Biztonság A-tól Z-ig Biztonság A-tól Z-ig Forefront TMG - változásokForefront TMG - változások

Kiss TiborSystemAdministratorJaKiT-Sys Informatikai Kft.

Miről lesz szó!?Miről lesz szó!?• Rendszer követelmények• Migráció ISA szerverről• TMG újdonságok

ISP Redundancy

Malware Inspection

HTTPS Inspection

Web Access Policy

TÖR

TÉN

ELEM

TÖR

TÉN

ELEM

RendszerkövetelményekRendszerkövetelmények

Hardver Minimum Rendszerkövetelmények

CPU 64-bit!!, 1.86 GHz, 2 mag (1 CPU x dual core) proceszor.

Memoria 2 GB, 1 GHz RAM

HDD2.5 GB szabad hely. További hely szükséges az egyéb fileok tárolására. (Pl.: Cash…)NTFS partíció

Hálózati adapter 2 db hálózati kártya, a belső (internal) és a külső (external) hálózatokhoz

Hardver ajánlások: http://technet.microsoft.com/en-us/library/ff382651.aspx

RendszerkövetelményekRendszerkövetelmények

Software Minimum Rendszerkövetelmények

Operációs rendszer

Windows Server 2008•Version: SP2 or R2•Edition: Standard, Enterprise or Datacenter

Windows Szerepkörök és Szolgáltatások

Ezeket a szerepköröket és szolgáltatásokat a TMG Preparation Tool telepíti:

•Network Policy Server.•Routing and Remote Access Services.•Active Directory Lightweight Directory Services Tools.•Network Load Balancing Tools.•Windows PowerShell.

Futtassuk a Preparation Tool-t a Forefront TMG autorun oldalon.

Egyéb szoftverek

•Microsoft .NET Framework 3.5 SP1•Windows Web Services API.•Windows Update.•Microsoft Windows Installer 4.5.

A TMG szerver tartományvezérlőre való telepítése nem támogatott!

RendszerkövetelményekRendszerkövetelményekCapacity Planning ToolCapacity Planning Tool

http://www.microsoft.com/downloads/details.aspx?FamilyID=01b2f7a5-8165-4ead-9693-http://www.microsoft.com/downloads/details.aspx?FamilyID=01b2f7a5-8165-4ead-9693-994504f66449&displaylang=en994504f66449&displaylang=en

1. Exportáljuk ki az ISA szerverünk konfigurációs állományát.

2. Exportáljuk ki az ISA szerveren tárolt Tanúsítványainkat. Bővebb információ itt: http://go.microsoft.com/fwlink/?LinkId=152428

3/a. Amennyiben ugyan arra a számítógépre szeretnénk telepíteni a TMG-t mint amelyiken az ISA szerverünk is volt, el kell távolítanunk az ISA szervert. Bővebb információ itt: http://go.microsoft.com/fwlink/?LinkId=152933

3/b. Telepítsünk egy új Windows Server 2008-at (SP2 64 bit, vagy R2) a 32 bites Windows Server 2003 frissítése Windows Server 2008 64 bit-re NEM támogatott.Bővebb információ itt: http://go.microsoft.com/fwlink/?LinkId=152429

4. Telepítsük fel a TMG 2010 szervert.

5. Importáljuk be a Forefront TMG szerverbe a Tanúsítványokat.Bővebb információ itt: http://go.microsoft.com/fwlink/?LinkId=152430

6. Importáljuk be és alkalmazzuk az ISA szerver konfigurációkat, a TMG Management consolba.Segítség a lépésekhez: http://technet.microsoft.com/en-us/library/dd440994.aspx#BKMK_ImportConfig

7. Az ISA szerveren használt jelentéseket és logolásokat állítsuk be a TMG szerveren.

8. Amennyiben tiszta telepítést választottunk állítsuk be az ISA szerver által használt IP címeket a megfelelő hálózati csatolókra, és állítsuk be a DNS-ben az új szerver nevét

9. Ellenőrizzük le a beállításokat, TESZTELJÜNK, TESZTELJÜNK, TESZTELJÜNK!

Migráció ISA -> TMGMigráció ISA -> TMG

ISP RedundancyISP Redundancy2 típus közül választhatunk•Failover•Load Balancing

•A típusok között „menet közben” is lehet váltani

Előfeltétel:•Legyen két vonal •Tudjuk ezek alapadatait (default gateway, netmask)

•Tudjuk, hogy melyiket szeretnénk elsődlegesnek (a failover típusnál)

•Egészítsük ki a hálózatainkat (mondjuk egy External2 nevűvel, amelyhez természetesen a hálózati szabály(oka)t is meg kell csinálnunk (Network Rules, Route vagy NAT, stb))

ISP Redundancy - FailoverISP Redundancy - Failover•Két beállított kapcsolat között automatikus váltás történik vonalszakadás esetén

•Az elsődlegesen beállított kapcsolat „menet közben” is változtatható

ISP Redundancy – Load balancingISP Redundancy – Load balancing

•Megoszthatjuk a két kapcsolat között a használat arányát

•Explicit route-ok bevitelének lehetősége

•A http folyamot figyeli és szűri

•Integrált és frissíthető adatbázisa segítségével

•A 64K-nál (fejléc) kisebb anyagok ellenőrzése a memóriában történik

Megjegyzés: A statisztikák szerint a szimpla http letöltések, kérések 98%-a kisebb mint 64K, így a szűréshez a legtöbb esetben nem is kell semmilyen klasszikus I/O művelet

Malware Inspection működéseMalware Inspection működése

Attempt to clean infected files: legyen-e tisztítási kísérlet, vagy e nélkül csak szimplán blokkoljon?

Block suspicious files: egyáltalán blokkolja-e a "kényes" tartalmat?

Block spyware: nemcsak a vírusos, hanem a spyware kategórájú fertőzés blokkolása is kérhető.

Block corrupted files: a korruptnak tűnő forgalom blokkolása

Block files that cannot be scanned: ha nem tudja valamiért megvizsgálni, akkor tilthatja is

Block encrypted files: titkosított tartalom blokkolása Block files if scanning time exceeds (seconds): ha túl sokáig tart az ellenőrzés, legyen inkább blokkolás belőle :)

Block files if archive depth level exceeds: warezelő, zipből arj-be, majd rar-ba illetve .ace-ba tömörítő userek elleni védekezés :D

Block files larger than (MB): nem kell túlmagyarázni, viszont lehet más szempontok alapján is használni

Block archive files if unpacked content is larger than (MB): szintén a mérethatár

Malware Inspection beállításaiMalware Inspection beállításai

Malware InspectionMalware Inspection

Standard trickling: a TMG elküldi az adatfolyam első 4 Kbyte-ját 10 másodpercen belül, majd minden következő 5 másodpercben 50 byte-onként a többit, miközben az ellenőrzés megy a háttérben, és ha véget ér, akkor teljes sebességgel megy a fennmaradó adat a kliens felé

Fast trickling: az audio illetve video anyagok letöltésénél indokolt lehet a gyorsítás (az alsó Content Types for fast trickling... gomb alatt láthatjuk is, hogy alapértelmezés szerint 62, ebbe a csoportba tartozó tartalomtípus már ki is van jelölve), ezzel az opcióval viszont általánossá tehetjük.

HTTPS InspectionHTTPS Inspection

1. Miután létrejött az SSL csatorna az adott weboldal felé, a TMG "lemásolja" adott oldalhoz tartozó tanúsítványt

2. Létrehoz egy új tanúsítványt ezekkel az adatokkal, majd ezt aláírja egy másik, általunk a TMG-ben generálttal, vagy éppen kijelölttel

3. A kliens már ezt a tanúsítványt kapja meg, egy újonnan létrejött, szeparált SSL csatornában

Web Access PolicyWeb Access Policy

A Microsoft az e célokra kialakított adatbázisában jelenleg körülbelül 45 millió domainről és több milliárd weblapról tart nyilván olyan információkat, amelyek segíthetnek a TMG-nek a kártékony tartalmakat rejtő weboldalak kiszűrésében. A nagyméretű adatbázis aktualizálásában olyan cégek vesznek részt, mint például a Brightcloud és a FutureSoft.

Web Antivirus védelem

KÖSZÖNÖM A FIGYELMETKÖSZÖNÖM A FIGYELMET