Biztonság A-tól Z-ig Forefront TMG - változások

1. Biztonság A-tól Z-ig Forefront TMG - változások Kiss TiborSystemAdministratorJaKiT-Sys Informatikai Kft.

2. Miről lesz szó!? • Rendszer követelmények • Migráció ISA szerverről • TMG újdonságok • ISP Redundancy • MalwareInspection • HTTPS Inspection • Web Access Policy

3. TÖRTÉNELEM

5. Rendszerkövetelmények Hardver ajánlások: http://technet.microsoft.com/en-us/library/ff382651.aspx

6. Rendszerkövetelmények A TMG szerver tartományvezérlőre való telepítése nem támogatott!

7. RendszerkövetelményekCapacityPlanningTool http://www.microsoft.com/downloads/details.aspx?FamilyID=01b2f7a5-8165-4ead-9693-994504f66449&displaylang=en

9. Migráció ISA -> TMG Exportáljuk ki az ISA szerverünk konfigurációs állományát. Exportáljuk ki az ISA szerveren tárolt Tanúsítványainkat. Bővebb információ itt: http://go.microsoft.com/fwlink/?LinkId=152428 3/a. Amennyiben ugyan arra a számítógépre szeretnénk telepíteni a TMG-t mint amelyiken az ISA szerverünk is volt, el kell távolítanunk az ISA szervert. Bővebb információ itt: http://go.microsoft.com/fwlink/?LinkId=152933 3/b. Telepítsünk egy új Windows Server 2008-at (SP2 64 bit, vagy R2) a 32 bites Windows Server 2003 frissítése Windows Server 2008 64 bit-re NEM támogatott. Bővebb információ itt: http://go.microsoft.com/fwlink/?LinkId=152429 4. Telepítsük fel a TMG 2010 szervert. 5. Importáljuk be a Forefront TMG szerverbe a Tanúsítványokat. Bővebb információ itt: http://go.microsoft.com/fwlink/?LinkId=152430 6. Importáljuk be és alkalmazzuk az ISA szerver konfigurációkat, a TMG Management consolba. Segítség a lépésekhez: http://technet.microsoft.com/en-us/library/dd440994.aspx#BKMK_ImportConfig 7. Az ISA szerveren használt jelentéseket és logolásokat állítsuk be a TMG szerveren. 8. Amennyiben tiszta telepítést választottunk állítsuk be az ISA szerver által használt IP címeket a megfelelő hálózati csatolókra, és állítsuk be a DNS-ben az új szerver nevét 9. Ellenőrizzük le a beállításokat, TESZTELJÜNK, TESZTELJÜNK, TESZTELJÜNK! 

11. ISP Redundancy • 2 típus közül választhatunk • Failover • LoadBalancing • A típusok között „menet közben” is lehet váltani • Előfeltétel: • Legyen két vonal • Tudjuk ezek alapadatait (defaultgateway, netmask) • Tudjuk, hogy melyiket szeretnénk elsődlegesnek (a failover típusnál) • Egészítsük ki a hálózatainkat (mondjuk egy External2 nevűvel, amelyhez természetesen a hálózati szabály(oka)t is meg kell csinálnunk (Network Rules, Route vagy NAT, stb))

12. ISP Redundancy - Failover • Két beállított kapcsolat között automatikus váltás történik vonalszakadás esetén • Az elsődlegesen beállított kapcsolat „menet közben” is változtatható

13. ISP Redundancy – Loadbalancing • Megoszthatjuk a két kapcsolat között a használat arányát • Explicit route-ok bevitelének lehetősége

14. MalwareInspection működése • A http folyamot figyeli és szűri • Integrált és frissíthető adatbázisa segítségével • A 64K-nál (fejléc) kisebb anyagok ellenőrzése a memóriában történik • Megjegyzés: A statisztikák szerint a szimpla http letöltések, kérések 98%-a kisebb mint 64K, így a szűréshez a legtöbb esetben nem is kell semmilyen klasszikus I/O művelet

15. MalwareInspection beállításai Attempttocleaninfectedfiles: legyen-e tisztítási kísérlet, vagy e nélkül csak szimplán blokkoljon? Blocksuspiciousfiles: egyáltalán blokkolja-e a "kényes" tartalmat? Blockspyware: nemcsak a vírusos, hanem a spywarekategórájú fertőzés blokkolása is kérhető. Blockcorruptedfiles: a korruptnak tűnő forgalom blokkolása Blockfilesthatcannot be scanned: ha nem tudja valamiért megvizsgálni, akkor tilthatja is Blockencryptedfiles: titkosított tartalom blokkolása Blockfilesifscanningtimeexceeds (seconds): ha túl sokáig tart az ellenőrzés, legyen inkább blokkolás belőle :) Blockfilesifarchivedepthlevelexceeds: warezelő, zipbőlarj-be, majd rar-ba illetve .ace-ba tömörítő userek elleni védekezés :D Blockfileslargerthan (MB): nem kell túlmagyarázni, viszont lehet más szempontok alapján is használni Blockarchivefilesifunpackedcontent is largerthan (MB): szintén a mérethatár

16. MalwareInspection • Standard trickling: a TMG elküldi az adatfolyam első 4 Kbyte-ját 10 másodpercen belül, majd minden következő 5 másodpercben 50 byte-onként a többit, miközben az ellenőrzés megy a háttérben, és ha véget ér, akkor teljes sebességgel megy a fennmaradó adat a kliens felé • Fasttrickling: az audio illetve video anyagok letöltésénél indokolt lehet a gyorsítás (az alsó ContentTypesforfasttrickling... gomb alatt láthatjuk is, hogy alapértelmezés szerint 62, ebbe a csoportba tartozó tartalomtípus már ki is van jelölve), ezzel az opcióval viszont általánossá tehetjük.

17. HTTPS Inspection • Miután létrejött az SSL csatorna az adott weboldal felé, a TMG "lemásolja" adott oldalhoz tartozó tanúsítványt • 2. Létrehoz egy új tanúsítványt ezekkel az adatokkal, majd ezt aláírja egy másik, általunk a TMG-ben generálttal, vagy éppen kijelölttel • 3. A kliens már ezt a tanúsítványt kapja meg, egy újonnan létrejött, szeparált SSL csatornában

18. Web Access Policy A Microsoft az e célokra kialakított adatbázisában jelenleg körülbelül 45 millió domainről és több milliárd weblapról tart nyilván olyan információkat, amelyek segíthetnek a TMG-neka kártékony tartalmakat rejtő weboldalak kiszűrésében. A nagyméretű adatbázis aktualizálásában olyan cégek vesznek részt, mint például a Brightcloud és a FutureSoft.

19. Web Antivirus védelem

20. KÖSZÖNÖM A FIGYELMET