270 likes | 414 Views
A Forefront TMG mint tűzfal. Gál Tamás v-tagal@microsoft.com IT üzemeltetési szakértő Microsoft Magyarország. Tartalom. - Áttekintés - NIS + IPS - ISP-Redundancy - Enhanced-NAT - E-mail Policy. Áttekintés - TMG szkenáriók. Az alap tűzfal képességek. Háromféle szűrés kombinációja
E N D
A Forefront TMGmint tűzfal Gál Tamás v-tagal@microsoft.com IT üzemeltetési szakértő Microsoft Magyarország
Tartalom - Áttekintés- NIS + IPS- ISP-Redundancy- Enhanced-NAT- E-mail Policy
Az alap tűzfal képességek • Háromféle szűrés kombinációja • Packet filter, Stateful, Application • Hálózatkezelés • Multi networking, Route, NAT (full és half NAT is) • Policy engine - bonyolult, de fontos és „szép” • Sorrend1: Network rules (benn az E-NAT is) > Firewall policy rules > Web chaining rules > ISP-Redundancy • Sorrend2: Firewall policy rules > prioritási sorrend • Policy re-evaluation változások
Tartalom - Áttekintés- NIS + IPS- ISP-Redundancy- Enhanced-NAT- E-mail Policy
NIS – A probléma • A folt nélküli lyukak • Egy XP élete a neten javítások nélkül kb. 20 perc • A Windows OS-ek 2%-a teljesen up-to-date (becslés) • A támadók mindig gyorsabbak • 0-day vulnerability, 0-day exploit • A titkosítás és a csatornázás (xxx over HTTPS) még jobban komplikálja a helyzetet • A patch teszteléshez és telepítéshez idő kell
NIS – hogyan? • Szignatúraalapú IPS • Érthetően gyorsabb így a védekezés • A szignatúrák a MicrosoftMalware Protection Center-ből jönnek • Működése az MSR-től származó GAPA parser-en alapul* • A TMG-ben - egyelőre - csak az MS protokollok és sérülékenységek támogatottak 4 óra *Generic Application-level Protocol Analyzer
NIS – működés • A sérülékenységek és exploit-ok detektálása • A forgalom blokkolása • Mindezt az Edge ponton • Háromféle NIS csomag létezik • Exploit, Vulnerability, Policy • Támogatott protokollok: HTTP, DNS, SMB, SMB2, NetBIOS, MSRPC, SMTP, POP3, IMAP, MIME Sérülékenység felfedezése Szignatúra fejlesztés 8
NIS – működés • Kivételezés > tetszőleges hálózati objektum • Frissítés: WSUS, MU • TMG Update Center (ingyenes) • Aktiválás / deaktiválás • Fontos: nem fájl alapú védelem • A vírusok ellen nem véd > EMP
NIS – egyebek • A teljesítményigényt nehéz megmérni • Kb. 30% • Naplózás, jelentések • Teljeskörű támogatás • Extrák: • Protocol Anomalies Policy • Associated Standard Protocol
Demókörnyezet FTMG-EXTWEB 131.107.10.2 extweb.example.com FTMGEEDC 172.16.20.10 www.netlogon.hu FTMGDEMO1 172.16.20.20 131.107.10.1 Internet Priv FTMG-CLIENT 172.16.20.11 Internet2
NIS demó
Egyéb IPS megoldások • Intrusion Detection • ISA 2000 óta változatlan • DNS > alkalmazásszűrés • IP Options • Mi az extraa képen? • Flood Mitigation • Granuláris szabályzás, kivételekkel
Tartalom - Áttekintés- NIS + IPS- ISP-Redundancy- Enhanced-NAT- E-mail Policy
ISP-Redundancy - típusok • Két ISP kapcsolat esetén két lehetőség • Failover • Ha nincs elsődleges vonal, kapcsol a másodlagosra • Ha újra lesz elsőgleges, visszakapcsol • Load Balancing (de Failover is) • Ha él mindkét vonal, az arány állítható • Ha nem, minden a működőn dolgozik • Ha újra él mindkettő, újraelosztja a TMG
A telepítés „Veszünk két netet” Lefuttatjuk a varázslót ISP átjáró, alhálózat, DNS szerver adatok Load balancing > spéci szerverek dedikálása (DNS, SMTP) Állapotvizsgálat A Dashboard-on egy külön státusz panellel Routing Enforcement A TMG az ISP route-okat preferálja (a host routing helyett) ISP-Redundancy - összetevők
A root DNS szervereket használja TCP kapcsolat az 53-as porton, round robin, 60 mp* 3 hiba után > failed 5 perc szünet Ha van sikeres válasz, még kettőt tesztelünk (3 perc) Kézi szabályzás ISP-Redundancy - kapcsolat ellenőrzés *http://blogs.technet.com/isablog/archive/2009/11/26/tmg-isp-redundancy-unleashed.aspx
Az ISP-R célja a kifelé menő irány fenntartása Azaz nem a publikálás (befelé irány) támogatása De megoldható a DNS probléma rendezésével Összesen 2 kapcsolatot kezel Nem protokoll szinten működik Csak NAT kapcsolat esetén működik A TMG-n (LocalHost hálózat) nem tudjuk tesztelni Az E-NAT felülírja ISP-Redundancy – a határok
ISP-R demó
Tartalom - Áttekintés- NIS + IPS- ISP-Redundancy- Enhanced-NAT- E-mail Policy
Enhanced NAT • Speciális NAT,speciális célból • Az alapértelmezés: a TMG első ill. egyetlen külső IP címe • Selected IP: tetszőleges IP vagy pl. NLB környezet > virtuális IP • Multiple IPs: több IP használata > tömb > TMG példányonként különböző lehet • 1 hálózati szabály > 1 NAT IP • Használat: pl. több SMTP szerver esetén
Tartalom - Áttekintés- NIS + IPS- ISP-Redundancy- Enhanced-NAT- E-mail Policy
E-mail védelem -ISA Server 2006 • Egyszerű protokoll vizsgálat • Az SMTP parancsok érvényessége, hossza, stb.
E-mail védelem – TMG 1. Exchange Edge Transport szerepkör • Ugyanazon a gépen (de külön licensszel) • Spam filtering fül alatt vezéreljük 2. Forefront Protection 2010 for Exchange • Ez a „hardcore” megoldás, teljes integrációval • Antimalware, Antispam, Antiphishing • Vírus and Content Filtering fül alatt vezéreljük • Az eredmény: • Az Edge ponton - teljeskörű higiénia • NLB támogatás is
Tartalom - Áttekintés- NIS + IPS- ISP-Redundancy- Enhanced-NAT- E-mail Policy