknt megemlteni. Mivel a Windows Server 2008 Filtering Platform mr egy trheten izmos, teljesen ktirny s jl konfigurlhat tzfalat ad a keznkbe integrltan, hasznljuk btran s szigoran, nem fog tkzni a guest gp(ek)en fut TMG-vel. Bellrl kifel haladva, termszetesen a fizikai gpet a fizikai rtegben mkd eszkzkkel (router, switch, tzfal) is vdhetjk s vdjk egy plusz krs vdelem rszeknt. A hlzati kapcsolatok tmakrben a szl s a gyermek partcik, a kls hlzat (Internet) valamint a vals fizikai hlzat kztti hlzati forgalom irnyt s szablyait kell megfelel alapossggal lefektetni. A legfontosabb hogy rtelemszeren kerljk el

~ 59 ~

A KAPUN TLa tipikusan internetes (External tpus) hlzatunk mrtk nlkli hozzrendelst. Sem a host, sem a guest gpek nem kaphatnak ebbl, csak s kizrlag a TMG. gy ht induljunk ki abbl, hogy a TMG guest gpnek (mivel mondanom sem kell, hogy a TMG-t clszer egy guest gpre rakni s abszolt nem a host-ra) virtulis gp mivolta ellenre direkt fizikai hlzati elrse van, dediklt hlkrtyval. Ekkor ezen keresztl trtnik minden kls hozzfrs, azaz a tovbbi guest gpek s a fizikai LAN elrse is s fordtva is (egyelre elmletben a host gp is, de nem sokig). Ha gy alaktjuk ki a rendszert, akkor egy esetleges tmad feladatt is megneheztjk, hiszen az sszes gphez hozzfrst szerezni csak a TMG-n tjutva lehet. Ez egyttal azt jelenti, hogy a TMG bels lbhoz csatlakozik a tbbi guest gp, LAN s a host gp (a szl is). Emellett a monitorozsnak, a felgyeletnek mg nagyobb slya lesz, mint egy fizikai hlzat esetn, hiszen a virtulis hlzati forgalom az adott esetben a fizikai hlzaton megtallhat felgyeleti eszkzk szmra tipikusan kevsb tlthat, teht erre extra figyelmet kell fordtanunk. Ez egy viszonylag egyszer megolds volt, de most elkezdjk bonyoltani. Ha mg okosabban terveznk s van r lehetsg, akkor mindhrom bels hlzat (guest-ek, host s a LAN) kln-kln virtulis interfsszel rendelkezve az TMG-be csatlakozhat, azaz immr az egyms kztti s egyttal a kifel tart forgalmukat is a TMG tartja kzben. De mg kzel sincs vge. Ha lehetsges (s mirt ne lenne az?) les mkds kzben ne kapcsoljuk ssze a szl partci hlzati kapcsolatt a gyermek partcik hlzati kapcsolataival, azaz sem a guest gpek, sem a LAN gpei semmilyen krlmnyek kztt ne lssk a host gp sajt, privt hlzatt, izolljuk el. Ha az eddigi pldt nzzk, akkor ezt gy tudjuk teljesteni, hogy az eddigi hrom virtulis hlzatbl kett marad, s a host sem a TMG-hez, sem a guest, sem a LAN gpekkel nem ll sszekttetsben, hanem egy dediklt felgyeleti interfszen keresztl fogjuk piszklni, ami minden ms gptl fggetlen. Ilyenkor egy kbelezs knnyt megolds az, ha ksztnk egy olyan hlzatot is a TMG segtsgvel, amelyben csak a host gp s a felgyeleti gp van IP szinten kizrlag s ekkor fizikailag nem, csak logikailag zrtuk ssze ezt a kt gpet, illetve izolltuk.

~ 60 ~

A TELEPTS S ELZMNYEIAzonban, ha a host gpet mgis el kell rnnk valahogyan s adott esetben ez nem oldhat meg egy cross kbellel, vagy egy logikai hlzattal s egy dediklt munkallomssal (gondoljunk arra pl. hogy az egsz hbelevanc egy szerverhotelben van), akkor marad a kzbls megolds (persze nyilvn ilyenkor LAN nincs). Nem tudom figyeljk-e a prhuzamot a klasszikus fizikai hlzatokkal sszevetve, merthogy van bven, gyakorlatilag a clok ugyanazok, mg akkor is, ha a virtualizcival mskpp, azaz kiss bedobozolva kapjuk meg a gpeket. A virtualizci kapcsn, a hlzati krtyk viszonylatban mg egy kis adalk: - Mindig a legfrissebb, s kizrlag alrt meghajt programot hasznljunk. Ezzel sokkal tbbet hasznlunk az idegrendszernknek, mintha ugyanezt a fizikai gpek esetn tennnk. - Hasznljuk elzetesen s alaposan a megfelel tesztszoftvereket a specilis szerver szoftverek (Exchange / SharePoint, SQL, stb.) esetn, a hlzati teljestmny kivizsglsa apropjn. - Ha lehet (de ebben mondjuk 30 guest gp esetn van egy kis tlzs), rendeljnk a virtulis hlzatokhoz dediklt hlzati krtyt, kln-kln. Tbbek kztt pl. a hlzati teljestmny szempontjbl is ez az igazn nyer megolds. - Az MS Loopback krtya nem szmt sem igazi dediklt, sem megfelel teljestmny interfsznek. Ezt a rszt Lepenye Tams kollgm egy korbban (mg az ISA vs. Virtual Server kapcsn) elkvetett megllaptsval zrnm, mivel tovbbra is teljesen letszer: Virtulis krnyezetben fut tzfal akkor egyenrtk biztonsg szempontjbl a fizikai gpen fut tzfallal, ha: 1. A host opercis rendszer zemeltetse biztonsgi szempontbl ugyanolyan vagy szigorbb, mint a tzfal rendszer, minden egyes tzfalat rint kockzati tnyezre vonatkozan. 2. A gazdagp zemelteti szemlyzetnek megbzhatsga ugyanolyan, vagy jobb, mint a virtualizlt rendszerek zemelteti szemlyzet.

3.9 J

HA MEGSZVLELJK

Ebbe a fejezetbe megprblok bezsfolni j nhny eddig le nem jegyzett tletet, klszablyt, tippet s ismert korltot a tervezshez s a teleptshez. Kicsit zajos lesz, de taln kevesebbszer kerl a Kedves Olvas zskutcba, ha elolvassa.

~ 61 ~

A KAPUN TL3.9.1 N H N Y K LS ZA B LY - Lehetleg semmi mst nem teleptnk a TMG gpre, a TMG-n s a megkvetelt szoftver sszetevkn kvl. De tnyleg semmit, mg egy WinRAR-t sem. Ez a TMG pozcijnak kvetkezmnye, mivel ez a rendszer vd bennnket, valamint tipikusan ennek a rendszernek kell folyamatos kapcsolatban lennie a kls hlzatokkal, s gy rosszul jn ki, ha azrt lyukas a rendszernk mert az egyb szoftverek lyukasak, vagy azrt kell jraindtanunk, mert a plusz szoftverek ezt ignylik. De itt kell megemlteni az esetleges port/protokoll