1 / 27

A Forefront TMG mint tűzfal

A Forefront TMG mint tűzfal. Gál Tamás v-tagal@microsoft.com IT üzemeltetési szakértő Microsoft Magyarország. Tartalom. - Áttekintés - NIS + IPS - ISP-Redundancy - Enhanced-NAT - E-mail Policy. Áttekintés - TMG szkenáriók. Az alap tűzfal képességek. Háromféle szűrés kombinációja

tyler-hopkins
Download Presentation

A Forefront TMG mint tűzfal

An Image/Link below is provided (as is) to download presentation Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author. Content is provided to you AS IS for your information and personal use only. Download presentation by click this link. While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server. During download, if you can't get a presentation, the file might be deleted by the publisher.

E N D

Presentation Transcript

  1. A Forefront TMGmint tűzfal Gál Tamás v-tagal@microsoft.com IT üzemeltetési szakértő Microsoft Magyarország

  2. Tartalom - Áttekintés- NIS + IPS- ISP-Redundancy- Enhanced-NAT- E-mail Policy

  3. Áttekintés - TMG szkenáriók

  4. Az alap tűzfal képességek • Háromféle szűrés kombinációja • Packet filter, Stateful, Application • Hálózatkezelés • Multi networking, Route, NAT (full és half NAT is) • Policy engine - bonyolult, de fontos és „szép” • Sorrend1: Network rules (benn az E-NAT is) > Firewall policy rules > Web chaining rules > ISP-Redundancy • Sorrend2: Firewall policy rules > prioritási sorrend • Policy re-evaluation változások

  5. Tartalom - Áttekintés- NIS + IPS- ISP-Redundancy- Enhanced-NAT- E-mail Policy

  6. NIS – A probléma • A folt nélküli lyukak • Egy XP élete a neten javítások nélkül kb. 20 perc • A Windows OS-ek 2%-a teljesen up-to-date (becslés) • A támadók mindig gyorsabbak • 0-day vulnerability, 0-day exploit • A titkosítás és a csatornázás (xxx over HTTPS) még jobban komplikálja a helyzetet • A patch teszteléshez és telepítéshez idő kell

  7. NIS – hogyan? • Szignatúraalapú IPS • Érthetően gyorsabb így a védekezés • A szignatúrák a MicrosoftMalware Protection Center-ből jönnek • Működése az MSR-től származó GAPA parser-en alapul* • A TMG-ben - egyelőre - csak az MS protokollok és sérülékenységek támogatottak 4 óra *Generic Application-level Protocol Analyzer

  8. NIS – működés • A sérülékenységek és exploit-ok detektálása • A forgalom blokkolása • Mindezt az Edge ponton • Háromféle NIS csomag létezik • Exploit, Vulnerability, Policy • Támogatott protokollok: HTTP, DNS, SMB, SMB2, NetBIOS, MSRPC, SMTP, POP3, IMAP, MIME Sérülékenység felfedezése Szignatúra fejlesztés 8

  9. NIS – működés • Kivételezés > tetszőleges hálózati objektum • Frissítés: WSUS, MU • TMG Update Center (ingyenes) • Aktiválás / deaktiválás • Fontos: nem fájl alapú védelem • A vírusok ellen nem véd > EMP

  10. NIS – egyebek • A teljesítményigényt nehéz megmérni • Kb. 30% • Naplózás, jelentések • Teljeskörű támogatás • Extrák: • Protocol Anomalies Policy • Associated Standard Protocol

  11. Demókörnyezet FTMG-EXTWEB 131.107.10.2 extweb.example.com FTMGEEDC 172.16.20.10 www.netlogon.hu FTMGDEMO1 172.16.20.20 131.107.10.1 Internet Priv FTMG-CLIENT 172.16.20.11 Internet2

  12. NIS demó

  13. Egyéb IPS megoldások • Intrusion Detection • ISA 2000 óta változatlan • DNS > alkalmazásszűrés • IP Options • Mi az extraa képen? • Flood Mitigation • Granuláris szabályzás, kivételekkel

  14. Tartalom - Áttekintés- NIS + IPS- ISP-Redundancy- Enhanced-NAT- E-mail Policy

  15. ISP-Redundancy - típusok • Két ISP kapcsolat esetén két lehetőség • Failover • Ha nincs elsődleges vonal, kapcsol a másodlagosra • Ha újra lesz elsőgleges, visszakapcsol • Load Balancing (de Failover is) • Ha él mindkét vonal, az arány állítható • Ha nem, minden a működőn dolgozik • Ha újra él mindkettő, újraelosztja a TMG

  16. A telepítés „Veszünk két netet” Lefuttatjuk a varázslót ISP átjáró, alhálózat, DNS szerver adatok Load balancing > spéci szerverek dedikálása (DNS, SMTP) Állapotvizsgálat A Dashboard-on egy külön státusz panellel Routing Enforcement A TMG az ISP route-okat preferálja (a host routing helyett) ISP-Redundancy - összetevők

  17. A root DNS szervereket használja TCP kapcsolat az 53-as porton, round robin, 60 mp* 3 hiba után > failed 5 perc szünet Ha van sikeres válasz, még kettőt tesztelünk (3 perc) Kézi szabályzás ISP-Redundancy - kapcsolat ellenőrzés *http://blogs.technet.com/isablog/archive/2009/11/26/tmg-isp-redundancy-unleashed.aspx

  18. Az ISP-R célja a kifelé menő irány fenntartása Azaz nem a publikálás (befelé irány) támogatása De megoldható a DNS probléma rendezésével Összesen 2 kapcsolatot kezel Nem protokoll szinten működik Csak NAT kapcsolat esetén működik A TMG-n (LocalHost hálózat) nem tudjuk tesztelni Az E-NAT felülírja ISP-Redundancy – a határok

  19. ISP-R demó

  20. Tartalom - Áttekintés- NIS + IPS- ISP-Redundancy- Enhanced-NAT- E-mail Policy

  21. Enhanced NAT • Speciális NAT,speciális célból • Az alapértelmezés: a TMG első ill. egyetlen külső IP címe • Selected IP: tetszőleges IP vagy pl. NLB környezet > virtuális IP • Multiple IPs: több IP használata > tömb > TMG példányonként különböző lehet • 1 hálózati szabály > 1 NAT IP • Használat: pl. több SMTP szerver esetén

  22. Tartalom - Áttekintés- NIS + IPS- ISP-Redundancy- Enhanced-NAT- E-mail Policy

  23. E-mail védelem -ISA Server 2006 • Egyszerű protokoll vizsgálat • Az SMTP parancsok érvényessége, hossza, stb.

  24. E-mail védelem – TMG 1. Exchange Edge Transport szerepkör • Ugyanazon a gépen (de külön licensszel) • Spam filtering fül alatt vezéreljük 2. Forefront Protection 2010 for Exchange • Ez a „hardcore” megoldás, teljes integrációval • Antimalware, Antispam, Antiphishing • Vírus and Content Filtering fül alatt vezéreljük • Az eredmény: • Az Edge ponton - teljeskörű higiénia • NLB támogatás is

  25. E-mail védelem – a konzol

  26. Tartalom - Áttekintés- NIS + IPS- ISP-Redundancy- Enhanced-NAT- E-mail Policy

More Related