A kapun tl

Microsoft Forefront Threat Management Gateway 2010

Gl Tams
Microsoft Magyarorszg technetklub.hu

A kapun tl, ha oda bemegyek, tr nylik, egyszerre kzel-tvol, elre, vissza brmit nzhetek, minden kitrul, minden kitrul. Fetyk Judit

BEVEZETS
2010, Gl Tams Els kiads Minden jog fenntartva. A knyv rsa sorn a szerz s a kiad a legnagyobb gondossggal s krltekintssel igyekeztek eljrni. Ennek ellenre elfordulhat, hogy nmely informci vagy pldul hivatkozs (link) nem pontos vagy teljes, esetleg elavultt vlt. A pldkat s a mdszereket mindenki csak sajt felelssgre alkalmazza. Felhasznls eltt prblja ki s dntse el sajt maga, hogy megfelel-e a cljainak. A knyvben foglalt informcik felhasznlsbl fakad esetleges krokrt sem a szerz, sem a kiad nem vonhat felelssgre. A cgekkel, termkekkel, honlapokkal kapcsolatos listk, hibk s pldk kizrlag oktatsi jelleggel kerlnek bemutatsra, kedvez vagy kedveztlen kvetkeztetsek nlkl. Az oldalakon elfordul mrka- valamint kereskedelmi vdjegyek bejegyzjk tulajdonban llnak. Lektor: Harmath Zoltn (Architect, Microsoft Magyarorszg)

A knyv anyaga teljes terjedelemben s ingyenesen letlthet a Microsoft TechNetKlub portlrl (http://technetklub.hu/content/tmgkonyv.aspx).

Microsoft Magyarorszg 2010

Ksznetnyilvnts
Tbb embernek is tartozom ksznetnyilvntssal, illetve a tartozom taln nem is elgg szp sz, ahhoz, hogy valjban mennyire szeretnm megksznni a segtsgket. Budai Pter s Lipp Szabolcs azok a kollgim a Microsoft-nl, akikkel a legtbbet gyrjk egymst. Petivel 2006 s 2010 kztt prbltunk rengeteg hasznosat elkvetni a hazai rendszergazdk s zemeltetk oktsrt, egy vlts utn pedig Szabolccsal 2010 nyr eleje ta prgnk egytt ugyanezen a terleten. Mindkettjknek lett volna elg oka r, hogy piszkljon a knyv elkszltvel vagy az rs sebessgvel kapcsolatban, de ezt sosem tettk, bztak bennem. Mivel engem amgy is egy elgg fggetlen s ntudatos embernek ismernek, dupln hls vagyok, hogy ez gy alakult, gy alakulhatott. A lektornak, azaz Harmath Zoltnnak extra ksznet jr. Egy nagyon rvid hatrid alatt, flig Budapesten, flig Redmondban, a jetlag-gel kzdve nzte t ezt a rengeteg oldalt, s tbb lnyeges s praktikus javts mellett, mg bels rdekessgekkel is szolglt az ISA s a TMG szerverek ksztsi folyamatrl, a dilemmkrl s a dntsekrl. Persze, ennyi segtsg mg mindig kevs lenne, de nekem olyan htorszgom van, amellyel egsz fldrszeket igzhatnk le, ha gy alakulna . Ez a htorszg a csaldom, s fkpp a felesgem. Ugye, semmi sincs ingyen, ellenben a csillogs sokszor csak nekem jut, mg az rt fizeti meg. Ez egy megfelel alkalom arra, hogy valamit mlt mdon visszaadjak ebbl. Ksznm. Egybknt egyetlen ember(ke) biztosan van, aki mr most is utlja ezt a knyvet. az n 9 ves kisfiam, akit 2010 augusztusban annyiszor lepattintottam a kosrlabdzs, a focizs, vagy brmi ms kzs tevkenysg kapcsn erre a knyvre hivatkozva, hogy szerintem estnknt a szobjban kicsi voodoo knyveket szurklt mr, vrva hogy vgre-vgre befejezzem....

BEVEZETS

TARTALOMJEGYZK
1 2 Bevezets __________________________________________________________ 9 Mlt s jelen _______________________________________________________ 11 2.1 2.2 2.3 3 gy kezddtt __________________________________________________ 11 Mirt FOREFRONT s mirt TMG? ___________________________________ 17 Hny TMG van? _________________________________________________ 20

A telepts s elzmnyei ____________________________________________ 23 3.1 3.2 A rendszerkvetelmnyek _________________________________________ 23 A hlzati viszonyokrl ___________________________________________ 25 A hlzati krtyk ktsi sorrendje ______________________________ 26 A hlzati krtyk finomhangolsa _______________________________27 DNS s NetBIOS _____________________________________________ 30

3.2.1 3.2.2 3.2.3 3.3

TMG forgatknyvek _____________________________________________ 32 Edge firewall _________________________________________________ 33 3-Leg perimeter _____________________________________________ 34 Back-end firewall _____________________________________________35 Branch Office Firewall _________________________________________35 Single network adapter _______________________________________ 36

3.3.1 3.3.2 3.3.3 3.3.4 3.3.5 3.4 3.5 3.6 3.7 3.8 3.9

A kliensek _______________________________________________________ 37 Teleptsnk vgre ________________________________________________ 43 Ha nem sikerl, nyomozunk ________________________________________53 Migrci, export-import __________________________________________ 55 Virtulis krnyezetben? ___________________________________________ 58 J ha megszvleljk _____________________________________________ 61 Nhny klszably __________________________________________ 62 Tartomny vagy munkacsoport? ________________________________ 63

3.9.1 3.9.2 4

Vegyk birtokba! ___________________________________________________ 66 4.1 4.2 4.3 A konzol felfedezse _____________________________________________ 66 Az j varzslk ___________________________________________________ 77 Hogyan leszel TMG admin a sajt gpeden? __________________________ 79

A tzfal ___________________________________________________________ 81 5.1 Az alapok s nmi trtnelem ______________________________________ 81 A csomagszrs _____________________________________________ 82 Az llapottart-vizsglat (s szrs) _____________________________ 84 Az alkalmazs szrs _________________________________________ 85 A TMG helye a tzfalak kztt __________________________________ 87

5.1.1 5.1.2 5.1.3 5.1.4 5.2

Multi (nem level) networking _______________________________________ 88 Mit is jelent ez? ______________________________________________ 89 Az alaprtelmezett hlzatok __________________________________ 89 A hlzatok tulajdonsgai _____________________________________ 93 A hlzati szablyok __________________________________________ 98

5.2.1 5.2.2 5.2.3 5.2.4 5.3

Azok a csodlatos szablyok ______________________________________ 103 A szablyok alapanyagai, azaz a hlzati objektumok _____________ 103 Hogyan pl fel egy hozzfrsi tzfalszably? ___________________ 108 s hogyan mkdik? _________________________________________ 109

5.3.1 5.3.2 5.3.3 5.4 5.5 6

A System Policy ________________________________________________ 112 Behatols detektls, IP szrs ____________________________________ 120

A tzfal a TMG-ben ________________________________________________ 124 6.1 Egy nagygy: a NIS_____________________________________________ 124 NIS rszletek _______________________________________________ 128 A szignatrkrl mg egy kicsit ________________________________ 132

6.1.1 6.1.2 6.2

ISP Redundancy _________________________________________________135 Tpusok s mkds _________________________________________ 136 A kapcsolat tesztelse _______________________________________ 138 lltsuk be! _________________________________________________ 140

6.2.1 6.2.2 6.2.3 6.3 7

Enhanced NAT _________________________________________________ 146

A proxy szerver ____________________________________________________ 149 7.1 7.2 7.3 7.4 Mit csinl egy proxy szerver? ______________________________________ 149 Proxy tpusok __________________________________________________ 150 Szerver oldali belltsok _________________________________________ 154 Hitelestsi metdusok __________________________________________ 158

BEVEZETS
7.5 7.6 Auto Discovery megoldsok ______________________________________ 162 Cache avagy trazzunk gyorsan ___________________________________ 169 Hogyan mkdik a web proxy cache? ____________________________ 170 A gyorsttr finomhangolsa __________________________________ 173

7.6.1 7.6.2 8

A web proxy a TMG-ben ____________________________________________ 185 8.1 Enterprise Malware Protection ____________________________________ 185 Hogyan csinlja? ____________________________________________ 186 Az EMP konfigurlsa ________________________________________ 188

8.1.1 8.1.2 8.2

A HTTP filter ___________________________________________________ 199 Hogyan rjk el? ____________________________________________ 200 A HTTP filter konfigurlsa ___________________________________ 202

8.2.1 8.2.2 8.3

HTTPS Inspection _______________________________________________ 208 A kvetkezmnyek s a kvetelmnyek _________________________ 210 A HTTPSi konfigurlsa _______________________________________211

8.3.1 8.3.2 8.4

URL-F ________________________________________________________ 219 Hogyan mkdik? ___________________________________________ 220 Amit az URL-F-bl ltunk _____________________________________ 222

8.4.1 8.4.2 9

Kit s hogyan engednk be? ________________________________________ 228 9.1 A szimpla szerver publikls ______________________________________ 229 Egy plda: FTP szerver kzzttel ______________________________ 230

9.1.1 9.2

A webszerver publikls _________________________________________ 235 Egy nagy falat: a web listener _________________________________ 236 Tovbbi webszerver publiklsi opcik __________________________ 247 Egy msik plda: Webszerver SSL-el____________________________ 253

9.2.1 9.2.2 9.2.3 9.3

Specilis publikls: az Exchange Server ____________________________ 260 Az SMTP szerver publikls ___________________________________ 261 SMTP vdelem, vrus- s spamszrs ___________________________ 264 A klasszikus e-mail protokollok publiklsa ______________________ 272 A webes kliensek ____________________________________________ 274

9.3.1 9.3.2 9.3.3 9.3.4

10 Tvoli elrs: VPN s nem VPN ______________________________________ 281 10.1 Hogyan faragjunk VPN szervert a TMG-bl? _________________________ 281

10.2 Site-to-Site VPN ________________________________________________ 293 10.3 A nagy durrans: DirectAccess tmogats ___________________________ 302 10.3.1 10.3.2 11 DirectAccess alapok _________________________________________ 302 DA vs. TMG ________________________________________________ 305

Ellenrizznk s javtsunk __________________________________________ 308 11.1 Naplzs ______________________________________________________ 308

11.2 Riasztsok ______________________________________________________315 11.3 A legjobb bartaink: Session Monitor s a realtime napl ______________ 320

11.4 Egy jabb bart: a Connectivity Verification _________________________ 323 11.5 12 J bartokbl sosem elg: a BPA __________________________________ 325

A rads: az SP1 ___________________________________________________ 328 12.1 BranchCache, RODC, Sharepoint 2010 ______________________________ 328

12.2 URL szrs vltozsok ___________________________________________ 330 12.3 jdonsgok a jelentseknl _______________________________________ 332 13 Zrsz ___________________________________________________________ 335

BEVEZETS

1 B EVEZETS
Krlbell 6 ve szeretnk knyvet rni az ISA-rl. Szmtalan oka van annak, hogy eddig mirt nem sikerlt, legfkppen az, hogy egy knyv az egy egsz embert kvn, ami egy bizonyos prgsszm felett majdnem lehetetlen feladat. De most mr nem halogathattam tovbb (br a 2010-es v els msfl hnapja mgiscsak ezzel telt ), hiszen jra lett aktulis rtelme, a TMG megjelense kapcsn. Mindezt 2010 februrjnak kzepn rtam le. Hossz habozs utn ugyanis ekkor vgre tnyleg hajland voltam lelni, hogy elkezdjem. Aztn 10 nap folyamatos rs utn, sszehoztam kb. 120 oldalt. Nagyon bszke voltam magamra, de ez aztn elmlt. Merthogy ezutn flvig semmi sem trtnt. Semmi. A nyr elejn rtam egy pr oldalt, de aztn gyakorlatilag az egszet kikukztam. Mondhatnnk, hogy anyagot gyjtttem, elegns is lenne, de nem igaz. Az viszont igaz, hogy nem unatkoztam, de rni nem voltam hajland az ember kivlan kpes meggyzni magt arrl, hogy amit nem akar, arra nincs is szksg. Aztn augusztus kzepe fel nagyon elkezdett gni a lbam alatt a talaj, s kb. 20 kemny munkanap alatt sszehoztam a maradk 215 oldalt. Durva, mert mondhatjuk, hogy 7 hnapig kszlt a knyv, pedig csak egyig, de az milyen volt. Durva. Nos, ezen anyag bet szerinti elsajttsa sok-sok hasonl vastagsg okossg illetve j pr v gyakorlat nlkl kiss nehezen fog menni. Azt viszont mr a legelejn meggrtem magamnak, hogy minden lehetsg szerint s minden rendelkezsre ll eszkzzel maximlisan arra fogok trekedni, hogy ne legyen lehetetlen 1 ebbl a knyvbl megrteni egy ilyen komplex, nagy tuds, s tbbfle krnyezetben is praktikusan hasznlhat szoftver mkdst s fkpp mkdtetst, mint a Forefront Threat Management Gateway 2010. De azrt alapozzunk sokrten, mert ez a termk valban ignyli ezt. De most, hogy ksz btran kijelenthetem, hogy ez nem egy 120%-osan Forefront TMG knyv, az az nem csak egy frissts, hanem inkbb tfog jelleg. Tbb okbl is: - Rengeteg jdonsg van benne (ahogyan a termkben is), de azrt vannak olyan rszek is, amelyek ISA 2006 vagy esetleg az ISA 2004 ta nem vltoztak, viszont kihagyhatatlanok. - A stateful inspection az ISA s a TMG nlkl is stateful inspection.
1

Az elmlt 15 vben (azaz kb. mita zemeltetek) egy szp terjedelmes mret

~9~

A KAPUN TL

Remlem, sokak szmra okoz majd legalbb annyi rmet e frcm elolvassa, mint nekem - leszmtva a kezdeti knldst, meg nha a fonal elvesztst vez pnikhangulatot - a lekrmlse. s persze az okos ember legutoljra rja meg az elszt, s ilyenkor mr, a befejezstl elkbulva, minden megszpl, kk az g, zld a f, s a szvemben kicsi virgok nylnak fj. De hogy mr az els oldalakon is legyen valami rtelmes tartalom, azonnal eszkzlk egy praktikus rvidtst a hivatalos, de kiss hossz elnevezsen: mi TMG-nek fogjuk hvni innentl az j fit, az eldjt pedig egyszeren ISA-nak. Hrom bet mindkett, de mecsoda klnbsg

~ 10 ~

MLT S JELEN

2 M LT

S JELEN

2.1 GY KEZDDTT
A Microsoft els prblkozsa a hlzatot vd komplexebb alkalmazsok tern (direkt nem rok tzfalat) a Proxy Server 1.0 volt, mghozz 1997 janurjban. Abban az idben egy ilyen tpus termk igencsak ritkasg volt, gondoljunk bele (de ha kb. 30 v alatt van az letkorunk ez biztosan nem fog menni) a megjelens pr hnappal a Windows NT 4.0 kiadsa utn trtnt ami mg ppen nem tartalmazta a TCP/IP-t, hanem csak kln eljrs keretben lehetett rtelepteni. Szval a Proxy Server 1.0 igencsak korltozott kpessg volt, s ersen behatrolt tmogatssal rendelkezett az internetes protokollok viszonylatban. A szerz ezzel a vltozattal mg nem, ellenben a gyorsan megrkez utddal a Proxy Server 2.0-vl (1997. december) mr dolgozott a mindennapokban is. s nem annyira lvezte, mivel mg itt is volt j csom korlt s rthetetlen mkds, fkpp, ha szembelltottuk az ekkor mr bven ledez/l konkurensekkel.

2.1 BRA A P ROXY S ERVER 2.0

m egy nagy elnye a Microsoft termknek mr akkor is volt: kpes volt a szintn Microsoft termk, a hlzati opercis rendszer felhasznli adatbzist hasznlni (nincs mg Active Directory, ez a ugye mg mindig a Windows NT 4.0), ami vllalati krnyezetben lnyegesen egyszerbb tette a felgyeletet. St, ekkor mr mkdtt a

~ 11 ~

A KAPUN TL
csomagszr (packet filtering), st ebben a verziban debtlt a web cache, azaz a gyorsttr szolgltats. De azrt az sszkp mg mindig inkbb fjdalmas volt, mint lvezhet. Nagy vltozs trtnt 2001 mrciusban, mivel megszletett az j nev, s akkoriban nagyszer s meghkkent jdonsgokat hoz ISA 2000. Elszr is rgtn kt vltozat jelent meg, a Standard s az Enterprise. Az ISA Server 2000 eleinte csak Windows 2000 Server-en futott (de csak az SP1-tl, viszont brmelyik kiadson), m ksbb mr a Windows Server 2003-ra is feltelepthet lett. Ezt a termket mr nevezhettk tzfalnak, a sima csomagszrsen kvl mr a stateful szrst is ismerte, s megjelentek az egyedi alkalmazs- s webszrk is. Mkdtt az RRAS-ra pl (ez azta is vltozatlanul gy van) VPN tmogats, volt dinamikus IP szrs, s egy pici IDS (Intrusion Detection System). Az IDS kpessgek a kvetkez ismert tmadsi formkat ismertk fel s adott esetben automatikusan tiltottk is a problms forrs IP-t: WinNuke, Ping of Death, Land, UDP bombs, POP Buffer Overflow, Scan Attack (portscan). Az ISA szerverek els minstsi tanstvny: ISA Server Earns ICSA Labs Certification, Industry's de Facto Standard for Firewall Security http://www.microsoft.com/presspass/features/2001/feb01/02-14isaserver.mspx A cache mr reverse irnyban2 is hajland volt dolgozni, valamint gyrthattunk idztett letltsre vonatkoz krseket is. 3 Megjelentek a mr akkor is jl varilhat s idzthet jelentsek, s volt Gatekeeper H.323 tmogats is, valamint a zr konfigurlst megkvn Secure NAT kliens alkalmazsra is sort kerthettnk (immr a web proxy s a tzfal kliens mellett). s volt svszlessg szablyzs (!), de annyira, gyengre s hasznlhatatlanra sikerlt, hogy - br igny az lenne r - azta se kerlt be semelyik ISA vagy TMG verziba.

Azaz a reverse cache eredmnyeknt egy publiklt portl esetben elfordulhat az, hogy a bngsz kliensnek visszaadott tartalom nem kzvetlenl a webszerverrl, hanem az ISA gyorsttrbl jn. 3 s volt automata letlts is (Active Caching), azaz frekventlt oldalakat nllan lehzta jjel a cache-be, gy pl. a szerz az els napokban a logok bngszse kzben idegbetegg vlt, a userneveket nem tartalmaz, m folyamatos letltsi bejegyzsektl

~ 12 ~

MLT S JELEN
A Gatekeeper H.323 elviekben lehetv tette az ISA Server szmra az IP telefonls felgyelett, illetve a H.323 alap VoIP alkalmazsok hasznlatt (pl. Microsoft NetMeeting 3.0). De ehhez mg DNS SRV rekordot is kellett regisztrlni, szval nem volt egyszer mka.

2.2 BRA A Z ISA S ERVER 2000

A szmtalan jdonsg egyike a mra mr egysgess vlt tzfal szablyok eldjeinek a megjelense volt, de kiss mshogy, mint napjainkban. Az Access Policy gyjtnv alatt kln szablyok vonatkoztak a Local Host gpre (IP Packet Filters), a weboldalak elrsre (Site and Content Rules) s kln az engedlyezett protokollokra (Protocol Rules), plusz kln elgazs volt a publiklsra (Published Rules). De ha pl. a hlzatkezelst nztk, akkor volt sszesen egy, azaz 1 db Internal nev hlnk (kizrlag a bels cmtartomnyt tartalmaz LAT, azaz Local Address Table alapjn), meg 1 db External s ksz. A bels s a kls hlzat kztt minden forgalom NAT-olt volt, a bels hlzathoz tartozk kztt pedig minden forgalomterels a tradicionlis tvlasztssal (route) trtnt.

~ 13 ~

A KAPUN TL

2.3 BRA ZEMMDVLASZTS TELEPTS KZBEN AZ ISA S ERVER 2000- BEN

A nvbl mr kiderl, hogy az Enterprise kiads a nagyobb rendelkezsre lls, a magasabb igny elvrsok miatt kszlt, s rkezett vele 1-2 olyan technolgia is, ami miatt a mai napig is ezt vlasztjk a nagyvllalati gyfelek (tovbbi rszletek a 13. fejezetben): - Az ISA tmb (array) alkalmazst, s gy pldul a tmbben lv ISA szerverek mkdsnek kzponti, hzirend alap knyelmes szablyzst. - Az NLB (Network Load Balancing) mdszer alkalmazst, ami pl. a webszervereink folyamatos elrhetsge s magas rendelkezsre llsa miatt vezettnk be - Mr akkor is jelen volt az Enterprise vltozatnl a CARP protokoll, amely az esetleges nagyobb mrtk, tbb szerverre elosztott web gyorsttr kialaktst is lehetv tette - Nem kerlt korltozsra a hasznlhat CPU-k szma (ti. a Standard vltozatnl maximum 4 CPU volt a limit) Az ISA Server 2000 Enterprise csak s kizrlag tartomnyvezrln mkdtt s - azta is pldtlan mdon - smabvtst is ignyelt! Kiadstl fggetlenl az ISA 2000 hozott mg egy rmiszt vltozst: a telepts utn azonnal lezrt minden kifel- s befel tart forgalmat, azaz neknk kellett engedlyezni adott esetben gpenknt, protokollonknt, vagy felhasznli fikonknt

~ 14 ~

MLT S JELEN
(s mg jpr paramter segtsgvel) a hozzfrst. Egyetlen szably volt csak a rendszerben alaprtelmezs szerint, az pedig mindent letiltott! Az elv helyes volt s ma is az, de akkoriban ez azt jelentette, hogy sokaknak jra kellett tanulni a tzfal szakmt. Mg slyosabb kvetkezmny volt, hogy RDP-n keresztl a telepts br ment, de a sikeres telepts utn egy game over kvetkezett. Az ajnls akkor az volt, hogy hzd le a hlzatrl az ISA-t s gy teleptsd, konfigurld be, majd tedd fel a hlzatra. A ksbbi ISA-k s a TMG viszont ebben is maradandt alkotott: a teleptskor ha RDP-n vagy bent, szreveszi s forrs IP cmedet automatikusan engedlyezi.

2.4 BRA A Z ISA S ERVER 2004

Aztn pontosan 3,5 v mlva jra jratanultuk. Ugyanis 2004 szeptemberben megrkezett az ISA Server 2004. A fellet teljes egszben megvltozott, tnyleg eltvedtnk benne az elejn. Belpett a multinetworking tmogats (az 5 alap hlzaton kvl akrhny logikai hlzatot kipthettnk), egysgesedtek, m sszetettebbek lettek a tzfalszablyok, megvltozott a VPN szerver szerepkr, immr lett VPN karantn tmogats is, vltozott a felhasznli csoportok kezelse, a hitelestsi metdusok, a felgyeleti mdszerek, s megjelent az eleinte igencsak rejtlyesnek tn System Policy. risi vltozsok trtntek a szimpla s a webszerver publiklsban, a tanstvnyok

~ 15 ~

A KAPUN TL
hasznlatban (azrt itt mg rfrt volna), a TCP s az UDP mellett az IP szint s az ICMP protokollokat is tmogatta az ISA 2004. Egyttal jra vltozott a tartomnyi tagsggal kapcsolatos ajnls: a RADIUS tmogatssal a kzvetett hitelests lehetv vlt, gy a tartomnyi tagsg (klnsen az Enterprise kiadsnl) mr nem volt felttel, st. Az RSA SecurID nvtr hasznlata egyszerv vlt, s kaptunk egy remek, m azta is mltatlanul httrbe szorult HTTP filter-t is, meg egy csudaj online naplt, s megjelent a szleskr Exchange tmogats is, beptve. Azt hiszem, ez nem egy akrmilyen lista, pedig most mr prblok szkszav lenni, mivel ezek a tmk konkrtan s rszletesen visszaksznnek majd a kvetkez fejezetekben. De - hogy ms oldalrl is emltsnk meg pldkat eltnt a termkbl a mr emlegetett svszlessg-szablyzs, valamint pl. az Active Caching (ami valjban ott maradt a UI-n, de nem mkdtt, csak az SP1 radrozta ki vgleg ).

2.4 BRA A Z ISA S ERVER 2006

Na de, a trtnetnek (lsd: az ISA saga) nincs vge, alig ocsdtunk fel, mris itt volt a nyakunkon a legjabb trnkvetel, az ISA Server 2006 (2006 oktberben). A ktves intervallumbl bizonyra az avatlan szemllnek is kiderl, hogy itt risi, az alapokat is rint vltozsok mr nem trtntek, de sok okos s praktikus finomts viszont igen. Ahol nagy vltozsok trtntek, az a hitelests, ezen bell is a hitelests-delegls, a rlap alap hitelests (mobil eszkzkre is kiterjesztve), valamint a klnbz nvterek (AD, Windows, RADIUS, SecurID, OTP) vltozatos hasznlhatsga, az SSO (Single-

~ 16 ~

MLT S JELEN
Sign On), s a Link Translation lehetsgek soha nem ltott magassgokba emelkedtek. Az Exchange mellett integrlt Sharepoint publiklst is kaptunk, kibvlt az NLBS tmogats, valamint (vgre) tlthatbb vlt a tanstvnykezels. Az ISA Server 2006 mr nem volt telepthet Windows 2000 Server -re, ellenben hasznlhattuk a Windows 2003 R2-n is. n nem unatkoztam 2006-ban sem, azaz volt mit elsajttani az ISA Server kapcsn, s a vgn annyit mg hozztennk, hogy az azta elrhet - nem elssorban biztonsgi4 javtcsomagokban (Supportability Upgrade, valamint az SP1) is kaptunk szmos kellemes meglepetst okoz segdeszkzt.

2.2 M IRT FOREFRONT

S MIRT

TMG?

A historikus ttekints utn nem rt megjegyezni rgtn az elejn, azt a tnyt, hogy a TMG-ben minden benne van ami az SP1-es llapot ISA Server 2006-ban megtallhat volt. Ahogy lttuk a korbbi ISA vltozatoknl voltak vltozsok, volt, ami kiesett, volt, ami visszajtt, de itt most nem, a jelents szm jdonsg mellett minden eddigi ISA tuds benne lakozik a termkben. Ezt az elvet kvetem ebben a frcmben is, sok-sok helyen, amikor a TMG egyegy olyan szolgltatsrl lesz sz, ami az ISA-ban is megvolt, ezt nem fogom kln kihangslyozni. gy viszont a drzslt szakiknak is t kell futni mindent de taln ez nem lesz akkora fjdalom. Ms krds, hogy a fellet vltozsai miatt, ha a j rgi megszokott helyen keresnk pl. bizonyos belltsokat vagy funkcikat, akkor idnknt orra bukunk, de ez csak navigci illetve megszoks krdse, idvel menni fog. Errl mg lesz bven sz egybknt a 4. fejezetben. Egy msik lnyeges elem a nv. A Microsoft termkeknl idnknt elgg szofisztikusan vltoznak a termknevek, az tnevez kommand5 lelkesen mkdik. gy aztn - ahogyan lthat -, a TMG esetben is trtnt vltozs, mghozz kett is, de azrt egy rvid kitekints utn ezek vrhatan mindenki szmra logikusnak s rthetnek tnnek majd.

4 5

Az ISA nem arrl ismert, hogy gyrilag tele lenne lyukakkal, de ez gy is van rendben. A jogok BK tulajdonba tartoznak ..

~ 17 ~

A KAPUN TL
rdekes bels sztori az, hogy 2003-ban amikor Redmondban dolgoztunk az ISA 2004-en, akkor a team egyrtelmen a Microsoft Firewall Server nevet akarta adni a termknek, viszont ezt a marketing a vgn thzta. Ennek kt zenete lett volna: 1, szaktani az ISA nvvel, mert rossz me n volt a tzfalak krben az ISA 2000; 2: f zenet az, hogy ez a termk NEM web caching termk elssorban, hanem tzfal, ami mellesleg tud gyorsttrazni is (a mai napig alaprtelmezs szerint a cache ki van kapcsolva). Az id bennnket, azaz a team-et igazolja sajnos, mert sokszor mg mindig elssorban web caching proxy-nak tekintik a termket, pedig nem az. (A lektor megjegyzse.) A Forefront eltag a csaldot jelenti. Ez egy npes csald, s egy npes, s rendes csaldhoz illen a tagjai szoros, idnknt egszen intim kapcsolatban llnak egymssal. A csald tagjai rtelemszeren a biztonsgi megoldsokhoz ktdnek, a legfrissebb Forefront Endpoint Protection nev kliens oldali antimalware (a vrusok s spyware-k sszefoglal neve) termktl a specilis kiszolgl szoftverek (Exchange, Sharepoint, OCS) vdelmn keresztl az olyan komplex tagokig, mint a TMG vagy az UAG. s ne feledkezznk meg a skla abszolt nagyvllalati oldaln ll olyan aktv elemrl, sem mint a Forefront Protection Server (lnykori nevn Stirling, jelenleg mg bta), mr csak azrt sem, mert ez lesz az a termk, amely pont a csald sszes, vagy majdnem sszes elemt sszefogja, s kzs munkra brja majd.6 Egybknt ez a csald klnleges gykerekkel br, mivel a tagok jelents rsze kamasz vagy ppen felnttkorban vltak teljes jog csaldtagg, azaz nem a Microsoft eredeti fejlesztse mindegyikk (lsd az Antigen illetve pl. az IAG kulcsszavakat), m mostanra, azaz az olvaszttgelybe trtn alapos s tbbszrs megmerls utn, ez mr nem szmt. Kzs a cl s egysgben az er.

2010 janurjban ez mg igaz volt, de augusztusban mr nem, ez a termk bizontytalan ideig kimarad a kzeli fejlesztsekbl, de azrt bennehagytam a szvegben (gy ahogy a TMG MMC-ben is lthatjuk jpr helyen)

~ 18 ~

MLT S JELEN

EGY RSZTVEV HINYZ IK , EZ PEDIG A

2.5 BRA A F OREFRONT CSALD TAGJ AI 7 F OREFRONT I DENTITY M ANAGER 2010 (FIM) (A Z FPM APROPJN LSD A LB JEGYZETET )

A fejezetindt krds msodik felt tekintve imho a Threat Management Gateway nv is ersen indokolt, mivel az Internet Security s Acceleration nev megolds egy msik, lassan letn korszak kpviseljt mutatta. Internet Security? Acceleration? Ez az ltalnosts illetve egyszersts mg az ISA 2000-re igaz lehetett, de hogyan lehetne ma mr az Acceleration-nal a cache utalni a nvben, mikor ez a termkben megjelen kpessgek olyan kb. 2 %-t takarja. Ma mr kiss msok a kihvsok, a TMG-be kerl j megoldsok jelents rsze valban az direkt incidensek (threat) elkerlsre illetve megelzsre szolgl (Antimalware, NIS, HTTP s HTTPS vizsglat, spam s vrusszrs az Exchange szmra s stb.). s a Gateway hvsz sem kevsb jelents, azt sugallja, hogy itt, az Edge (perem?) ponton kell megfogni mindent. Idig jnnek a vrusok, idig jnnek a tmadsok, idig jnnek az autentikcis ksrletek innen viszont a TMG lerendezi a problmt, teljhatalm r 8 a hlzati forgalom tekintetben, s ha korrekt mdon uraljuk, akkor a hatalma valban bennnket szolgl. Kiss taln magasztos bekezds volt ez, de a lnyeget lefedi.

2010 prilisban aztn meg is jelent. Randa dolog megszemlyesteni a termkeket, n lszban utlom is ezt, de most elnztem magamnak.
8

~ 19 ~

A KAPUN TL 2.3 H NY TMG

sszesen 2 db. Eddig errl egy sz sem esett, pedig ez egy alapinformci. s muszj rni errl a tmrl, mert sok a flrerts, jrtamban-keltemben mg azoktl is hallok fura vlekedseket, akik elvileg "benne vannak az iparban". Szval a knyv f tmjaknt emlegetett TMG verzi mellett ltezik egy n. TMG MBE vltozat is, amelynek a publikus histrija a rgebbi, azaz 2008 novembernek krnykre datldik (a nagy TMG RTM 2009 novemberben jelent meg), s eleinte elvlaszthatatlanul ktdtt az EBS-hez (Essential Business Server), azaz az SBS szerver nagytestvrhez. Az EBS-ben megjelen hrom f szerepkr s szerver (Management, Security s Messaging) egyikeknt a Microsoft a TMG akkori llapotban lv vltozatt adta hozz ehhez a csomaghoz, amelyet ugyangy a Threat Management Gateway nvvel illetett, de emellett a Medium Business Edition tagot is szerepeltette a nevben. Ennek a cuccnak amellett, hogy az ISA Server 2006 RTM (ez fontos, lsd ksbb) minden tudst lefedte, a kt f jdonsga volt. Az egyik az, hogy fel lehetett telepteni Windows 2008-ra, pontosabban a 64 bites Windows 2008-ra is (az EBS-ben minden szerver x64-es gyrilag), s ebbl kvetkezik, hogy pl. Hyper-V al is. A msik elny a majd a ksbbiekben rszletezett Malware Inspection rszleges integrlsa. A Malware Inspection TMG s TMG MBE kztti klnbsgekrl mr rtam a TechNet blogon: TMG Malware Inspection - szrs ezerrel - I. rsz http://www.microsoft.com/hun/technet/article/?id=30d3d111-4cb9-4f82-b9f7d8167624ecfb TMG Malware Inspection - szrs ezerrel - II. rsz http://www.microsoft.com/hun/technet/article/?id=255b9f92-89d6-42dd-9bcc189ffd68227b Ez a kt jdonsg csak tredke a "nagy" TMG szmos nagy durransnak, de azrt s fleg akkor nagyon hasznos volt. Na de folytassuk a sort a tovbbi MBE hinyossgokkal illetve eltr tulajdonsgokkal, immr felsorols szeren: 1. Hangslyoztam korbban az ISA 2006 RTM verzijt, nos, ez azrt lnyeges, mert az ISA 2006 SP1-gyel (2008.03.) pr praktikus jdonsg "beleesett" a termkbe, s
VAN ?

~ 20 ~

MLT S JELEN
ht ezek az MBE vltozatbl viszont kimaradtak (de ebbl a knyvbl nem fognak), nzzk meg melyek: - Configuration Change Tracking (egybknt a TMG-ben ez mr automatikus) - Web Publishing Rule Test Button (ez klnsen fjhat, tesztelsnl remekl mutatja a hibkat) - Traffic Simulator (ez is fj, teljesen praktikus) - Diagnostic Logging Query (ez mr nem annyira, hiszen gyakorlatilag csak egy link gyjtemny, tbbek kztt pl. a BPA-ra utalva) ISA Server 2006 SP1 jdonsgok http://blogs.technet.com/isablog/archive/2008/05/23/isa-server-2006-servicepack-1-features.aspx 2. Ha mr itt tartunk az SP1 eltt, 2007 novemberben megjelent ISA 2006 Supportability Update "jsgait" (mint pl. a log sznezs), az MBE is ismeri. 3. Igaz, hogy 64 bites OS alatt mkdik, de ha jl benznk a Task Managerbe, akkor azt lthatjuk, hogy az MBE processzei mind-mind 32 bitesek. 4. Abszolt nem SA (Software Assurance) kompatibilis, sem lefel, sem felfel, teht kiss nehzkes csomagban hozzjutni, gyis mondhatnm, hogy lehetetlen.

2.6 BRA TMG VS . TMG MBE ( A PIROSSAL KIEMELTEK

AZ

MBE- RE IS VONATKOZNAK )

5. Ksbb az MBE letben annyi vltozs trtnt, hogy az EU-ban kln is kaphatv vlt, azaz az EBS nlkl is megvsrolhat. Jmagam vettem is egy cg szmra egy rendszerpts apropjn, mivel tudtam, hogy amikorra "belesedik" a terv,

~ 21 ~

A KAPUN TL
mr szksg lesz egy Windows Server 2008 x64 alatt is mkd tzfalra, s akkor a nagy TMG mg sehol sem volt. Nincs is vele baj, szpen mkdik azta is. De sajnos a teleptsnl kiderlt egy szmomra is meglep krlmny, azaz, hogy sajnos nem Windows Server 2008 R2 kompatibilis, s kis nyomozs utn megtudtam egyenesen Jim Harrisontl9 -, hogy nem is lesz az. Szval ez egy rdekes helyzet, s persze ma mr nincs rtelme MBE-t venni kln10, s be kell ltni, hogy ez egy kztes llapotot jelentett csak, ebben a nagyjbl 1 ves intervallumban.11

A szakma egyik kimagasl alakja, a Microsoft Forefront Edge Security Team tagja 2010 szeptemberben mr nem is lehet. 11 Egybknt a kiadsnak egyik oka az volt, hogy az antimalware kpessget lesben is lssuk mkdni, mivel sok aggly volt a teljestmnnyel, de szerencsre ezek alaptalannak bizonyultak (A lektor megjegyzse).
10

~ 22 ~

A TELEPTS S ELZMNYEI

3 A

TELEPTS S ELZMN YEI

Tipikusan ez az a rsz, amelyet a rutinos (de nem elg rutinos) rendszergazdk t szoktak lpni. De n (s fleg a Microsoft) ersen ajnlom, hogy egy ilyen extra rzkeny helyzet termk esetn ezt ne tegyk. A TMG szervergp(ek) teljestmnyt, stabilitst s fkpp megbzhatsgt mindenki fogja rezni a hlzat mindkt (vagy inkbb sszes) oldaln. Ebben a fejezetben tbbek kztt teht nemcsak a szoftveres s hardveres kvetelmnyekrl, hanem a hlzattal kapcsolatos elvrsokrl, a TMG alkalmazsnak forgatknyveirl, a virtualizci hasznlatrl, s magrl a teleptsrl is sz lesz. Anlkl hogy bagatellizlnm a teleptst, valsznleg a rutinos szakik is tudjk, hogy az elzmny sz a cmben a 95%, mg a telepts a sikeres bezemelsnek csak tredk rsze, mondhatnnk a gymlcse.

3.1 A

RENDSZERKVETELMNYE K

A hardveres kvetelmnyek rszletezsnl ltalban csak a minimum kvetelmnyeket kapjuk meg, ami rthet, hiszen pldul a feladat s/vagy a terhels az, ami meghatrozza a hardver elemek elvrt teljestmnyt. rtelemszeren a 15 k-s, SAS RAID lemezekrl, vagy a 4x4 magos CPU-krl itt nem lesz s nem is lehet sz, maximum majd a megszvlels fejezetben. A minimumszint teht a kvetkez: - 64-bit-es CPU, akr Intel (Extended Memory 64) vagy akr AMD64 zls szerint, a hitvitba semmikppen nem mennk bele, viszont csak s kizrlag 64 bit, a TMG-nek nincs 32 bites vltozata, mg prbavltozat sem12 - Windows Server 2008 x64, Windows Server 2008 R2 x64 (Standard, Enterprise, s Datacenter kiads, a Web, a Server Core s a Foundation nem) - 2 GB RAM - 2.5 GB HDD hely (ez csak a rendszer, ebben sem a cache, sem pl. a malware vdelem karantnja nincs benne) - Minimum egy hlzati krtya (hogy ez milyen azon is sok mlik, lsd ksbb) - Tovbbi hlzati krtyk a tervezett szkenri fggvnyben (3.3 fejezet) - NTFS fjlrendszer E m elksztse kzben jelent meg az ISA-nl mr megismert n. Capacity Planning Tool TMG-re passzol vltozata. A tervezett svszlessg, a felhasznlk szma illetve a TMG kivlasztott szolgltatsainak ismeretben viszonylag egyszeren kiszmolhatjuk azt, hogy milyen s mennyi hardverre, pl. milyen CPU-ra, mennyi RAM-ra, stb. lesz szksgnk a Microsoft ajnlsa alapjn. Radsul a korbbi vltozathoz kpest egy

12

A Management MMC konzol egy msik krds, de erre mg visszatrnk

~ 23 ~

A KAPUN TL
rvendetes vltozs az, hogy a knnyen feledhet flash-es vltozat utn visszatrtnk a j kis Excel tblkra :) Forefront Threat Management Gateway 2010 Capacity Planning Tool http://go.microsoft.com/fwlink/?LinkId=182886

3.1 BRA R SZLE T TMG C APACITY P LANNING T OOL - BL , HASZNLJUK BTRAN

A szoftveres kvetelmnyek viszont lnyegesen rnyaltabbak, pl. a Windows Server 2008 szolgltatsai s kpessgei kzl az albbiakra lesz szksg: - Active Directory Lightweight Directory Services (a korbbi ADAM, azaz a TMG a Standard vltozatnl is szaktott a registry-ben trolt konfigurci elvvel) - Network Policy and Access Services Server - Web Server (IIS) - Network Load Balancing Tools - Windows PowerShell Rutinos szemmel az IIS-en meglepdhetnk, hiszen eddig arrl volt sz, hogy a tzfalra webszervert semmikpp se tegynk, mert klnben csnya hallt

~ 24 ~

A TELEPTS S ELZMNYEI
halunk, meg a csaldunk s mg a szomszdok is, de az idk vltoznak. s azrt ez nem egy kznsges a 80-as porton figyel webszerver, hanem egy a 8008asra bedrtozott pldny, amin nem is tudunk vltoztatni. Egyb szksges, de nem integrlt sszetevk: - Microsoft SQL Express 2008 vagy - Microsoft SQL Server Native Client - Microsoft SQL Server Volume Shadow Copy Service (VSS) Writer - Office Web Components (rsze az SQL Server Express teleptsnek) - Microsoft .NET Framework 3.5 SP1. - Windows Web Services API. - Microsoft Windows Installer 4.5. Amit mg tudni kell, hogy a TMG eltvoltsa sorn a Windows Server 2008 szerepkrkn s kpessgeken valamint az Office Web Components alkalmazson kvl minden ms automatikusan lekerl a rendszerrl, m ezeket viszont kzzel kell eltvoltanunk, ha nincs r szksg a tovbbiakban. s ami a legjobb: a szmos felttel ellenre gyakorlatilag semmilyen manulis teendnk nem lesz a szoftveres komponensekkel, mivel a telept rsze egy specilis eszkz, az n. Preperation Tool (a teleptsnl majd megemlkeznk errl bvebben), ami nagyon praktikus. De itt is van kivtel, ugyanis ha az Exchange-nket kisegt e-mail vdelem TMG-re illesztst is hajtjuk, akkor az ahhoz szksges komponenseket viszont mr manulisan kell telepteni.

3.2 A

HLZATI VISZONYOKR L

Az ISA/TMG szerverek teleptse eltti egyik kulcsfontossg krds (sokan el is hasalnak ezen, ez kiderl a frum/levlista krdsekbl), a hlzati krtyk belltsa. A ktsi sorrend, a kls hlkrtya szigor belltsa, a DNS s NetBIOS belltsok, mind-mind olyan terlet, ami adott esetben lehetetlenn, vagy rosszabb esetben13 kiszmthatatlann, illetve teljestmny pazarlv teheti a mkdst. Nzzk sorban a helyes elveket s teendket. Ha tbb hlkrtynk, azaz tbb hlzatunk van (lehetne egy is, lsd 3.3.5), akkor van nhny praktikum illetve aranyszably, amit clszer betartanunk:

13

Szerintem ha valami nem mkdik, akkor ltalban knnyebb kinyomozni az okot, mintha csak rszlegesen, vagy nem kell teljestmnnyel, vagy ideiglenesen teszi ugyanezt.

~ 25 ~

A KAPUN TL
Nevezzk el a hlkrtykat egy egyrtelm, az adott hlzatra utal nvvel (Internal, External, egy ADSL kapcsolatnl pl. az ISP neve, stb.)

3.2 BRA A Z TNEVEZS EGYSZER , S PRAKTIKUS

Szmoljunk azzal, hogy egy s kizrlag egy alaprtelmezett tjrnk lehet14. Ez egy tipikus kt hlkrtys rendszerben mindig a kls interfszen lltjuk be (vagy automatikusan belltja az ISP DHCP-je). A bels hlzat TCP/IP belltsai kztt biztosan nem szerepelhet egy DG. Csak egy interfsz TCP/IP tulajdonsgai kztt lltsunk be DNS szervereket. Ez tipikusan a ktsi sorrend tetejn helyet foglal krtya lesz, s tipikusan (fkpp ha tartomnyban van a TMG) az AD elrshez szksges DNS szerver(ek) cmei lesznek. A nem szksges protokollokat s adapter ktseket minden hlkrtyrl tntessk el (interface hardening). Ez klnsen a klsnl lesz fontos, de errl mg beszlnk. A hlzati interfszek ktsi sorrendjnek (Network Binding Order) kialaktsa kritikus teend.

3.2.1 A H L Z AT I K R T Y K K T S I S O R R E N DJ E Ha tbb krtynk van, mindig van ktsi sorrend, ergo ezzel foglalkoznunk is kell, mert knnyen lehetsges, hogy az alaprtelmezett bellts nem megfelel. Ha az elz brra nznk, akkor a ktsi sorrendet az Advanced/Advanced Settings/Adapter and Bindings fl alatt talljuk meg. A TMG teljestmnyt erteljesen befolysolja ez a sorrend, hiszen itt derl ki, hogy milyen nvfeloldsi mechanizmust hasznl az opercis rendszer elssorban, majd msodsorban s gy tovbb.
14

Vagy majd nem, lsd 6.3.

~ 26 ~

A TELEPTS S ELZMNYEI

Az ajnls az, hogy ahol a legnagyobb hlzati forgalmat vrjuk az legyen az els helyen. Kt hlzati krtys krnyezetben azonos forgalmat, vagy kzel azonos forgalmat vrunk mindkt krtyn, ezrt a bels hlzat interfsze legyen a legels helyen. Viszont tbb hlzat esetn ez mr nem mindig egyrtelm, ergo legyen a forgalmi mrtke az irnyad.

3.3 BRA E Z EGY HELYES SORREND

3.2.2 A H L Z AT I K R T Y K F INO M H ANG O L S A Ha az adott krtya a megfelel helyen van a ktsi sorrendben, illetve ha a nem megfelel adapter ktseket eltvoltottuk a hlkrtyinkrl, akkor mg mindig van teendnk: a TCP/IP konfigurci. Ez adapterenknt ersen klnbzhet, s elssorban attl fgg, hogy mire hasznljuk az adott adaptert. A bels, azaz a LAN fel mutat hlkrtya ajnlott belltsai: - File and Print Sharing for Microsoft Networks: ez vitatma lehet, ha nagyon szigorak vagyunk akkor letiltjuk, m ha szksg van tbbek kztt pl. a fjlmegosztsok elrsre a TMG szerveren, akkor muszj engedni. - Client for Microsoft Networks: engedlyezve (lsd elz pont).

~ 27 ~

A KAPUN TL

TCP/IP: - Default Gateway: nincs - DNS kiszolglk: van, az AD-hoz hasznlt, tipikusan a tartomnyvezrlk - Register this connections address in DNS: engedlyezve - NetBIOS over TCP/IP: engedlyezve A DNS illetve a WINS fln szerepl egyb belltsok egyediek lesznek, gy azokat igny szerint hasznljuk. Egy kls, azaz az Internet fel mutat hlkrtya ajnlott belltsai: - File and Print Sharing for Microsoft Networks: szigoran csak letiltva - Client for Microsoft Networks: szigoran csak letiltva TCP/IP: - Default Gateway: nincs - DNS kiszolglk: nincs - Register this connections address in DNS: letiltva - NetBIOS over TCP/IP: szigoran csak letiltva A kls interfsznl mg vannak tovbbi teendink is. Elszr is tipikusan tnyleg minden ktst leszednk a TCP/IP protokollok IPv4-es s IPv6-os (ez megint csak vitatma lehet, lsd mindjrt) kpviselin kvl errl a krtyrl. Ha mr van teleptett TMG-nk, akkor a Forefront TMG Packet Filter-t nem tudjuk egyik interfszrl sem, de ez rendben is van gy. Adott esetben az IPv6-ot is leszedhetjk, de tudnunk kell hogy ezzel mg nem tiltjuk le teljesen, ehhez registry turkra is szksg lesz. m most eljtt az ideje, hogy leleplezzem a fjdalmas titkot: a TMG nem rendelkezik IPv6 tmogatssal. Limitlt forgatknyvekben igen (pl. DirectAccess), de alaprtelmezs szerint nem. Az IPv6 forgalom szrse teht nem megy a TMG szmra, annyira nem, hogy alaprtelmezsben blokkolja is ezt. Ezutn az eddig felsorolsban nem szerepl kvetkez tteleket is kapcsoljuk ki, biztos, ami biztos: - Append parent suffixes of the primary DNS suffix - DNS suffix for this connection - Enable LMHOSTS lookup (s nyilvn WINS szerver sincs)

~ 28 ~

A TELEPTS S ELZMNYEI
Ksbb lesz mg sz rszletesen a Perimeter hlzatrl, de most anlkl hogy rszletekbe belemennnk, a teljessg kedvrt lejegyzem az ide passzol, ajnlott belltsokat is: - File and Print Sharing for Microsoft Networks: letiltva - Client for Microsoft Networks: letiltva TCP/IP: - Default Gateway: nincs - DNS kiszolglk: nincs - Register this connections address in DNS: letiltva - NetBIOS over TCP/IP: letiltva A hlzati krtyk gyben egy tma mg mindig van, s ez pedig a klnbz specilis az j hlzati hardver technolgik tmogatsa. ISA Server esetn, a Windows Server 2003 SP2-ben egy megjult hlzatkezelsi csomaggal szembeslhettnk (ez Scalable Networking Pack, lsd a linket ksbb), amely arra volt hivatott, hogy megfelel hlzati krtya s meghajt program esetn tmogassa a hlzati csomagok feldolgozsnak thelyezst magra a hlzati krtyra, ami hasznos megolds, mivel processzor kapacits szabadthat fel gy. Szintn jdonsg volt, hogy a megfelel NDIS miniport driver hasznlata esetn (v6.0) a csomagok feldolgozsa mr megoszlott a rendelkezsre ll processzorok kztt. Viszont az ISA Server-nl eleinte ez komoly, a ksbbi vltozatoknl kisebb problmkat okozott, a BPA (Best Practice Analyser, lsd a 11.4 fejezetet) siktott is emiatt, s kvetelte, hogy tiltsuk le az SNP csomag rszeit (pl. a TCP Chimney offload-ot, vagy a Receive Side Scaling-ot. Napjainkban viszont a lnyeg az, hogy mivel a Windows Server 2008-tl ezen sszetevk natv llapotban beptsre kerltek a TCP/IP stack-be, ezrt ilyen problmnk a TMG-vel mr nem lehet, gy ahogy az Explicit Congestion Notificationnel kapcsolatos sem jellemz15, mr persze, ha a hlzati hardverlnc minden eleme rszrl megvan a tmogats. Scalable Networking Pack (a Windows Server 2003-hoz) http://support.microsoft.com/default.aspx?scid=kb;[LN];912222 Rszletes infk az ECN-rl: Petrnyi Jzsef: TCP/IP alapok, 1. ktet v2.0

15

De azrt mg ma is hibznak a driverek, ergo ezt alaposan tesztelni kell s problma esetn kikapcsolni.

~ 29 ~

A KAPUN TL
http://www.microsoft.com/hun/technet/article/?id=3effd5d3-139c-471a-adeba71a6885562f

3.2.3 DNS S N E T BIOS jabb kritikus terletre tvedtnk. A nvfelolds mindig az, hiszen rengeteg minden fgg ennek a helyes mkdstl, aminek persze nem mindig csak egy jl betltd weboldal, vagy egy pingelhet cm a pozitv vgeredmnye, hanem egy felesleges terhelstl megvott DNS vagy TMG szerver. Mirt is fgg ennyire pl. a DNS-tl a TMG? Szmos okot kinyomozhatunk, de megemltenk egy nem tipikus pldt. Ha szeretnnk egy olyan tzfalszablyt krelni, amellyel ltalunk kivlasztott internetes oldalakat tiltunk vagy engednk nv szerint, akkor a szably rvnyre jutsakor a TMG egy DNS nv- s reverse IP16 lekrdezst is vgez egyms utn. Ha sok ilyennk van, akkor mindannyiszor. Nyilvn a DNS cache nem ismeretlen fogalom a TMG szmra sem, m ennek ellenre is ersen fgg az alap opercis rendszer nvfeloldsi mechanizmustl, ha ms nem addig, amg az informci nem kerl be a sajt DNS cache-be. De mondok mg egy pldt a NetBIOS nvfelolds apropjn, immr lpsekbe szedve: 1. A TMG alatt fut Windows tipikusan gy mkdik a nvfelolds sorn, hogy mindegy, hogy hogyan, de valahogy vgl legyen valamilyen nvfelolds. 2. Ezrt alapesetben a Windows-ok a hybrid node (HNode) tpus NetBIOS nvfeloldst rszestik elnyben. Ez azt jelenti, hogyha az OS-ben DNS s WINS szerver(ek) is be vannak lltva, de ezek valamirt nem vlaszolnak, akkor az OS ktsgbeesetten a klasszikus, s gyllt NetBIOS broadcast megoldst vlasztja. 3. Tny: a TMG nvfeloldsi krseinek jelents rsze internetes host-ok fel megy. 4. Ha egy publikus reverse DNS lekrdezs nem sikerl (Mindenki kitlti a reverse znjt? Dehogyis.), akkor vgl a NetBIOS broadcast lekrdezs lesz az alaprtelmezett. 5. Tny: a TMG alaprtelmezs szerint blokkolja a NetBIOS broadcast zeneteket (nagyon helyesen), de a Windows nem. 6. Kb. mennyi id amg kiderl, hogy a vgs NetBIOS broadcast sem megy az interneten? Rengeteg, akr 1 teljes perc is. szveszejt.

16

Ez utbbi egybknt egy TMG jdonsg, rgebben nem volt ilyen.

~ 30 ~

A TELEPTS S ELZMNYEI
Javaslat: tiltsuk le a TMG alatti OS-ben a NetBIOS broadcast forgalmat (azaz lljunk t PNode-ra), s egyben nveljk a TMG teljestmnyt a kvetkez registry kulcs alatti machincival: HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\NetBT\Paramete rs Name: NodeType Type: REG_DWORD Value: 2 Mivel ez a vltozs a Windows egyik kernel md hlzati komponenst rinti, (konkrtan a NetBIOS over TCP/IP-t), ezrt az jraindts ktelez. Most egy kicsit beelzm magam, s a munkacsoport/tartomny tmt egy kicsit elre hozom, de csak a DNS apropjn. Ha ugyanis tartomnyban vagyunk, a bels krtya DNS szervereinek belltsa nem krdses, rtelemszeren a tartomny alapjul szolgl DNS szervereket kell bejegyeznnk, s gondoskodnunk arrl, hogy ez rendesen be is legyen lltva17. Ha viszont valamilyen okbl egy munkacsoportban van a TMG, akkor is szksg van ugyangy a bels s a kls host-okkal kapcsolatos nvfeloldsra, ez alap mindig. De mi van akkor, ha a cges elrsok nem engedik tartomnyi tagsg nlkl a bels DNS szerver(ek) elrst? Kt eshetsg addik ekkor: 1. Tallunk vagy teleptnk kln egy olyan nem tartomnyi tag DNS szervert, amely kpes a Conditional Forwarding mdszert hasznlni, azaz a TMG -tl pl. a bels tartomny fel men krseket mint DNS szerver tovbbtani s vlaszt szerezni. 2. DNS szervert teleptnk a TMG-re s ezt hasznljuk Conditional Forwarding DNS szerverknt a bels hlzat fel, s sima forwarder-knt a kls hlzat fel. Mindkt megoldsnak van elnye s htrnya, ha pldul arra gondolunk hogy a TMGre egy plusz szolgltatst kell teleptennk, az fjdalmas, m egy kln szervert erre hasznlni szintn az. Na de hagyjuk is ezt a munkacsoportos felllst de errl majd ksbb. Vgl s negyedik esetknt a nvfelolds versus TMG gyben, egy abszolt hibs konfigurcira hvnm fel a figyelmet. Magam is lttam, de olvastam is mr olyat, hogy az zemeltet az ISA szerveren a kls s a bels lbra is belltott DNS szervereket, radsul mindkettre egyformn egy-egy kls s bels DNS szerver IP cmt is
17

De ez nem TMG specifikus tma, ezt enlkl is meg kell oldanunk, pl. a kls feloldst a forwarder-ekkel vagy ha ms nincs, akkor a root-dns-ekkel.

~ 31 ~

A KAPUN TL
bevste, merthogy biztos, ami biztos. Nos, ugyan ezzel nem lltotta meg az ISA mkdst, de hallosan lelasstotta, mivel nha az egyik ment sikeresen, nha a msik, nha elsdlegesnek hasznlta a belst s gy OK volt, de ha ez mgsem volt elrhet, akkor prblkozott a bels cmeknl is a kls DNS szerverrel, szval elgg kaotikus volt a helyzet, s elgg izzadt az ISA szerver is. Ht, van ilyen is, ergo ha nem vagyunk teljesen tisztban a DNS mkdsvel, akkor kiindulsknt olvassuk el ezt a rgi, de rkrvny cikket: Best practices for DNS client settings in Windows 2000 Server and in Windows Server 2003 http://support.microsoft.com/kb/825036

3.3 TMG

FORGATK NYVEK

Kezdjk azzal, hogy nzznk t egy vgs ellenrzsi listt, mieltt nekiesnk a teleptsnek.
3.1 TBLZAT

Feladat Rszletek Az opercis rendszer biztonsgi A telepts eltt s utn is szksg lesz arra, hogy a llapota Microsoft Update szerverekrl lehzzuk a frisstseket. Errl gondoskodunk kell valahogy (akr egy helyi WSUS, vagy SCCM is j persze). Meghajtprogramok Klns tekintettel a hlzati krtykra! Hlzati krtyk Sorrend, ktsek, TCP/IP - mr tudunk mindent. Nvfelolds Mely DNS szerver(ek) segtenek majd a TMG-nek a nvfeloldsban? Szksg van NetBIOS nvfeloldsra is? Bels cmtartomny Az alaprtelmezett bels hlzat IP tartomnya Hlzati sablon Milyen hlzati forgatknyvre lesz szksg? Milyen krlmnyek kztt fog dolgozni a TMG? A TMG gp helye Tartomny vagy munkacsoport? Az utols kt krdsre mg nem tudjuk a vlaszt, pedig ezeket mindenkppen ki kell tallnunk a telepts eltt. A tartomny vs. munkacsoport krdssel ksbb foglakozunk, viszont a helyes hlzati sablon kivlasztsa most aktulis. Persze ezt a valsgban nem 2 oldallal elbb jn, mint a telepts, hanem nyilvn jval korbban, hiszen gyakorlatilag ez lesz az els igazn komoly rsze a tervezsnek. Az albbiakban a kvetkez t, kiemelt forgatknyvrl fogok beszlni: - Edge firewall (ktfle is)

~ 32 ~

A TELEPTS S ELZMNYEI
3-Leg perimeter Back-end firewall Branch Office Firewall Single network adapter

3.3.1 E D G E

F I R E W A LL

3.4 BRA A Z E DGE FORGATKNYV

Taln ez a legtipikusabb, legtbbet hasznlt fellls, legalbbis a Standard vltozat TMG-nl biztosan. Egy tzfalunk van, kt hlzati krtyval, egy belsvel s egy az Internet-re mutat klsvel, amelynek egy publikus, fix IP-je is van. Ebben a felllsban a TMG blokkol minden nem engedlyezett forgalmat kvlrl, illetve elrejti a bels hlt a nyilvnos hlzatok fel. A tzfal, a web proxy, a cache, a publikls s a VPN szerver szerepkrk biztosan mkdhetnek mr ha van mindegyikre igny. Lthat mdon egy bels hlzatunk van, ebben kzsen foglalnak helyet a kliensek, s a publikland szerverek is, ennek elnye, hogy a bels hlzatban a kliensek a szerverek szolgltatsaihoz (Exchange, IIS, Sharepoint, stb.) egyszeren hozzfrnek. Persze a htrnya is ugyanebbl fakad ha valaki tjut a TMG-n, akkor minden bels erforrst elrhet. Termszetesen ennek kivdsre ebben a topolgiban is sokat tehetnk, azaz sz nincs rla, hogy vdtelenek lennnk, de errl majd ksbb. A bels szervereinket egyszeren publiklhatjuk az Internet fel, illetve a tvoli elrst is biztosthatjuk pl. az TMG-ban belltott VPN szerver segtsgvel. Ennek a megoldsnak ltezik egy B varinsa is, amikor is egy kisebb cgrl, kisebb hlzatrl beszlnk. Ennek a cgnek nincs bels, publikland szervere, vagy van, de nem akarjk publiklni. Az elektronikus levelezs a szolgltatnl van, a webszerver szintn, msra, azaz pl. a tvoli elrsre meg nincs szksgk. gy aztn marad az Edge fellls, azaz a proxy, tzfal s cache szolgltatst hasznljk, de pl. nincs szksg fix IP cmre, illetve a TMG-ben gyakorlatilag semmilyen befel jv forgalmat nem kell

~ 33 ~

A KAPUN TL
engednnk (tiltani nem kell, a nem engedlyezs explicit tiltst jelent). J kis biztonsgos megoldsnak tnhet ez, persze kompromisszumokkal az, hiszen nincs Exchange, m az SMTP-t s a POP3-at meg kell majd engednnk az sszes Outlook user szmra. Brrr. 3.3.2 3-L E G P E R I M E T E R A kvetkez fellls egy fokkal biztonsgosabb, ergo magasabb ignyek esetn ezzel srbben tallkozhatunk.

3.5 BRA A 3-L EG P ERIMETER FORGATKNY V

Tovbbra is egy tzfalunk van, de most mr hrom hlzati krtyval, egy belsvel s egy az Internet-re mutat klsvel, illetve egy a Perimeter18 hlzatra mutatval. Ekkor mindent hasznlhatunk amit az Edge tpusnl, de a publikls vltozik. A bels hlzatban lv szervereket (Exchange, Web Server) csak a bels hlzatbl rjk, ha kvlrl jn valaki, akkor a Perimeter fel fogjuk irnytani, ahol szintn van egy webszerver, amely ekkor a publikus webszervernk lesz. s van itt egy Exchange is, ami az SMTP gateway lesz, azaz elfogadja a leveleket (ha rendesen csinljuk, akkor vrust is rt, s spam-et is szr), majd a maradk hasznos tartalmat betolja a bels Exchange fel s vice versa. A Perimeter hlzatnak van mg egy komoly elnye: az ISA vagy a TMG nem fogad el innen krseket elzmny nlkl. Azaz nincs olyan, hogy egy tmad innen prblkozik, mg ha be is jut ide (hiszen ezek a szerverek valban kapcsolatban vannak az internettel), innen a bels hl fel nem tud kezdemnyezni. A Perimeter hlzat elrse a felhasznlink szmra viszont krdses, s vltoz megtls, de a legjobb, ha nincs (a forgalmi hurkok elkerlse miatt adott esetben a kls webszerver s a bels webszerver szinkronjt valahogy meg kell oldanunk).

18

A Microsoft szhasznlata alapjn a Perimeter = DMZ.

~ 34 ~

A TELEPTS S ELZMNYEI
3.3.3 B AC K - E N D F IR E W A LL Bekemnytnk. Szaktsunk az eddigiekkel, s legyen kt tzfalunk. A kett kztt lesz egy Perimeter hlzatunk is, de e lnyeg nem ez. Hanem az, hogy az bels tzfalunk s a kls tzfalunk nem egyforma tpus. Ezzel jl sszezavarjuk , a tmadt, hiszen adott esetben kt teljesen eltr tzfal feltrst is meg kell oldania.

3.6 BRA A B ACK -E ND F IREWALL FORGATKNYV

Az viszont nem vletlen, hogy a bels tzfal a TMG (mert ppen lehetne egy front-end forgatknyvnk is), hiszen ez az, amelyiknek kzelebb kell llnia a bels, mondjuk szintn Microsoft kiszolglkhoz s az AD-hoz, hogy minl jobban kiaknzhassuk az ebbl fakad elnyket (hitelests, publikls, stb.). Ms krds, hogy ilyenkor tipikusan a TMG-nek nincs publikus IP-je, azaz VPN szervert kiss nehzkesebb fabriklni, illetve a kt eltr tzfal kztt is addhatnak forgalom/port/stb. tovbbtsi s egyb problmk, de ht a ttel rk: knyelem x biztonsg = 1.

3.3.4 B R A N C H O F F IC E F IR E W AL L Induljunk ki abbl, hogy van egy telephelynk, ez ugye nem egy szokatlan krlmny, tipikusan bizonyos cgmret felett alaprtelmezs.

~ 35 ~

A KAPUN TL

3.7 BRA A B RANCH O FFICE F IREWALL FORGATKNYV

Erre a helyzetre is van forgatknyvnk, amely egy lland, vagy igny szerint felpl (on-demand) VPN csatornn alapszik. A csatorna kt vgn, a hdflls a kt TMG kiszolgl, a kt LAN felhasznli szmra az egsz fellls j esetben viszont transzparens, azaz maximum a sebessg klnbsgbl derl ki, hogy az a megoszts, amelynek parancsikonjra Gipsz Jakab kattintott nem is helyben van Csajgrcsgn, hanem Szegeden a cg kzponti irodjban. Ilyenkor mindenre hasznlhatjuk a TMG szervernket, amire eddig, a Site-to-Site VPN kapcsolatok mellett a TMG univerzlis hasznlata nem problma. A VPN lehet PPTP s L2TP is, st adott esetben tiszta IPSec is (ha valamilyen elvetlt okbl nem TMG-t akarunk a telephelyre tenni, akkor akr egy IPSec-et tud hlzati eszkz is, akr egy SOHO cucc is, de azrt csak vatosan.) Na de brmilyen is a VPN kapcsolat, a telephelyek (mivel persze szmtalan S2S kapcsolatunk lehet) internetes forgalmnak ellenrzse s korltozsa tern komoly elrelpsre szmthatunk (figyelem, ehhez nem szksges az Enterprise kiads!). Azaz van lehetsg arra, hogy a teljes telephelyi forgalmat a kzponti TMG-nk szrje meg, st arra is hogy a nagy-nagy, kzponti gyorsttrunkat megosszuk, s szlssges esetben mg arra is, hogy a kzponti cache tartalmn kvl mst nem rjen el a telephelyi felhasznl. 3.3.5 S I NG LE N E T W O R K AD A P T E R Ez egy pofonegyszer forgatknyv, ers korltokkal s a TMG alacsony szint kihasznlsval. Ebben az esetben egy hlzati krtynk van, s gyakorlatilag a web proxy s a cache szerepkr az ami mkdhet. Ilyenkor a TMG egy msik tzfal kiegsztseknt dolgozik, s mondjuk a web proxy-n keresztl a felhasznlk egyszer azonostsa (ha mondjuk van AD-nk, akkor pl. lehet ez a f szerepe) gy viszont, bna kacsaknt a kvetkez feladatokat illetve szolgltatsokat nem tudja elltni: - Firewall s SecureNAT kliens hasznlata - VPN szerver

~ 36 ~

A TELEPTS S ELZMNYEI
IP csomagszrs Multi-network tzfal szablyok Szerver publikls Alkalmazs rtegbeli szrs

3.8 BRA A Z EGYKRTYS FORGATKNYV

Ennl tbb okossgot erre a forgatknyvrl nem lehet rszletezni, de j ha tudunk rla, hiszen addhat olyan helyzet, amikor erre van szksg.

3.4 A

KLIENSEK

Eredetileg ezt az alfejezetet lnyegesen ksbbre szntam, aztn rjttem, hogy nem nem, a kliensek tpusnak ismertetse ersen a tervezshez tartozik, ergo brhogy is lesz, muszj bepasszrozni ebbe a giga-mega hossz fejezetbe. Tisztzzuk az elejn: a TMG kliensei alatt a hlzat sszes maradk gpt rtjk, a tartomnyvezrlktl kezdve, Jucika a titkrn asztali PC-jn keresztl a CNC gpbe pakolt begyazott opercis rendszerig. St, maga a TMG gp is kliens. Hrom tpust klnbztetnk meg, mindegyiknek vannak elnyei illetve htrnyai egyarnt, n most aszerint taglalom ket, hogy mennyi teendnk van a belltsukkal. Fogjuk ltni, hogy minl kevesebb a konfigurcis knyszer, annl kevesebb szolgltatst is nyjtanak, ami egybknt jzan paraszti sszel vgiggondolva logikus is. Secure NAT (SNAT) kliens Ez a legegyszerbb kliens. Semmit sem kell telepteni, brmilyen OS-en hasznlhat (nem csak a Windows platform klnbz opercis rendszereire gondolok). Egyetlen kvetelmny van: az gyfl OS-ben az alaprtelmezett tjr a TMG szerver bels lba kell hogy legyen. Egy egyszer hlzatban ez nem kunszt, pl. a DHCP szerverrel knnyedn bellthatjuk ez alaprtelmezsben. Egy sszetett, tbb alhlzattal s

~ 37 ~

A KAPUN TL
tvlasztval elltott rendszernl pedig az lesz a lnyeges, hogy a TMG-hez legkzelebbi tvlaszt alaprtelmezett tjrja a TMG legyen19. Ahhoz, hogy a TMG tmogassa a SNAT klienseket, szintn egyetlen alapfelttel kell: a szerverben legyen 2 hlzati interfsz, s hasznljuk is ezeket, azaz minimum az Edge forgatknyv mkdjn. Annl is inkbb, mivel az SNAT kliensekkel a tzfal szolgltats (firewall service) tartja a kapcsolatot, a TMG NDIS miniportjn illetve a csomagszrn keresztl. Miutn teht a csomagszr tengedte (azaz ha van egy passzol engedlyez szably, ergo nem kell hogy legyen tilt), kiderl az is, hogy kell-e izztani a cache-t, azaz szksg van-e a cache tartalmra, vagy arra, hogy beletoljuk a megszerzett tartalmat20. Ezek utn mg - igny szerint - az alkalmazs- s webfilterek is tgyalogolnak ezen a forgalmon, s adott esetben engednek vagy tiltanak, vagy segtenek mondjuk egy komplex protokollnl (pl. passzv FTP, ami ugye kt csatornval, hosszas egyeztets utn pl csak fel). Ezutn jn a NAT, azaz a cmfordts a kliens privt s a TMG publikus cme hasznlatval. A TMG mindkt oldal (azaz a pl. a kls webszerver s a bels kliens) fel hazudik magrl, de a szekr halad, st, csak gy halad. Az SNAT kliens s a TMG kztti forgalom nincs titkostva, valamint a DNS nvfeloldsban sem segt a TMG ezeknek a klienseknek, magukra (azaz a sajt TCP/IPben belltott DNS szerverekre) vagy egy optimlisabb esetben a bels DNS szerverre vannak utalva. Viszont az SNAT kliens egy jabb elnye, hogy a nem TCP/UDP protokollokat is tmogatja, mint pl. az ICMP (a 6-os IP protokoll), vagy a GRE (a PPTP egyik szksges kellke, a 47-es IP protokoll). Kifejezetten fontos krlmny, hogy azok a szervereink, amelyeket publiklunk (gondoljunk egy Exchange-re vagy Sharepoint-ra, vagy egy FTP-re), azok kizrlag SNAT kliensek lehetnek21, pl. a tzfal klienst tilos telepteni ezekre. Az SNAT kliensek risi htrnya viszont, hogy a TMG s a kliens kztti hitelestsi folyamatban nem lehetnek rsztvevk. s mivel nem tudnak hitelestsi adatokat kldeni a TMG-nek nem kvetelhetnk meg tlk olyan alap lehetsgeket, mint pl. a ktelez proxy bejelentkezs vagy a nvre, csoportra szl tzfalszablyok, vagy pl. a kliens forgalom felhasznli nv szint naplzsa. Szval ilyenkor muszj a sokkal
19

Pontosabb kifejezs az, hogy a forgalomnak t kell jutnia a TMG-n. Ez nem felttlenl az alaprtelmezett tjrval oldhat meg. Sok esetben source routing-al bizonyos forgalmak a TMG fel mennek pedig az alaprtelmezett tjr ekkor nem is a TMG. 20 Ez az ISA Server 2000-nl mg nem volt gy, ergo nem is hasznlhattk a cache-t ezek a kliensek. 21 Ez nem felttlenl igaz. Full-NAT esetben (lsd ksbb) amikor a forrs IP nem az eredeti IP hanem a TMG IP-je, nem kell hogy a publiklt szerver SNAT kliens legyen.

~ 38 ~

A TELEPTS S ELZMNYEI
kevsb flexibilis IP alap korltozst alkalmazni, ami amellett, hogy egyltaln nem tkletes megolds, egy DHCP szerveres krnyezetben jabb problmkat vet fel. Web proxy kliens A kzps. Sok szempontbl. Kicsivel tbb konfigurcit ignyel, de telepteni mgsem kell semmit, s mondjuk a Csoporthzirendbl (tartomnyban, Windows OS esetn) el tudjuk vgezni a belltst vagy akr WPAD (Web Proxy Autodiscovery Protocol) inf segtsgvel. Brmilyen platformon hasznlhat, mert bngszk, webes kliens alkalmazsok mindenhol vannak 22 , de nem mindegyikkel kpes azonos szint egyttmkdsre. 23 A web proxy kliens tud hitelestst vgezni (Basic, Digest, Kerberos, NTLM), de csak korltozott protokollkszlettel (HTTP, HTTPS s a HTTP-be gyazott FTP). Szval kzps, de mgis nagyon fontos, azaz milli esetben szksgnk van r.

3.9 BRA A PROXY BELLTSOK EGY BNGSZBEN

A mkdst egy bngszbl nzzk meg, mivel tipikusan tnyleg ez a szoftverkategria az amibl a legtbbet hasznljuk (br az MSN, a Skype s a trsaik is jnnek fel, fkpp a fiatal genercit tekintve). Elsknt betjk a cmsorba a http://www.microsoft.hu/technet cmet. Amellett, hogy vgl egy rendkvl rdekes, tfog s izgalmas tartalommal rendelkez oldalra jutunk () a httrben kezdsknt a
22

s ami az egyetlen kvetelmny: a legnagyobb rszk kpes CERN kompatibilis krseket intzni a proxy szerver fel. 23 Kitalljuk melyik bngszhz passzol a legjobban? (lsd ksbb).

~ 39 ~

A KAPUN TL
bngsz egy HTTP GET krst kld a belltott proxy szerver adott portjra, azaz jelen esetben egy TMG-nek. Az adott port az az ISA s a TMG esetben a 8080-as, s alaprtelmezs viselkeds szerint a proxy mkdik s be is van lltva a telepts utn. A tzfal szolgltats kikeresi ekkor azt a rendszerben lv rnk vonatkoz engedlyez (vagy tilt) szablyt, amelyben a HTTP-rl (azaz a 80-as portrl) van sz. Kzben szintn a tzfal szerviz ltal - lemegy egy klasszikus DNS krs a clpont fel, azrt, mert elkpzelhet, hogy egy IP alap tilts van a rendszerben az adott tvoli host fel. Ha nem, s van engedlynk, akkor a tzfal szerviz tovbbdobja a krst a web proxy filternek, ami aztn elkullog a tvoli host - alapesetben - 80-as portjra. No de vrjunk mg kicsit, ezeltt mg kt kirvan fontos dolog trtnik vagy trtnhet a belltstl fggen: az egyik a hitelests, ez az opcionlis, de errl majd a 7. fejezetben fogok meslni. De mi a msik? Ht az alkalmazs rtegben dolgoz szrk, ergo pl. a HTTP forgalom esetn (de a TMG-nl, ha akarjuk mr a HTTPS-nl is!) pl. a HTTP filter. Ha ezeken mind tjut a krs, akkor megy ki a web proxy filter, s kedvez vlasz esetn visszakapja a 200-as HTTP vlaszzenetet, s mehet az oldal tallzsa. Szval a lnyeg, hogy szmtalan ellenrzsre s szrsre, illetve pl. a hitelestsre s ennek kapcsn az auditlsra (a kliens forgalom nevestett naplzsra) is van ekkor lehetsgnk. Egy msik fontos dolog, hogy a web proxy kliensrl s a hozz kapcsold web proxy szolgltatsrl mg visszatrnk, fkpp a szerver oldal kapcsn. TMG (volt tzfal) kliens24 A legtbb lehetsget ad kliens ez. A legszorosabb kapcsolatot is a tzfal kliens tudja megvalstani a kliens alkalmazsok s a TMG kztt. De egyttal ez a legszkebb krnyezetben is hasznlhat, mivel csak Windows OS-re passzol. s a legbonyolultabban is ez fog felkerlni a kliensre, mivel ez egy alkalmazs, amelyet telepteni kell (a TMGC a telept DVD-n, a Client mappban tallhat, s mivel .msi formtum akr a Csoporthzirenddel is telepthetjk). Tbb automatizmust is beptve tartalmaz, pl. a TMG szerver automatikus detektlsa a WPAD infk elrse cljbl tbbfle mdon is trtnhet (tovbbi rszletek a 7.1.4 fejezetben). Egy tovbbi elnynek szmt, az a lehetsg is, hogy amennyiben egy tzfal kliens van a gpnkn, s pl. ez egy notebook, s mr otthon vagyunk vele, akkor a detektls sorn kiderl, hogy nincs TMG szerver a kzelben. Erre a tzfal kliens
24

Ugyanis terminolgiai vlts trtnt e nvvel kapcsolatban.

~ 40 ~

A TELEPTS S ELZMNYEI
automatikusan kilvi magt, ergo a gp (s pl. az IE) mehet az otthoni eszkztl kapott default DHCP infk alapjn, direktben az internetre. Szerkezetileg a tzfal kliens hrom rszbl ll: - Winsock plug-in: A Windowsba integrlt winsock kliens lehetsgeinek kiterjesztse, s a hatalom tvtele is egyben, azaz az alkalmazsok a tzfal kliens teleptse utn kizrlag ezen a bvtmnyen keresztl kommuniklnak a gpen kvlre anlkl, hogy errl tudnnak. Radsul, alaprtelmezs szerint minden forgalom csak s kizrlag a TMG fel megy, olyan mintha egy lthatatlan cs alakulna ki, vasbeton burokkal. - Agent service: Egy rendszerszolgltats (Forefront TMG Client Agent, fwcagent), amely szleli s konfigurlja a winsock bvtmnyt, valamint folyamatosan tartja a kapcsolatot a tzfal kliens a felgyeleti eszkzvel. - Management applet: A Tlcn is megtallhat segdeszkz, amely egyrszt mutatja a tzfal kliens llapott, valamint mi magunk konfigurlhatjuk manulisan is (persze van automatikus konfigurls is a TMG-rl), ezen keresztl belltsait. Winsock azaz a Windows Sockets, a BSD-bl, azaz egy Unix alap OS-bl szrmaz API Microsoft-os implementcija, amely a hlzati kapcsolatok megteremtsvel, kezelsvel s felgyeletvel foglalkozik. Tbbek kztt nvfeloldst, adattvitelt s egyb hlzati feladatokat vgez a Windows alkalmazsok szmra, azrt hogy levegye a vllukrl ezt a terhet. Az ltalnos Windows hlzati modellben a Winsock a TCP/IP felett mkdik.

~ 41 ~

A KAPUN TL

3.10 BR A A TMGC H A 4 FLE VAN , AZ A J ( AZ ISA TZFAL KLIENSNEK CS AK 3 VAN )

Termszetesen kpes hasznlni a hitelestst, st korltok nlkl, azaz ebbl szerkezeti felptsbl addan brmely alkalmazs hitelestse a TMG fel megoldhat (tartomnyban Kerberos, ezen kvl NTLM). A hrombl egyetlen kliensknt kpes a forgalom titkostsra, azaz miutn a TMGC az 1745-s TCP porton felptette a kontroll csatornt a TMG-vel, egy hitelests utn - ignytl fggen - kezddhet is a titkosts. Egy msik elnye az, hogy a web proxy klienssel egytt is hasznlhat, st a kpes automatikusan konfigurlni a proxy belltsokat is (ez persze a szerver oldali belltstl is fgg). Kapcsold rsok a TechNet blogon RDP vs tzfal kliens Mg egy dolgot meg kell emltennk a tzfal kliens kapcsn, s ez pedig a kzponti konfigurci lehetsge. Ennek egyik lehetsge az elbb emltett a tzfal kliensre s a tzfal kliens ltal vezrelt bngsz belltsaira vonatkozik (lsd 5.2.3 fejezet), mg a msik a winsock alkalmazsok s a tzfal kliens viszonyra.

~ 42 ~

A TELEPTS S ELZMNYEI
A TMG-ben ezeket a belltsokat a Networking \ Tasks \ Configure a Forefront TMG Client Settings alatt talljuk s kvetkez brn tekinthetjk meg.

3.11 BRA A TMGC SZERVER OLDALI BELLTSAI

Minden paramter amit itt belltunk hat az sszes tzfal kliensnk mkdsre, azaz ezen konfig alapjn mkdik majd egytt a kliensoldali alkalmazsokkal, amelyekbl jpr mr eleve szerepel ebben a listban. Szval, most hogy a TMG kliensekkel kapcsolatos tudomnynak egy rszt megismerhettk, lthat, hogy a megfelel kivlaszts nem knny dnts. A belltsi lehetsgek, az OS, vagy bngsz tpusa, a hitelests, a naplzs, a kapcsolat biztonsga mind-mind szempont kell, hogy legyen a dntsnl.

3.5 T ELEPTSNK VGRE

Ha eddig trgtuk magunkat, s meg is rtettk, akkor mr sok gondunk nem lehet a teleptssel, ami egybknt is (s hagyomnyosan) egy majdnem next-next-finish tpus mvelet. De azrt kvessk le lpsrl-lpsre mi trtnik kzben.

~ 43 ~

A KAPUN TL
Manulis teleptsrl beszlnk, mivel ugyan lehet telepteni a TMG-t is csendes (unattended) mdban is 25 , de nem gondolnm, hogy ez a tipikus, sem a nem mindennapos termk, sem az egyszer telepts miatt. Vrni gy is kell majd kzben, szval talljunk ki ms teendt is a munkavgzs idejre. No s mg kt dolog: 1. Mg ha van is mr aktv internet kapcsolatunk, akkor ha a konzol eltt lnk, akkor az rtelemszeren a telepts kzben ljk le. Ha tvolban vagyunk, akkor ne . Ha mgis szksges, akkor a Windows Server 2008 integrlt tzfalt mindenkppen kapcsoljuk be, vagy tegyk egy msik tzfal mg ideiglenesen a leend gpnket. 2. Ha tvolbl egy Remote Desktop kapcsolaton teleptnk, akkor logikusan vrhatjuk, hogy a TMG tzfalnak indulsa utn vgnk lesz. De szerencsre erre a fejlesztk is gondoltak, ezrt a telepts egy adott pontjn kapunk egy krdst arrl, hogy a TMG ltja, hogy az RDP-n lgunk, ugyan akarjuk-e, hogy ez a cm azonnal bekerljn a Remote Management Computers csoportba (ez egy System Policy objektum lesz), s gy megkapja azt a kivtelezett lehetsget, hogy elrhessk tovbbra ezen a mdon. Szval telept DVD be, autorun indul, ha nem akkor indtsuk kzzel az autorun.hta-t. Az albbi kperny fogad bennnket, s kivtelesen a j admin szoks szerint - ne ugorjuk t azonnal, hanem keressk meg az egyik legfontosabb menpontot, azaz a Run Preparation Tool-t.

25

St, ngyfle plda .ini fjlt is tallunk a DVD FPC\Unattended_Setup_Sample mappjban, br az egyik kakuktojs, mivel az uninstall-ra vonatkozik.

~ 44 ~

A TELEPTS S ELZMNYEI

3.12 BRA I NDULHAT VGRE A TELEPTS !

Errl a mankrl mr volt sz, s tnyleg sokat segthet, ugyanis automatikusan felpakol mindent, de mindent, ami kell, s amivel frasztottam a Kedves Olvast a 3.1 es fejezetben.

~ 45 ~

A KAPUN TL

3.13 BRA S ZERETJK P REPARATION T OOL - T

Menetkzben az informlis kpernyk utn azrt egy krdst meg kell vlaszolnunk, azaz hogy mit szeretnnk telepteni: az egsz TMG-t vagy csak az MMC konzolt? Az msodikat nyilvn akkor vlasztjuk, ha pl. az admin gpre hajtjuk felpakolni ezt az MMC-t (errl ksbb mg lesz sz.) Ide tartozik mg az is, hogy elfordulhat, hogy mgis szksgnk lesz a netre a Prep Tool futsa kzben, de erre figyelmeztet is. Amg fut a Prep Tool, nzznk vissza jra a fmenbe, ahol lthatjuk, hogy 1 -2 tmutat is rendelkezsre ll, illetve alul a Forefront csald egy msik tagjt a Forefront Protection for Exchange Server trial vltozatt is telepthetjk persze csak majd sokkal ksbb, ahogyan a knyvbe is errl majd sokkal ksbb lesz sz (8. fejezet). Ha ksz a preparls, akkor indulhat maga a telept, pl. a fmenbl, (de a Prep Tool utols lpseknt ki is vlaszthatjuk ezt).

~ 46 ~

A TELEPTS S ELZMNYEI

3.14 BRA K IS A BLAKOK EZEK NEKNK , DE

A telept kt rszbl ll, van egy varzslnk, ami eleinte csak informl, licenszerzdst mutat, megint megkrdezi, hogy mit szeretnnk telepteni, teleptsi tvonalat ajnl fel, illetve fent megjelenik egy mveleti ablak, amelyben a hromrszes telepts pontjai illetve a becslt idtartam (idnknt nagyon albecsli) mellett kt animlt fogaskerk teszi lvezetess a folyamatot. gyhogy lpkedjnk tovbb szpen vizulisan lenygzve a nagyobb ablakban, egszen addig amg nem kri, hogy hatrozzuk meg a bels hlzatot.

~ 47 ~

A KAPUN TL

3.15 BRA E Z AZ N BELS HLM , MAGAM CSOMZTAM

Ksbb majd ltni fogjuk, hogy nincs olyan, hogy egyetlen bels hlzat, vgtelen szm lehet ebbl a tpusbl, de egyet (fleg ha csak egy van) adjunk meg most az Add gombbal. Hlzati krtyt, ismert privt hlzatokat, vagy tetszleges rtkhatrt is megadhatunk, igny szerint. Jn mg egy figyelmeztets arrl, hogy mely rendszerszolgltatsokat stoppolja majd le a telept ideiglenesen s vgleg (ez az RRAS lesz), majd indul a msols s a telepts. Kzben majd a nagy ablak megunja s becsukdik vgleg, de a kicsiben csak prgnek, zrgnek a fogaskerekek tovbb s tovbb, optimlis esetben addig, amg meg nem jelenik a szumma, hogy minden ksz. me:

~ 48 ~

A TELEPTS S ELZMNYEI

3.16 BRA V GRE , VGE .

De mg nincs igazbl vge, azonnal skit, hogy essnk neki a Getting Started varzslnak (ilyen az ISA-nl nem volt), ht tegyk meg. Elmondom elre, hogy itt gyis szinte csak azokat az egybknt fontos rszleteket krdezi meg, amelyekre mi mr jl felkszltnk, s mindent tudunk, vagy mr be is lltottunk. A varzsl egybknt hrom krs, s az els lpsben hlzati belltsok jnnek.

~ 49 ~

A KAPUN TL

3.17 BRA K EZDJK A HLZATTAL .

Rgtn ki kell vlasztanunk a megfelel hlzati forgatknyvet, rtelemszeren a telephelyes megolds itt mg sehol sincs.

~ 50 ~

A TELEPTS S ELZMNYEI

3.18 BRA M ARADOK EGYELRE AZ E DGE TPUSNL ( KSBB MAJD VARILUN K )

Ezutn kvetkezik az bels hlzat interfsznek egyszer kivlasztsa a listbl (jdonsg, hogy mr itt is megadhatunk plusz tvlasztsi szablyokat), majd a kvetkez ablakban jhet az External hlzat definilsa (ha van Perimeter hlzatunk is, akkor az is sorra kerl). A szumma utn tstlhatunk a rendszerbelltsok varzslba, ahol ha elzetesen belptettk a gpet a tartomnyba, illetve ha jl belltottuk a DNS uttagot, akkor semmi ms teendnk nem lesz, mert a telept varzsl ezeket az adatokat felismeri, jl. Megint egy szumma jn, majd haladunk tovbb a Deployment szakaszba, ahol mr van egy-kt rdekesebb rsz is. Pldul rgtn meg kell adnunk, hogy akarjuk -e a Microsoft Update-et hasznlni, ez ugye a klnbz malware, spam s NIS szignatrk automatikus letltshez is jl jn majd, teht rdemes a MU-t vlasztani (persze ksbb finomthatunk, adott esetben majd sorrendet is fellltva, amibe egy WSUS is befurakodhat, de ne siessnk ennyire elre).

~ 51 ~

A KAPUN TL

3.19 BRA D OMAIN VAGY NEM , EZ ITT A KRDS

A kvetkez lpsben (kt egymst kvet ablakban is) csupa olyan krdst tesz fel a telept, amelyet jelenlegi tudsunk alapjn egyelre nem tudunk eldnteni, de brmit is jellnk be, ksbb knnyedn megvltoztathatjuk, gyhogy szabad a vsr! Komolyra fordtva a szt, az imnt emltett rendszeres frisstsre szorul komponensek aktivlsrl illetve bekapcsolsrl van sz ezen ponton, de tbbet itt s most mg nem rulok el. Ezzel a javaslattal nem sodrok veszlybe senkit s semmit, mivel a telepts kzben a rgi j ISA-s szoks szerint minden forgalom, minden irnybl, minden irnyba le lett tiltva26, egy darab alaprtelmezett szabllyal.

26

Kivtelt kpeznek a System Policy szablyai (lsd 5.4).

~ 52 ~

A TELEPTS S ELZMNYEI

3.20 BRA E Z MEG A KVETKEZ AB LAK , JELEN PILLANATBAN RDEKTELEN SZMUNKRA

A Customer Experience Improvement programba is bejelentkezhetnk ha ez szndkunkban van, illetve a Microsoft Telemetry Reporting programba is, mindezekkel klnbz szint informcikat szolgltatunk a Microsoft-nak termk viselkedsrl, igny szerint hasznljuk ki ezeket a lehetsgeket vagy sem. Viszont ezutn mr tnyleg vgeztnk, habr ha nem figyelnk (bal als sarok) hatatlanul belekerlnk egy hosszas varzsplca forgatsba a Web Access varzslval (4.2 fejezet). Ha importlni fogunk ksbb, akkor klnsen felesleges ezen a varzsln vgigmenni. Szval most tnyleg vgeztnk, immr megkapjuk a vrva-vrt konzolt. Uff.

3.6 H A NEM

SIKERL , NYOMOZUNK

Ha ksz van a telept s sikerlt, rlnk, s akr azonnal elkezdhetjk nzegetni az MMC-t, de ha nem, akkor is akad azrt pr lehetsgnk kiderteni, hogy mirt nem koronzta az erfesztseinket siker.

~ 53 ~

A KAPUN TL
A telepts alatt, a TMG teleptje rszletes informcikat naplz a %systemroot%\temp mappba, szmtalan klnbz fjlba (ezt egybknt jelzi is, egy sikertelen telepts szummjaknt). Mindezen fjlok tartalma a Windows Installer naplzson alapszik, s igazbl a hiba utn rgtn, egybknt Getting Started varzsl mkdse alatt kerl vgleges mentsre. Egyetlen kivtel viszont van: ha az Exchange-re passzol SMTP vdelemmel kapcsolatos teleptsi informcik a %systemdrive%\ExchangeSetupLogs mappba kerlnek, plusz ha a Forefront Security for Exchange Server komponenst akarjuk hasznlni, akkor j ha tudjuk, hogy a FssSetupLogYYMMDDTimeStamp.txt fjl lesz az infk gyjtje, ami viszont a %sytemdrive%\Users\All Users\Microsoft\Forefront Security for Exchange Server mappba kerl Sok esetben viszont maga a hibazenet is mindent elmond, pl. az AD LDS-sel kapcsolatosak (ezt szemlyesen is sikerl mr tapasztalnom27), egszen egyrtelmek, ha nem akkor nzzk meg a naplfjlokat. A mappa tartalma nmagban elgg frusztrl tud lenni, ergo nzzk meg, hogy a fontosabbak mire valak?
3.2 TBLZAT ( AZ XXX- EK TIPIKUSAN EGYEDI SZMOK )

A naplfjl neve ISAWRAP_XXX.log

Lers ltalnos infk, a teleptsrl szl, de csak fbb vonalakban. ISAFWSV_XXX.log Nagyon rszletes zenetek a teleptsrl (egy szimpla teleptsrl 10-12000 sor), amelyek nagyon is fontosak lehetnek. Ha valami nem specifikus, vagy extra hibba futunk, ezt kell nagyon alaposan megnzegetni. ISAFWUI_XXX.log Contains information recorded by the MSI UI with events logged during the installation process. ISAADAM_INSTALL_XXX.log Az AD LDS teleptsvel kapcsolatos trtnseket s hibkat tartalmazza. ISAADAM_IMPORTSCHEMA_XXX.log Elgg magrt beszl a fjl neve, ugyanis az AD LDS sma importjval kapcsolatos sikeres vltoztatsokat talljuk meg ebben a j nagy fjlban. ISA_GettingStarted_XXX.log Ha a Getting Started varzsl futsa kzben trtnik valami problma, akkor az ebben a fjlban lesz rgztve. IsaUpdateAgent.log A TMG frisst gynknek jelzsei ebbe a fjlba kerlnek, de nemcsak a telepts,
27

Volt mr olyan a bta verzik cserlse kzben, hogy nem sikerlt rendesen egy AD LDS instance eltvoltsa, s ez rgtn kibukott a telepts elejn. Nmi takarts utn viszont megolddott.

~ 54 ~

A TELEPTS S ELZMNYEI
pontosabban a Getting Started varzsl alatt, hanem ksbb is. Minden inf a Windows Server szerepkrk s kpessgek teleptsrl (amit ugye e Prep Tool vgez)

ServerManager*.log

Tallunk mg itt egy nagy halom *.etl fjlt is, de ezeket mi nem tudjuk rtelmes informciknt felhasznlni, mert ezek a klnbz tracing naplfjlok, amelyek a Microsoft fel elkldhetnk, ha megengedtk pl. a Customer Experience Improvement programban rszvtelt.

3.21 BRA I TT VALAMI BIBI VAN , S MIVEL EGY OS KOMPONENST RINT , AZ E SEMNYNAPLBAN IS LESZ R LA
BEJEGYZS

Egybknt mg annyit errl a tmrl, hogy abban az esetben ha a telept hibba fut bele, akkor ezt tipikusan rtelmesen kzli, s ha tudomsul vettk az zenetet, akkor azonnal egy roll-back jn, azaz visszallt mindent, s leszedi a szemetet. Ez a tapasztalatom szerint pontosan mkdik.

3.7 M IGRCI ,

EXPORT - IMPORT

Az esetek jelents szzalkban szksgnk lesz a migrcira. Azaz mr van valamilyen kiads ISA szervernk, amelyet mr felruhztunk az vek sorn szmtalan okossggal, hlzati objektumokkal, szablyokkal, szval elkpzelhet, hogy egy vek alatt kicsiszolt konfigurcit nem szeretnnk eldobni s mindent jrakezdeni. Mr csak azrt

~ 55 ~

A KAPUN TL
sem, mert a Ki tudja a 47-es szablyt mikor s mirt hoztuk ltre?, Mi az oka hogy a 22es System Policy szablyban be van lltva a Kfaragk csoport? s ms hasonl krdsek egy tllskor aktulisak lehetnek 28 . s van mg egy tuti apropja a migrlsnak: az ISA 200x-ek s a TMG kztt biztosan nem tudunk helyben frisstst (in-place upgrade) vgezni, mivel az egyik csak Windows Server 2003 x86-on megy, a msik pedig kizrlag Windows Server 2008 / R2 X64-en. Ez elgg behatrolja a lehetsgeinket, szval ljen a migrci. Ha szabad szemlyes tartalmat belecsempszni ebbe a frcmbe, akkor el kell mondanom, hogy trtnelmi okokbl jmagam a migrcitl kb. gy tartok mint a egy frmnis fogorvostl, szval nagyon. Volt lehetsgem (a knyszerrl mr ne is beszljnk) az ISA 2000 s a 2004, valamint a 2004 s a 2006 verzik kztt sokszor migrlni, s akadtak negatv tapasztalataim is (st). Mita .xml alap a konfigurci mentse, exportlsa, visszalltsa, stb. azta a helyzet sokat javult, de miutn egyszer-ktszer knykig merltem az .xml fjlba, hogy mkdhessen az import29, azta beleremeg a billentyzet, ha ilyesmibe kezdek. ISA Server 2006 frissts - vegyes lmnyek I. http://www.microsoft.com/hun/technet/article/?id=517752bc-6d76-4471-b102365c7e7dc213 ISA Server 2006 frissts - vegyes lmnyek II. http://www.microsoft.com/hun/technet/article/?id=cf71adf5-5ac1-49a7-9171e63ccc0dc2b4 Rendszerfrissts - majdnem tszavakban http://www.microsoft.com/hun/technet/article/?id=48b5fc18-563a-420f-9c6f729d43fd904a Aztn, pr ve, az ISA Server 2006-ok egyms kztti migrlsa kapcsn mr alig volt problmm, s a dolog ltvnyosan a TMG btknl javult fel, knnyedn ment keresztbe kasul a folyamat az ISA 2006 vs. TMG tmakrben, illetve a btk kztt is (erre sokig nagy szksg volt, mivel a bta fzisok kztt sokig nem volt helyben frissts, s aztn a vgs RC-k s az RTM kztt sem lett, de ez most ms krds). Szval amita TMG-kkel dolgozom, s kt TMG kztt, vagy ISA 2006-rl kell tllni, azta a migrci gond nlkl megy. De azrt van pr elzetes teend, amivel sokat
28

Nyilvn egy tkletesen dokumentlt rendszerben ilyen nem fordulhat el, na de tegyk a szvnkre a keznket... 29 rdekes mdon az exporttal sosem volt gond .

~ 56 ~

A TELEPTS S ELZMNYEI
segthetnk azon, hogy ne kelljen falat rugdosni a sikeretlen migrci kzben, vagy utn. Elszr is, a migrci gyakorlatilag az ISA 2006-os konfigurci lementst (Backup) jelenti, majd a visszatltst (Restore). De, emellett van mg export/import lehetsgnk is, amivel finomthatunk a lementeni kvnt matrin, azaz csak a tzfalszablyokat, vagy ppen csak a hlzati krnyezet belltsait szeretnnk tvinni. Mindez az .xml formtum trhdtsa ta van gy, az ISA 2000-nl ez mg igencsak mskpp volt, na de feledjk el a negatv emlkeket. A lnyeg, hogy hasznljuk ki ezeket a rugalmas lehetsgeket, jmagam pl. amit csak lehetsges (tzfal szablyok, st a lnyegesebb szablyokat akr egyesvel is, VPN konfig, cache szablyok, stb.) kiexportlok .xml-be, tbb rszletben, majd megkoronzom egy hagyomnyos mentssel is s idnknt mg screenshot-okat is ksztek, fleg ha tnyleg sszetett a konfig. St csinltam mr nagyjbl ugyanolyan virtulis krnyezetet is a modellezs miatt, de ez utbbi taln mr tnyleg extra plda, legalbbis egy kisebb hlzat esetn.

3.22 BRA E Z A BACKUP , DE VALJBAN EGY EXPORT ALL

A problma megoldsa nha nagyon egyszer. Nzzk meg, hogy milyen, kevss a szemnk eltt lv objektumaink vannak a rgi rendszerben. Van-e pl. valahol egy eldugott az automatikus trcszshoz szksges ADSL kapcsolatunk integrlva az ISA szerverbe. Ha van, s az j gpen nincs ilyen kapcsolat (mert pl.

~ 57 ~

A KAPUN TL
nem is lehet), akkor ennek kitakartsa a rgi gpen, majd egy jabb ments utn, a visszallts mris sikeres lesz. Vagy pl. gondoskodtunk -e a privt kulcsokkal elltott tanstvny tvitelrl az j gpre? Ezeken sok mlhat. Egy nagyon fontos jsg, hogy a mentssel, vagy az exporttal az alkotelemek, azaz a klnbz objektumok (pl. egy sajt definils protokoll, vagy egy URL gyjtemny) is eltroldik s a visszallts vagy az import utn az j helyre is bekerl. s, van arra is lehetsgnk, hogy a tanstvnyok belltsai (maga a tanstvny nem!), a jogosultsgok, s az egyb szenzitv informcik is tmenjenek, de ezekhez tbbnyire egy jelszavas vdelmet is kell rendelnnk majd, de annyi baj legyen. Nos, akkor vgl a sok-sok csapongs utn foglaljuk ssze a lnyeget egy felsorols formjban A-tl Z-ig: - A TMG nem telepthet a 32-bites OS-eken. - A TMG nem telepthet a Windows Server 2003-ra. - A TMG nem tmogatott minden Windows Server 2008-on (Server Core/Web/Foundation kiadsok) - Az ISA Server 2004/2006-rl TMG-re trtn helyen frissts nem tmogatott (ez az els kt sorbl egybknt is kiderl). - Ilyenkor az eljrs a kvetkez: alapos ISA export > j telepts WS08 SP2, vagy WS08 R2, TMG telepts, import. - Ha van egy TMG-nk egy Windows Server 2008-on, akkor nem lehetsges egy az egyben az R2-re frissteni. Ilyenkor: alapos TMG export > TMG eltvolt > Windows Server 2008 R2-re frissts > TMG telepts > import a helyes megolds. Egy teljesen rszletes, sok-sok kpernykppel illusztrlt migrcis dokumentumot az albbi linken nzhetnk meg. How to migrate Microsoft ISA Server 2006 to Microsoft Forefront TMG http://www.isaserver.org/tutorials/How-migrate-Microsoft-ISA-Server-2006Microsoft-Forefront-TMG.html

3.8 V IRTULIS

KRNYEZETBE N ?

Igen, igen, nincs mit tenni, 2010-re ez a tmakr is bven aktuliss vlt. St, mr korbban, az ISA Server 2006 letben is eljtt ez a vltozs (a TMG-nl pedig a Beta 2tl). Mindez annak ellenre, hogy j ideig nem volt ajnlott virtulis krnyezetbe rakni ezeket a szervereket.

~ 58 ~

A TELEPTS S ELZMNYEI

Jim Harrison 28 perces eladsa: Virtualize your ISA or Forefront TMG servers http://edge.technet.com/Media/Virtualize-your-ISA-or-Forefront-TMG-servers/ Kt f a virtualizci specialitsaibl fakad szempontot emelnk ki rszletesebb magyarzatra, a host (parent) gp biztonsgt, illetve a hlzati sajtossgokat, klns tekintettel a hlzatok kapcsoldsi forgatknyvre. A host gppel szemben tmasztott kritriumok kzl az els a jl megvlasztott OS. Ha pl. valamelyik Server Core opercis rendszert vlasztjuk, akkor mris nyugodtabban alhatunk, hiszen ez a kiads a behatrolt kpessgek miatt biztonsgosabb, kevesebb biztonsgi frisstst ignyel s kevesebb felgyeletet vr el. Ellenben azzal viszont a specilis krlmnyek miatt (a Server Core nem alkalmazsplatform) szmolnunk kell, hogy az esetleges a hostra sznt alkalmazsok tekintetben kompromisszumot kell vllalnunk. Mindezek ellenre sosem vlasszunk a host gp opercis rendszernek nem kifejezetten hlzati kiszolgl opercis rendszert s hardvert, azaz pl. egy munkallomst. De mg akkor is ha szerver, nagyon oda kell figyelni a szl partci hozzfrsekre (felhasznli fikok, fjlrendszer, stb.), hiszen megint csak ez a partci lesz a legknnyebben kijtszhat tjr a host gpek fel. gy aztn adott esetben a Bitlocker s trsai hasznos szolglatokat tehetnek a biztonsg rdekben. A szl partcinak mindenkppen up-to-date llapotnak kell lennie a biztonsgi frisstsek szempontjbl (is). Ez farkastrvny, hiszen ebben a helyzetben nem csak egy gpet veszlyeztetnk, hanem minden guest gpet is. Egy msik fontos szably, hogy biztonsgi szempontbl az ugyanazon a hoston fut guest gpek legyenek egy slycsoportban, egy ersen sarktott pldval lve, pl. Exchange s SQL szerverek ugyanazon a Hyper-V szerveren ne legyenek internetes jtkszerverek. A host gp hlzati vdelmvel kapcsolatban az integrlt tzfalat clszer elsknt megemlteni. Mivel a Windows Server 2008 Filtering Platform mr egy trheten izmos, teljesen ktirny s jl konfigurlhat tzfalat ad a keznkbe integrltan, hasznljuk btran s szigoran, nem fog tkzni a guest gp(ek)en fut TMG-vel. Bellrl kifel haladva, termszetesen a fizikai gpet a fizikai rtegben mkd eszkzkkel (router, switch, tzfal) is vdhetjk s vdjk egy plusz krs vdelem rszeknt. A hlzati kapcsolatok tmakrben a szl s a gyermek partcik, a kls hlzat (Internet) valamint a vals fizikai hlzat kztti hlzati forgalom irnyt s szablyait kell megfelel alapossggal lefektetni. A legfontosabb hogy rtelemszeren kerljk el

~ 59 ~

A KAPUN TL
a tipikusan internetes (External tpus) hlzatunk mrtk nlkli hozzrendelst. Sem a host, sem a guest gpek nem kaphatnak ebbl, csak s kizrlag a TMG. gy ht induljunk ki abbl, hogy a TMG guest gpnek (mivel mondanom sem kell, hogy a TMG-t clszer egy guest gpre rakni s abszolt nem a host-ra) virtulis gp mivolta ellenre direkt fizikai hlzati elrse van, dediklt hlkrtyval. Ekkor ezen keresztl trtnik minden kls hozzfrs, azaz a tovbbi guest gpek s a fizikai LAN elrse is s fordtva is (egyelre elmletben a host gp is, de nem sokig). Ha gy alaktjuk ki a rendszert, akkor egy esetleges tmad feladatt is megneheztjk, hiszen az sszes gphez hozzfrst szerezni csak a TMG-n tjutva lehet. Ez egyttal azt jelenti, hogy a TMG bels lbhoz csatlakozik a tbbi guest gp, LAN s a host gp (a szl is). Emellett a monitorozsnak, a felgyeletnek mg nagyobb slya lesz, mint egy fizikai hlzat esetn, hiszen a virtulis hlzati forgalom az adott esetben a fizikai hlzaton megtallhat felgyeleti eszkzk szmra tipikusan kevsb tlthat, teht erre extra figyelmet kell fordtanunk. Ez egy viszonylag egyszer megolds volt, de most elkezdjk bonyoltani. Ha mg okosabban terveznk s van r lehetsg, akkor mindhrom bels hlzat (guest-ek, host s a LAN) kln-kln virtulis interfsszel rendelkezve az TMG-be csatlakozhat, azaz immr az egyms kztti s egyttal a kifel tart forgalmukat is a TMG tartja kzben. De mg kzel sincs vge. Ha lehetsges (s mirt ne lenne az?) les mkds kzben ne kapcsoljuk ssze a szl partci hlzati kapcsolatt a gyermek partcik hlzati kapcsolataival, azaz sem a guest gpek, sem a LAN gpei semmilyen krlmnyek kztt ne lssk a host gp sajt, privt hlzatt, izolljuk el. Ha az eddigi pldt nzzk, akkor ezt gy tudjuk teljesteni, hogy az eddigi hrom virtulis hlzatbl kett marad, s a host sem a TMG-hez, sem a guest, sem a LAN gpekkel nem ll sszekttetsben, hanem egy dediklt felgyeleti interfszen keresztl fogjuk piszklni, ami minden ms gptl fggetlen. Ilyenkor egy kbelezs knnyt megolds az, ha ksztnk egy olyan hlzatot is a TMG segtsgvel, amelyben csak a host gp s a felgyeleti gp van IP szinten kizrlag s ekkor fizikailag nem, csak logikailag zrtuk ssze ezt a kt gpet, illetve izolltuk.

~ 60 ~

A TELEPTS S ELZMNYEI
Azonban, ha a host gpet mgis el kell rnnk valahogyan s adott esetben ez nem oldhat meg egy cross kbellel, vagy egy logikai hlzattal s egy dediklt munkallomssal (gondoljunk arra pl. hogy az egsz hbelevanc egy szerverhotelben van), akkor marad a kzbls megolds (persze nyilvn ilyenkor LAN nincs). Nem tudom figyeljk-e a prhuzamot a klasszikus fizikai hlzatokkal sszevetve, merthogy van bven, gyakorlatilag a clok ugyanazok, mg akkor is, ha a virtualizcival mskpp, azaz kiss bedobozolva kapjuk meg a gpeket. A virtualizci kapcsn, a hlzati krtyk viszonylatban mg egy kis adalk: - Mindig a legfrissebb, s kizrlag alrt meghajt programot hasznljunk. Ezzel sokkal tbbet hasznlunk az idegrendszernknek, mintha ugyanezt a fizikai gpek esetn tennnk. - Hasznljuk elzetesen s alaposan a megfelel tesztszoftvereket a specilis szerver szoftverek (Exchange / SharePoint, SQL, stb.) esetn, a hlzati teljestmny kivizsglsa apropjn. - Ha lehet (de ebben mondjuk 30 guest gp esetn van egy kis tlzs), rendeljnk a virtulis hlzatokhoz dediklt hlzati krtyt, kln-kln. Tbbek kztt pl. a hlzati teljestmny szempontjbl is ez az igazn nyer megolds. - Az MS Loopback krtya nem szmt sem igazi dediklt, sem megfelel teljestmny interfsznek. Ezt a rszt Lepenye Tams kollgm egy korbban (mg az ISA vs. Virtual Server kapcsn) elkvetett megllaptsval zrnm, mivel tovbbra is teljesen letszer: Virtulis krnyezetben fut tzfal akkor egyenrtk biztonsg szempontjbl a fizikai gpen fut tzfallal, ha: 1. A host opercis rendszer zemeltetse biztonsgi szempontbl ugyanolyan vagy szigorbb, mint a tzfal rendszer, minden egyes tzfalat rint kockzati tnyezre vonatkozan. 2. A gazdagp zemelteti szemlyzetnek megbzhatsga ugyanolyan, vagy jobb, mint a virtualizlt rendszerek zemelteti szemlyzet.

3.9 J

HA MEGSZVLELJK

Ebbe a fejezetbe megprblok bezsfolni j nhny eddig le nem jegyzett tletet, klszablyt, tippet s ismert korltot a tervezshez s a teleptshez. Kicsit zajos lesz, de taln kevesebbszer kerl a Kedves Olvas zskutcba, ha elolvassa.

~ 61 ~

A KAPUN TL
3.9.1 N H N Y K LS ZA B LY - Lehetleg semmi mst nem teleptnk a TMG gpre, a TMG-n s a megkvetelt szoftver sszetevkn kvl. De tnyleg semmit, mg egy WinRAR-t sem. Ez a TMG pozcijnak kvetkezmnye, mivel ez a rendszer vd bennnket, valamint tipikusan ennek a rendszernek kell folyamatos kapcsolatban lennie a kls hlzatokkal, s gy rosszul jn ki, ha azrt lyukas a rendszernk mert az egyb szoftverek lyukasak, vagy azrt kell jraindtanunk, mert a plusz szoftverek ezt ignylik. De itt kell megemlteni az esetleges port/protokoll konfliktusokat is. - Sosem teleptjk a TMG-t tartomnyvezrlre (mr az SBS-en sincs!). Csak hrom okot emltek: terhels, biztonsgi problmk, szenzitv informcik. - Brmilyen furn hangzik, de nem hasznljuk egytt ms tzfalakkal egytt sem. Ebbe beletartoznak a szemlyi tzfalakkal rendelkez AV szoftverek is. A Windows integrlt tzfala kivtelnek szmt, egyrszt a TMF fel van ksztve az egyttmkdsre, msrszt kikapcsolja. - Csak bizonyos korltokkal rakhatunk vrusirtt a TMG-re. Erre rendelkeznk hivatalos ajnlssal is, lsd a kvetkez link. Considerations when using antivirus software on ISA Server http://technet.microsoft.com/en-us/library/cc707727.aspx A gyri teleptsi tvonal megtartsa ajnlott, de ha mgis varilunk, akkor egyedi, extra NTFS jogokat ne definiljunk a clhelyre (ha nem gy tesznk, a telept hibazenete majd figyelmeztet bennnket erre). Az R2-ben a .Net Framework 3.5.1 bent van, a Server Managerben megtalljuk, a Prep Tool ezt meg is teszi neknk. m, ha a Windows Server 2008-nl a Prep Tool-nak ezt elszr le kell tltenie. Radsul ktelez proxy autentikcival ezt nem tudja megtenni. Teht vagy kapcsoljuk ki ezt a jelenlegi proxy szerverben, vagy tltsk le s tegyk fel kzzel. Vegyk figyelembe, hogy a TMG (ahogyan az ISA is) egyrszt lelltja az RRAS-t, msrszt ha bezemeljk az TMG konzolban a VPN szervert, akkor ciklikusan fellrja az RRAS konfigot TMG-ben belltott rtkekkel. ez igaz az interfszekre is (pl. a demand-dial interfszt speciel trli). Ha NLB-t szeretnnk hasznlni, akkor ne kezdjk el kialaktani az NLB-t a TMG teleptse eltt. Ahogy mr korbban is jeleztem, az IPv6 tmogats ersen behatrolt. Az IPv6 blokkols viszont konkrt: o Az ISATAP (Intra-Site Automatic Tunnel Addressing Protocol) s a 6to4 interfszek letiltsra kerlnek, teht az IPv4-es csomagokba terelt IPv6 forgalom megll.

~ 62 ~

A TELEPTS S ELZMNYEI
o Ugyan a Forefront TMG Control rendszerszolgltats az IPv4-es DNS A rekordjt mindig beregisztrlja automatikusan, AAAA (IPv6) rekordot viszont sohasem kszt s gy nem is frisst. St, adott esetben a DNS, az ARP s a Neighborhood Discovery30 cache-k IPv6-os tartalmt is trli. Ma mg (2010 februr) nem 31 , de idvel bizonyra szksgnk lesz a telept komponenseinek elzetes frisstsre (pl. rollup csomagok vagy szervizcsomagok), azrt hogy a telepts kzben is mr a megfelel fjlokkal dolgozzunk. Ehhez a kvetkez pr lpsre lesz szksg: 1. Msoljuk be a DVD tartalmt egy tetszleges mappba a merevlemezre (pl. C:\TMGInstall). 2. Tltsk le a frisstst, s msoljuk be ugyanide. 3. Nyissunk egy parancssort, s navigljunk el ebbe a mappba: C:\TMGInstall\FPC. 4. Futtassuk a kvetkez parancsot: msiexec /a MS_FPC_Server.msi /p afrissitesneve.msp 5. Indtsuk a teleptst ebbl a mappbl, az immr frisstett fjlokkal32. 3.9.2 T AR T O M N Y V AG Y M U N K AC S O PO R T ? Kerlgetjk mr ezt a tmt egy j ideje33, mivel muszj volt mr 1-2 esetben utalni r, de most megprblom kzs nevezre hozni az rveket s az ellenrveket. Egy biztos, akrhogyan is volt korbban, a Microsoft ajnlsa a TMG esetn a tartomnyi tagsg, a Standard s az Enterprise kiads esetn egyarnt. Ez persze nem azt jelenti, hogy nem oldhat meg a tartomnyi tagsg elhrtsa, hanem sz szerint az hogy ez az ajnls. Ezeken a frumokon tipikusan a konzervatv, rgi jtkos szakemberek rvelnek gy, hogy a tartomnyi tagsgon tbbet vesztnk mint nyernk, hiszen ha a tmad lekzdtte adott esetben a TMG-t, akkor a tartomny erforrsainak elrse mr egyszer feladat lesz. Nos, ez egy ersen vitathat megllapts, amely abbl indul ki, hogy a TMG-t kell megtrni. Pedig nem, s nem is ez a tipikus, hanem a TMG-n keresztli behatols, az alkalmazsszerverek fel. Hiszen ezek azok, amelyeket publiklunk s gy elrhetv tesszk, s gy mris egy elvi elnyt adunk a nyilvnos hlzatok fell rkez behatolsi ksrleteknek34.
30 31

Az ARP IPv6-os verzija Most mr 2010 szeptember igen, a 13. fejezetben sz is lesz errl. 32 Ez hivatalosan nem tmogatott egyelre. (A lektor megjegyzse.) 33 De ez mg semmi, az ISA adminok hossz vek ta vitznak arrl a klnbz frumokon, hogy melyik forgatknyv az elnysebb 34 Abba mr fkpp ne menjnk bele, hogy a bels prblkozsok arnya kb. 2x akkora mint a klsk.

~ 63 ~

A KAPUN TL

Ezek utn sorakoztassunk fel rveket mindkt verzi mellett s ellen, elszr a tartomnyi tagsg jn: Elnyk A tartomny eleve egy jl krbebstyzott zrt kr, bejratott biztonsgi megoldsokkal, s pl. olyan extrkkal mint a Csoporthzirend, ami egy plusz helyzetelnyt jelent a biztonsgi vonalak meghzsnl (is). Sokkal rszletesebb kontroll a felhasznli hozzfrsek elbrlsnl a meglv tartomnyi fikok s csoportok alapjn a klnbz proxy forgatknyvekben (ez az rv egybknt amivel berelni lehet azt a krdst is, hogy mirt jobb egy ISA / TMG pl. egy kzepes tuds hardveres tzfalnl). A kliens tanstvnyok teljes kr tmogatsa, ez a hitelestsnl sokat szmthat. Maradva a tanstvnyoknl: az Enterprise vltozatnl nem szksges a tanstvny az EMS-hez (lsd 13. fejezet). A publiklsnl klnbz kibvtett lehetsgek hasznlata, pl. a Kerberos hitelests delegls. Htrnyok: Ha a TMG szervernk pl. a Perimeter hlzatban van, egy msik tzfal eltt, akkor szmos protokollt engedlyeznnk kell a tartomnyi kapcsolatok fenntartsa miatt. A munkacsoportos fellls elnyei: Ha a tzfal mgis kompromittldik, akkor a tartomnyi szolgltatsok nem. Fordtsuk meg: ha az Active Directory-t tri meg egy rr munkatrsunk, akkor a tzfalat nem fogja tudni, hiszen nincs a tartomnyban. Htrnyok: Az sszes a tartomnyban elrhet (s fentebb emltett) megolds s szolgltats nem hasznlhat. Nincs korrekt felhasznli hitelests s tanstvnyhasznlat, nincs jl megtmogatott szerverpublikls, csoporthzirend s egyebek. A tzfal kliensek hitelestse lnyegesen problmsabb.

~ 64 ~

A TELEPTS S ELZMNYEI
A felhasznli adatbzis, amelybl tpllkozhatunk tipikusan (de a RADIUS s az LDAP azrt jelen van) egy szimpla Windows OS felhasznli adatbzisnak felel meg (gondoljunk arra, hogy mennyivel knnyebb egy loklis admin fikot feltrni, mint egy tartomnyit).

Nos, ezek voltak az rvek s az ellenrvek, m a dnts rtelemszeren mindig a helyi viszonyok s a helyi biztonsgi hzirend alapjn trtnik, ergo szerencsre nem nekem kell itt s most megmondani a frankt.

~ 65 ~

A KAPUN TL

4 V EGYK
4.1 A

BIRTOKBA !

KONZOL FELFEDEZSE

A konzol, azaz a felhasznli fellet az egy olyan a hely, ahol az letnk jelents rszt tltjk. Ezrt nagyon nem mindegy, hogy mennyire stabil, mennyire ll kzhez, mennyire nehz kiismerni, s mennyire tr el mondjuk az elz verzinl megszokotthoz kpest. Nos a TMG j konzolja kb. kzepesen tr el az ISA-hoz kpest, vannak j elgazsok s vannak j helyre kerlt komponensek, valamint el is tnt nhny dolog a szoksos helyrl, viszont azrt sok-sok hasonlsg is van. Egy biztos, a kiismershez nem kell rhajs vizsga, pr nap s menni fog. No de nzzk sorban az indtkp alapjn a felptst.

4.1 BRA A TELEPTS UTN EZ A KP FOGAD BENNNKET

Az ablak 3 rszre oszlik, a baloldali faszerkezetre (akr fmennek is hvhatjuk, mert van ugyan egy mensorunk is az ablak tetejn, de nagyon ritkn hasznljuk), a kzps az adott menponthoz tartoz, tartalmi rszre, mg az aktulis kpen sokat nem mutat, de egybknt szintn rengeteget hasznlt Task Pane-re.

~ 66 ~

VEGYK BIRTOKBA!
Ha vetnk egy gyors pillantst a faszerkezetre, akkor az ISA ngy, vagy egy id utn t (a Troubleshooting pl. nem volt mg meg az ISA 2004 RTM-ben), elgazshoz kpest itt rgvest 12 van. Ez addik egyrszt az jdonsgokbl, msrszt a jobb tagoltsg miatt van olyan ISA menpont, amelyet 2 vagy akr 3 rszre is sztszedtek, azrt, hogy vertiklisan nem legyen nagyon sok a tartalom. Nzzk meg akkor ezeket is egyesvel:

4.2 BRA 3 X ANNYI TELGAZS M INT AZ ISA- BAN

A faszerkezet legtetejn csak a klnbz TMG pldnyokhoz kapcsoldst megvalst Connect/Disconnect parancs tallhat meg (magn a szerveren ez automatikusan megtrtnik a telepts utni els indtstl szmtva). A szerver NetBIOS nevt is tartalmaz sorban mr tbb minden elrhet, ezek a globlis adminisztrcis mveletek, mint pl. az Export/Import, vagy az levls az Enterprise hlzatrl, illetve belps egy TMG tmbbe. A szervernk alapszint jellemzi (Properties), ahol pl. majd a jogosultsgokat is megtalljuk. Levls az Enterprise hlzatrl, illetve belps egy TMG tmbbe? Ez nem egy Standard vltozat? De. De van magyarzat, a 4.2-es fejezetben megkapjuk. A kvetkez elgazs egy kpernys ugyan, de tartalom az van benne bven. Ez a Dashboard, azaz a Mszerfal, ami az ISA-ban a Monitoring alatt volt, de itt mr nem.

~ 67 ~

A KAPUN TL

4.3 BRA A MSZERFALUNK

Ebben a riasztsok, az aktulis session-ok, a hlzat, a TMG szervizek s a klnbz adatbzisok (malware, NIS, spam) llapota, illetve nmi statisztika, s egy kicsi teljestmny brzols (CPU, RAM) is lthat. Ebbl mr kiderl szerintem, hogy ez nem egy interaktv szakasz, hanem elssorban a passzv informciszerzsre alkalmas.

4.4 BRA A Z G KK , A F ZLD , A MONITORING MONITOROZ

~ 68 ~

VEGYK BIRTOKBA!
Ha tovbblpnk, akkor a kiss megkurttott Monitoring al esnk be. A kurtts oka egyrszt a Dashboard, msrszt az online napl s a jelentsek elkltzse. De azrt ltalnos ttekintsre tovbbra is megfelel ez a rsz (az rszleteket lsd a 12. fejezetben.) A kvetkez rsz mr igazi nyencfalat, ugyanis Firewall Policy az egyik legnpszerbb s egyben legfontosabb hely is szmunkra. Ennek megfelelen taln itt tallhat meg a legtbb bellts, akr ha csak rkattintunk a nevre a jobb gombbal (pl. a New menpont alatt az sszes szerver publikls tpust megtalljuk), vagy majd ha mr feltltttk szablyokkal a szervernket, akkor ezeket a kzps keretben konfigurlhatjuk.

4.5 BRA E GY UAG ALATTI TMG- T LTHATUNK , MERT SZERETTEM VOLNA SOK , DE NEM SZENZ ITV SZABLYT
MUTATNI
35

De egy tovbbi lnyeges helyre is felhvnm a figyelmet, s ez a jobb oldali keret, a Task Pane, amely most elszr mutatja ki a foga fehrjt, s nagyon sok foga van. Itt mr hrom fle is van, a mr eddig is lthat Tasks (csak ppen rengeteg tartalommal), a
35

Mint lthat, a Task Pane-t becsuktam, ezt a flkperny magassgban lv spci gombbal tudom sszehozni, amely mkds kzben szpen animl, persze van aki gylli ezt, pl. a kedves szerztrsam , s igaza is van, egy 256K-s vonal vgrl vrni erre mr nem is akkora lvezet.

~ 69 ~

A KAPUN TL
szoksos Help, s a lnyeg, a rengeteg, kategriba szervezett objektum (ezeket hasznljuk a szablyok ltrehozsnl), a Toolbox, azaz kb. egy szerszmoslda.

4.6 BRA K T T OOLBOX RSZLET KZT T EGY T ASKS - S EZ MG N EM MINDEN

Nyugodtan nzegessk egy kicsit ezt az elgazst, ellenben n tovbbmegyek. Mghozz egy teljesen j pontba ami a Web Access Policy. Gyakorlatilag ez egy logikai csoportostsa azon tzfalszablyok kiemelsre, amelyeknek kze van az elsdleges webes protokollokhoz (HTTP/HTTPS). s van mg kt jdonsg, egyrszt a keress opci a szablyok kztt, a msik pedig a szablyok csoportosthatsga, ami egy nagyon kellemes jdonsg, s amelyrl mr rszletesen rtam a TechNet portlon. Egy apr UI vltozs a TMG-ben http://www.microsoft.com/hun/technet/article/?id=7b4d9c93-0a5e-4d92-976023e21711bf5b

~ 70 ~

VEGYK BIRTOKBA!
Ez mg gy egybknt magban nem is minslne nagy kunsztnak, na bumm, csoportostunk, m emellett a Web Access Settings rszben tallhat meg szinte az sszes jdonsg ami a webes forgalom szrst, irnytst vgzi majd az instrukciink alapjn. Ami innen kimarad, az meg az Action Pane lehetsgei kztt kapott helyet (mint pldul az URL szrs).

4.7 BRA A W EB A CCESS P OLICY - BAN LTSZIK A LEGTB B JDONSG

Egybknt sem a Firewall, sem a Web Access Policy szakaszban nincsenek tovbbi flek vzszintesen, de ez rthet, gy is zsfolt a kperny. s most ragadnm meg az alkalmat arra, hogy az ISA rendszergazdknak jelezzem, hogyha valamit nem tallunk meg a faszerkezetben, vagy a helyi menkben (j plda erre a hajdanvolt Caching menpont), akkor mindig nzzk meg az Action pane-bl, a Tasks tartalmt, biztosan ott lesz a keresett opci, vagy szolgltats. Haladjunk tovbb. Jjjn az eddig szintn soha sem ltott E-Mail Policy. A telepts utni alapllapotban a kzps ablak els fle alatt semmit nem ltunk, de ha pedig beizztjuk az Exchange Edge szerepkrt, vagy a Forefront Exchange-hez passzol komponenst (Forefront Protection for Exchange Server), akkor a msodik s a harmadik fl (Spam Filtering, Vrus and Content Filtering) nemcsak sznes-szagos lesz, hanem konfigurlhat s mkd.

~ 71 ~

A KAPUN TL

4.8 BRA E XCHANGE RENDSZERGAZD K FI GYELEM , ISMERS ?

Biztos nehz egyszerre ennyi jdonsggal szembeslni, pedig ez mg csak a fellet, s mg nincs is vge, ugyanis a faszerkezet kzps rsze ersen innovatv.

4.9 BRA A NIS EGY TS JDONSG

~ 72 ~

VEGYK BIRTOKBA!
A kvetkez elem, az Intrusion Prevention System a TMG tzfal komponensnek egyik figyelemre mlt jdonsgt tartalmazza. Ez a NIS (Network Inspection System), amely rszleteit a 6.1-es fejezetben taglaljuk. Ha mr frisstettk legalbb egyszer a NIS-t (lsd ksbb), akkor a kzps ablakban a TMG szmra ismert s felhasznlhat srlkenysgek listjt ltjuk. A NIS mellett lthatunk egy msodik flet is, ami viszont sokaknak ismers lesz, ez a Behavioral Intrusion Detection, amely a Flood Mitigation Settings-et, az IP szrst, s a szoksos Intrusion Detection belltsokat tartalmazza. Ezeket eddig az ISA-ban a General\Additional Security Policy elgazsban talltuk meg. Most is egy ismers rsz jn a korbban az ISA-t tgetknek, br a neve azrt j: Remote Access Policy.

4.10 BRA A R EMOTE A CCESS P OLICY CSAK EGY KICSI T TBB MINT A V IRTUAL P RIVATE N ETWORK

Kt fl van, egy a szl VPN kapcsolatok szmra, egy pedig a Site-to-SiteVPN (pl. telephelyek kztti VPN) kapcsolatoknak. Az 1-6-ig tart sznes, szagos ikonos szmozstl ne vrjunk sokat, gyakorlatilag az 1-3-ig tart rsz az alap VPN panel belltsara mutat, a tbbi meg ms ismert rszekre (Firewall Policy, Network Rules s a VPN karantn).

~ 73 ~

A KAPUN TL
A Networking elgazs sr mint a januri kd Lajosmizsnl. 7 darab fl van, ez rekord a TMG-n bell, s br ebbl van ismers is, de pl. a pirossal jelltek nem.

4.11 BRA A 4- BL 7 LETT

Ezekrl a hlzatos flekrl (fkpp az elejrl) rengeteget fogok beszlni a kvetkez nagy fejezetben, addig is elgedjnk meg azzal, hogy a Network Adapters alatt a hlzati krtyink alapbelltsait talljuk, a Routing alatt a gpnk route tbljt (amelyet kiegszthetnk itt is manulisan tovbbi route bejegyzsekkel, amelyeket gy hvunk, hogy Network Topology Routes). Valamint abban az esetben ha kt internet elrsnk van, akkor az utols fl alatt sokat fogunk varzsolni, hogy egy terhelselosztsos (Load Balancing), vagy ppen a feladat-tvteles (Failover) konfigurcit sszehozzunk. A System teljesen j elgazs a TMG-ben, de mindjrt megltjuk, hogy tartalomra nem annyira. Hrom rsze van, a Servers, amely adminisztrcis alapadatokat tartalmazza36, illetve itt tallhat az Enterprise vltozatra trtn ttrs egyszer lehetsge is, azaz csak a megfelel kulcsot kell bernunk ehhez s kszen vagyunk. A msodik s a harmadik fln az ISA Configuration/Add-Ins szakasz tartalma tallhat meg, azaz a szintn nagyon fontos alkalmazs s web filterek.

4.12 BRA S ZR SZR HTN

36

De pl. itt van elrejtve az Enterprise vltozatra trtn frissts lehetsge is amire reinstall nlkl sort kerthetnk.

~ 74 ~

VEGYK BIRTOKBA!
Mr nincs sok htra, de tartsunk ki, mert van mg fontos rsz. A Monitoring szakaszbl kiszakadt Logs & Reports tartalmazza a realtime naplt 37 , illetve a jelentsek belltsnak, generlsnak, idztsnek rszleteit. Mindkett kulcsfontossg, m az els kiemelkeden, ez a TMG admin egyik legjobb bartja, azaz ha valami forgalmi, jogosultsgi, mkdsbeli problmba tkznk s ennek kinyomozsra van szksg, akkor ide jhetnk btran, a szemnk eltt fognak prgni a trtnsek, amelyeket majd jl megszrve, akr villmgyorsan is rjhetnk egy problma okra. A jelentsek pedig napokra, hetekre, hnapokra visszatekintve adnak granulris rszletessg informcit a rendszer illetve pl. az internet hasznlatrl.

4.13 BRA A P IROS J ELENTHET JT S ROSSZAT EGYARNT

Az Update Center-t mr emltettem s fogom is mg prszor mert tbb komponens mkdst is rinti. Itt tallhatak, egy helyre sszefogva a klnbz olyan szolgltatsokhoz tartoz adatbzisok frisstsi lehetsgei, amelyeket elfizets birtokban tnylegesen frissthetnk a Microsoft Update szerverekrl, vagy adott esetben a WSUS-unkrl. A kvetkez kpen ltszik, hogy a dem szerveremen a e mailekre vonatkoz spam s vrusfrissts nlam mg nincs belestve, ezrt nyilvn az

37

Nem ez a hivatalos neve, de n gy hvom.

~ 75 ~

A KAPUN TL
adatbzisaikat sem frissthetem, viszont a Malware vdelem s a NIS igen. Ami mg szt rdemel, az a Task Pane, ahol szpen ki van vezetve az sszes lehetsges opci.

4.14 BRA A Z EGYIK FRISS , A MSIK PONT MOST FR ISSL

Elrkeztnk a faszerkezet utols elemhez, amely nevben hordozza a funkcijt, ez pedig a Troubleshooting, azaz a hibakeress (angolul mennyivel kpletesebb e nv). Az ISA 2006 SP1-bl sok-sok ismers lesz itt, s br az els oldal csak a tippek, linkek s a tbbi fl tartalmnak ismertetse, azrt a tbbi vals lehetsgeket tartalmaz. Az 5 flbl egy a Monitoring-bl jn (Change Tracking), hrom mr az ISA-ban is itt volt, s van egy teljesen j is, a Connectivity Test.

~ 76 ~

VEGYK BIRTOKBA!

4.15 BRA L , VAGY L ?

Ezzel a sor (a faszerkezet) vgre rtnk, idnknt tbb volt ez mint egy szimpla UI lers, de nyilvn kevesebb is. De a passzol fejezetekben nyilvn nem mulasztom majd el az ott s akkor aktulis, a fellettel kapcsolatos praktikus informcik kzlst.

4.2 A Z J

VARZSLK

Ktelessgemnek rzem, hogy errl a tmrl is beszmoljak, mert ugyan n ltalban nem szeretek varzslkat hasznlni, de itt muszj, mert van amit mshogy nem is lehet. konfigurlni, legalbbis indtskpp. Meg aztn annak, akinek mg nincs rutinja (mindenki gy kezdi) risi segtsg akr 1-2 segt mondat, vagy az, hogy adott esetben konkrtan milyen opcikat vlaszthat, vagy ami mg jobb: melyeket nem. Szval pr sorban csak emlkezznk meg az j, a TMG-ben bevezetsre kerl varzslkrl (mindamellett, hogy a rgi ismerskrl is lesz mg sz bven). 1. Web Access Policy varzsl: errl mr volt sz, mivel a Getting Started varzsl rszeknt is mkdhet. Vgig is a Getting Started-en a telepts rszeknt, azonban akkor az utols rszt, azaz a Web Access Policy varzslt kihagytuk. Mrpedig, amg ezt nem tesszk meg, akkor pl. az elz rszben megismert Web Access Settings alatt nem ltszanak a lehetsgek.

~ 77 ~

A KAPUN TL
A Getting Started varzslt ksbb is elrhetjk a faszerkezetben a szerver nevre kattintva s a Task Pane-bl kivlasztva, de gyakorlatilag nem lesz r szksg. Ha pl. kiszedjk a TMG gpet a tartomnybl, akkor a vltozs a konfigban automatikusan megtrtnik.

4.16 BRA V ARZSOLNI , VAGY NEM VARZSOLNI EZ NEM KRDS

Szval ezt a varzslt egyszer vgig kell csinlnunk, legalbbis akkor, ha nem rgtn egy importtal kezdjk a TMG hasznlatt. A varzsli lpsek kztt rintjk az URL szrst, a Malware s a HTTPS vizsglat belltsait, s egyszeren ltrehozhatunk egy alaprtelmezett cache szablyt. 2. Join Array varzsl: szintn volt mr sz rintlegesen errl, s mivel a Standard kiads rsze, ezrt most kell beszlnnk rla. De milyen tmb ez, ha mi most a Standard verzival kzdnk? Egyszer, a TMG kisebb vltozata ugyanis csatlakoztathat egy (ltalban csak az Enterprise vltozatnl mkd) EMS-hez (Enterprise Management Server), jratelepts nlkl.

4.17 A TMBSTS ONNAN IND UL , AHONNAN A G ETTING S TARTED

3. Configure SIP varzsl: A Firewall Policy szakaszbl rhet el (Tasks / Configure VoIP), s ezzel engedlyezhetjk a TMG-n a SIP (Session Initiation Protocol) forgalom hasznlatt, eldntve hogy pl. kzvetlen vagy indirekt kapcsoldsrl lesz sz, illetve egyebeket is. Ha mr itt tartunk, ezen a ponton (Tasks) lejjebb

~ 78 ~

VEGYK BIRTOKBA!
tallunk mg ms VoIP-re vonatkoz belltsokat (Configure Advanced VoIP Settings). 4. Configure E-Mail Policy varzsl: rtelemszeren az E-Mail Policy szakaszban talljuk, s SMTP route-okat gyrthatunk vele, azaz definilhatjuk az SMTP kls s bels listener-eket (mg nem tudhatunk rla, de fogjuk fel a listenert egy olyan flknt, amelyen a TMG hallgatzik), az autoritatv e-mail tartomnyok neveit. Mindez azrt trtnik, hogy aztn a varzsl vge fel engedlyezhessk a spam s vrusszrst38.

4.18 BRA A C ONFIGURE E-M AIL P OLICY VARZSL LELH ELYE

5. Enable ISP Redundancy varzsl: Ezzel zrjuk a sort, a Networking rszben tallhat, s ahogyan korbban emltettem, egy terhelselosztsos (Load Balancing), vagy ppen a feladat-tvteles (Failover) mdszert ad a keznkbe kt internet hozzfrs kombinlsra (lsd kvetkez nagy fejezet).

4.3 H OGYAN LESZEL TMG

ADMIN A SAJT GPEDE N ?

Knnyedn. Inkbb a mirt a krds. De az sem felttlenl. Ugyanis nincs mindig lehetsg RDP-n kapcsoldni a TMG-hez. Meg aztn egy fizikai hlzaton illetve egy tartomnyon bell nem is biztos, hogy van rtelme, mivel teljestmnyt s svszlessget takartunk vele, ha a konzol a mi gpnkn fut, s a szoksos tvoli MMC mdszerrel rjk el a szervert. Ehhez hrom dolgot kell megtennnk, nzzk sorban ezeket: 1. Telepts: A konzol teleptse ugyangy kezddik ahogy a szerver, mind a Prep Tool, mind a telept megkrdezi hogy mit szeretnnk majd hasznlni, s ha
38

Na persze az Exchange Edge vagy a Forefront Protection Manager for Exchange komponensekre mg szksg lesz ezek mkdshez

~ 79 ~

A KAPUN TL
csak a Management Console-t vlasztjuk, akkor ennek megfelelen pakolgatja fel mindkt segdeszkz a szksges holmikat a gpnkre. De azrt van egy jelents klnbsg, ugyanis a konzolnak 32 bites teleptje is van. A telept DVD-n ez nincs ugyan rajta, viszont letlthet a Microsoft Download Centerbl (egy Passport-os regisztrci utn) a 203 MByte-os TMG_ENU_Management_x86.exe nev csomag. Ha 32 bites OS-nk van, akkor ezt teleptsk fel a rendszergazdai munkallomsra. 2. Ezutn ha elindtjuk a TMG konzolt a gpnkrl, akkor egy csnya Access Denied zenetbe fogunk futni, ugyanis legalbb kt helyen mg engedlyeznnk kell a hozzfrst. Az els az n. System Policy (lsd kvetkez fejezet) ahol engedlyezzk a gpnk IP-jt az MMC elrsnl, azaz kerljn be valahogy ez az IP a Remote Management Computers csoportba, ami alaprtelmezs szerint mind az RDP, mind az MMC elrst lehetv teszi. 3. Ha ez is ksz, nzzk meg, hogy van-e jogunk is a TMG-t elrni, azaz a szerveren nznk be a tulajdonsgainl az Assign Roles al, s ha itt van olyan csoport amelynek tagjai vagyunk, akkor akkor mehet a 32 vagy a 64 bites kliensrl is egyarnt a csatlakozs. A 32 bites Forefront TMG Management MMC teleptjnek letltse http://www.microsoft.com/downloads/details.aspx?FamilyID=e05aecbc-d0eb4e0f-a5db-8f236995bccd&displaylang=en

~ 80 ~

A TZFAL

5 A

TZFAL
TRTNELEM

5.1 A Z ALAPOK S NMI

Sokszor elhangzott mr a tzfal sz, de nem mindig pontosan arra utalt, mint ahogyan ebben a fejezetben trgyaljuk majd. A htkznapokban is sokszor hasznljuk ezt a szt az egsz ISA-ra, vagy TMG-re, pedig ahogyan mr kapisglhatjuk az eddigiekbl, sokkal tbb ennl, de mgis, valsznleg ez a legmarknsabb megfelels, ez a legjobb (rvid) jelz. A tzfalak mkdsnek lnyege viszonylag egyszeren sszefoglalhat: a lehet legteljesebb kr forgalom ellenrzs s szrs, kt vagy tbb kommunikl fl kztt. A hlzatbiztonsg ezen szerepli egy-kt vtizedes histrijukban39 komoly evolcis fejldsen mentek t. Azrt utaltam az evolcira, mert nyilvnvalan a kihvsok (mint pl. a legnagyobb nyilvnos hlzat, azaz az Internet), jelentsen hatottak s hatnak ma is a vdekez tpus megoldsok fejldsi irnyra. A kvetkez rvid ttekintsben n a Microsoft tzfal termkein keresztl szeretnm bemutatni a genercis klnbsgeket illetve az ezekkel egytt jr szrs tpusokat, ami nem biztos, hogy tkletes mintavtel (s biztos hogy nem a legtfogbb), viszont egy egyszer szemlltetsre azrt alkalmas.

Unprotected Network

Perimeter Network

Protected Local Network

Protected Remote Networks

5.1 BRA A TZFAL MGTT MINDEN HLZAT VDETT

39

2000 oktberre datldik az els RFC dokumentum (RFC 2979) az internetes tzfalak mkdsvel szemben tmasztott elvrsokrl, ami persze nem azt jelenti, hogy eltte nem lteztek

~ 81 ~

A KAPUN TL
5.1.1 A C S O M AG S Z R S A tzfalak els genercis f megoldsa az n. csomagszrs (packet filtering), amelyet pl. az els ISA kiszolglban is megtallhattunk (s egybknt mshol mr gy kb. a 80as vek vgtl fellelhet volt), mint alap zemmdot. Ez gyakorlatilag az IP (vagy internet) s a transzport rtegben trtn csomagok engedlyezst, vagy tiltst jelenti nagyobbrszt az ltalunk definilt szablyok illetve nmi automatizmus alapjn. Amikor a tzfal ezt a mdszert hasznlja, akkor csak az IP csomagok fejlceit vizsglja, ezen bell a forrs s cl informcit, az irnyt, valamint protokoll s a port rtkeket. Ezeket bontsuk ki kicsit: 1. Cl cm (Destination Address): A forgalom cljnak szmt szmtgp cme, ez a hlzataink viszonytl fggen lehet pl. a TMG szervernk kls, publikus cme (NAT esetn), vagy pl. a TMG-n definilt kt bels hlzat s egy szimpla route esetn az egyik hlzatban lv szmtgp cme. 2. Forrs cm (Source Address): Ezt most mr egyszerbb lesz megrteni, ugyangy lehetsges egy publikus cm is, mint ahogyan egy privt, a lnyeg, hogy a kezdemnyez cme lesz ez. 3. Az IP protokoll s a szma: Csomagszrt definilhatunk tetszlegesen a TCP, az UDP vagy akr az ICMP szmra is. A szmuk az azonostjuk, mondjuk a TCP esetn a 6, mg a specilis, s idnknt a hlzati eszkzkben gondot okoz GRE (Generic Route Encapsulation, ez ugye a PPTP VPN alap protokollja) esetn a 47-es. 4. Irny (Direction): A csomag irnya a tzfal szempontjbl. Lehetsges rtkek a bejv (inbound), a kimen (outbond), m adott esetben (pl. az UDP-nl, vagy akr az FTP-nl) a Receive only, Send only megjellsekkel is sszefuthatunk. 5. A port szma (Port numbers): A TCP s az UDP csomagszrsben helyi s tvoli port szmoknak kell szerepelni, ebbl a helyi ltalban egy 1024 feletti brmilyen magas port szm lehet, mg a tvoli az egy fix, s kzismert port lesz (pl. TCP 80 a HTTP-hez, vagy a TCP 23 a Telnet-hez). Mindkt portszm tpus lehet fix rtk, vagy dinamikus. A csomagszrs folyamathoz az albbi bra illetve az bra alatti magyarzat ad segtsget. De mg eltte, nem rt tudnunk azt, hogy az ISA 2004-tl kezdve mi nem direktben csomagszrket definilunk, hanem tzfal szablyokat (lsd kt fejezet mlva), amelyek alapjn a tzfalunk csomagszrkkel rvnyesti az akaratunkat.

~ 82 ~

A TZFAL

5.2 BRA A CSOMAGSZRS EGYSZER , MINT A FAK

1. A kliensnk egy telnet-tel prbl kapcsoldni prbl a cl cmhez, de ehhez elszr a tzfalhoz lesz muszj folyamodnia. 2. A csomagszr zemmdban mkd tzfal megvizsglja a krst, azaz sszehasonltja a konfigurcijban tallhat szablyokkal (vagy inkbb egy hozzfrsi listval, lsd ACL). 3. Ha a forgalom megengedettnek minsl, akkor a krs a cl cmen lv cm fel tovbbtdik. 4. A cl cmen fellelhet gp vlasza elindul a kr fel. 5. A csomagszr tzfal jra felvonja a szemldkt, s jra megvizsglja a feltteleket, s ha mindent rendben tall, akkor tovbbt. Beszltem nhny automatizmusrl az elejn, valban van ilyesmi, ide tartozik pl. az n. ingress s egress szr. Az elsknt emltett a kls interfszen blokkol minden olyan kapcsoldsi ksrletet, amelynek a forrs cme elvileg a bels hlzatunkhoz tartozna, hiszen ez normlis esetben nem lehetsges. Az egress szr pedig azt nem engedi meg, hogy egy olyan csomag hagyja el a hlzatunkat, amelynek a forrscme nem egyezik meg az ltalunk hasznlt cm tartomnyokkal. A csomagszrs egyszersge mellett egy tovbbi elny, hogy mivel csak a IP s a transzport rtegben mkdik, s csak a fejlceket vizsglja meg, ezrt nagyon gyors. No de nemcsak elnyei vannak, nzzk a htrnyokat is: 6. A csomagszr ltalban vve nem egy rhaj, komplex protokollokat, sszetett folyamatokat, nyomon kvetst kptelen elltni. 7. Abszolt nincs alkalmazs-rzkenysg. Ha a tmad meg tudja oldani, pl. hogy a mi hlzatunkban fut Telnet szerver a 80-as porton fusson, akkor a 23-as klasszikus Telnet port tiltsa fabatkt sem r.

~ 83 ~

A KAPUN TL
8. A csomagszr nem kpes tiltani az IP address spoofing-ot, azaz a forrs IP megbzhatknt feltntetst, azaz egy megbzhat cmre cserlst. 9. A source-routing informci hamiststl, azaz a csomag elterelstl sem vd meg a csomagszr. 10. Az IP fragmentls tiltsa sem megoldhat. Mivel a legtbb csomagszr tipikusan csak a csomag els szakaszt ellenrzi, ha egy sztdarabolt, s a ksbbi darabokban rt tartalmat akarunk tpasszirozni a csomagszrn, akkor ezt simn megtrtnhet. 5.1.2 A Z LL A P O T T AR T - V I Z S G L AT ( S S ZR S ) A kvetkez genercis, azaz a circuit-level nven emlegetett tzfalak legersebb tkrtyja az n. stateful packet inspection, azaz az llapottart-vizsglat. Kiindulva a szimpla csomagszr gyengesgeibl, ez a tpus mr nemcsak a fejlc informcikat, hanem a tartalmat is vizsglja s ami mg ennl is fontosabb az az, hogy a csomagokkal kapcsolatos llapotinformcikat is trolja. Azaz lehetv vlik a nyomon kvets, az sszetartoz forgalom egyttes elemzse illetve szrse is. Tmren: egy a kls interfszen vlaszknt megjelen csomag esetben pldul mindig kiderthet, hogy az valban egy vlasz-e egy korbbi krsre. Ha nem, akkor eldoband, hiszen egy vlasz csak egy krsre rkezhet normlis esetben. Tovbbi elnye ennek a megoldsnak, az hogy szemben a packet filter tpus eszkzkkel a vlasz csomagok engedlyezsre nincs szksg, ami egy nagy ttrs szmt a tzfal technolgiban. Kicsit tudomnyosabban: 1. Egy TCP session esetben az engedlyezshez (vagy a blokkolshoz) a tzfal informcikat trol az adott session llapotrl. 2. A TCP forgalom elejn egy specilis ellenrzs trtnik a felek kztt, amelyet hromujjas kzrzsnak (three-way handshake) hvunk, s amely mdszer lnyege, hogy a forgalomban rsztvev kliens s a szerver (kivtelesen nem az OS-re rtem ezt most) SYN s ACK flag-ek rtkvel jtszva, klcsnsen elhiszik a msikrl, hogy az akinek mondja magt40. Petrnyi Jzsef: TCP/IP alapok, 1. ktet v2.0 http://www.microsoft.com/hun/technet/article/?id=3effd5d3-139c-471a-adeba71a6885562f

40

s ezt persze eljtsszk a kapcsolat bontsakor is.

~ 84 ~

A TZFAL
3. Ezt az informcit az SPI tzfalak is tveszik, s hasznljk az llapottart szrshez, mgpedig a (bels hlzaton lv) kliens ltal kldtt els SYN-re rkez vlasztl kezdve, gyakorlatilag beplve a folyamatban. Azaz, ha nem megfelel SYN, vagy nem egy SYN-ACK jn vissza, akkor eldobjk a kapcsolatot, ksz, passz. Ms, a TCP sessionok karakterisztikjra jellemz rszleteket is felhasznlhat egy SPI tzfal, pl. amikor a kliens kezdemnyezsre elindul egy session, akkor a tzfal elindt egy stoppert s addig hagyja nyitva a sessiont amg van forgalom, s amg ez az intervallum nem haladja meg pl. az ltalunk belltott rtket (ezt egy TMG web proxy kapcsolatnl 1 mp-tl 27 rig llthatjuk be, az alaprtelmezs 1800 msodperc). De bizonyos egyszer esetekben az alkalmazs szint forgalomban41 is lhet ez a fajta szrs, pl. a HTTP esetn a GET metdusban szerepl URL megltnek az ellenrzse megtrtnhet, s a valtlan vagy a hinyos krsek mehetnek a kukba. Plusz amirl eddig mg nem volt sz: a vltoz port szmokkal s/vagy tbb csatornn dolgoz protokollok (pl. FTP, RPC, stb.) forgalma is nyomon kvethet, illetve a dinamikus csomagszrs (csak addig figyel a tzfal az adott porton, amg l a kapcsolat) is megvalsthat. Szerintem mostanra mr vilgoss vlt, hogy az llapottart szrs lnyegesen szleskrbben hasznlhatbb, rugalmasabb, s intelligensebb mint a csomagszrs. De azrt vannak htrnyok itt is, pl. tbb erforrs szksgeltetik az llapotinformcik trolshoz s kezelshez, illetve tipikusan mg mindig csak az elsbb rtegekben szrtnk eddig, az alkalmazs rtegben sem a csomagszrs, sem az llapottart szrs nem jeleskedik. 5.1.3 A Z A LK AL M A Z S S Z R S Tbb esetben az alkalmazs rtegben mkd szrst tekintik a msodik genercinak, mg ms vlemnyek szerint ez inkbb a harmadik. Nlam azrt a harmadik, mert ugyan bizonyos alkalmazs s webszrk mr megjelentek az ISA 2000-ben is, de pl. a HTTP filter csak az ISA 2004 kiadsa ta ll a rendelkezsnkre.

41

Illetve pl. a VPN kapcsolatoknl is kpes mkdni - az ISA 2004-tl kezdve.

~ 85 ~

A KAPUN TL

5.3 BRA 4 RTEG - 3 SZRSTPUS - 1 BRA

A fontossgnak megrtshez kpzeljk el, hogy egy HTTP tartalomban egy rosszindulat kd vagy egy vrus kdja kerlt elhelyezsre (ez ma mr simn tekinthet egy mindennapos esetnek). Ez ellen a csomagszr vagy az llapottart szr semmit nem tehet, hiszen az szemszgkbl (s a mkdsi rtegeikben) a csomagok fejlcei rendben vannak, a kapcsolatfelvtel a nagyknyvben megrtak szerint trtnt, viszont a tartalomhoz hozz sem kpesek szagolni, gy ezen forgalom gond nlkl jn s megy t a tzfalunkon. Az alkalmazs szrs viszont a tzfal szmra teljes kr lehetsget ad az egsz TCP/IP csomag megnyitsra, s az alkalmazsok adatainak, parancsainak s kommunikcijnak rszletes, mlyrehat vizsglatra. Hadd emltsek csak hrom tovbbra is egyszer pldt: 1. Egy SMTP szr kpes a 25-s porton minden forgalmat meglesni, az sszes SMTP parancs formtumt, szabvnyossgt (pl. hogy MAIL FROM: mez valban maximum 266 byte?) csekkolni, illetve adott esetben a kommunikci megszaktani - mg mieltt a bels Exchange-nkhz berne mindez. 2. Egy HTTP filter akr a metdusok tiltst (nincs POST, nincs tbb rlap kitlts klnbz weboldalakon ), akr adott alkalmazsok mkdst (torrent kliensek, webes csevegprogramok, stb.) is kpes stoppolni az adott alkalmazsra jellemz, a fejlcben trolt egyedi szignatra tiltsa alapjn. 3. Illetve a fenti plda alapjn a HTTP tartalom malware (spyware-ek + vrusok) alap vizsglata s megtiszttsa, majd a tiszta forgalom tovbbtsa akr evidens is lehet.

~ 86 ~

A TZFAL

5.4 BRA A Z SMTP FILTER S A TBBIEK

Ez csak pr egyszer plda (ksbb lesznek rszletek is), s persze elljrban mg az is rdekes, hogy az alkalmazs szrs nem mindig a restrikcira van kihegyezve, hanem a protokollok s session-ok megsegtsre is alkalmas. Viszont azt is tudnunk kell, hogy mindhrom szrst elszmoltatva, egyrtelmen az alkalmazs szrs az, ami a legmagasabb erforrs ignnyel lp fel. 5.1.4 A TMG H E L Y E A T ZF A LAK K Z T T Ahogyan mr sz volt errl, az ISA Server 2000 tzfala elssorban csomagszrknt s llapottart szrknt mkdtt nmi alkalmazs szr integrcival. Az ISA 2004 -ben az utbbi szerepkr is kiteljesedett, azaz a dediklt alkalmazs s webszrk mennyisge ersen megntt. Ez az ISA 2006-ban alapjaiban nem, mennyisgben viszont vltozott. Mindezek miatt az ISA Server 2004 s a 2006 is elnyertk a Common Criteria EAL4+ (Evaluation Assurance Level 4+) tanstvnyt, amely a tzfalak megtlsben egy fontos mrfldk. Az EAL 4+ a legmagasabb szint tzfal tanstvny fokozat a Common Criteria (CC - Kzs Kvetelmnyek) szablygyjtemnyben, ami azt jelenti, hogy az

~ 87 ~

A KAPUN TL
adott termk egy kifejezetten magas biztonsgi elvrsoknak megfelel rendszer, ennek megfelelen igazn komoly rendszerekben is btran hasznlhat, valamint brmilyen krnyezetben is alkalmazzuk, maga a termk is szavatolhatja rendszernk biztonsgi szintjnek nvelst. A tanstvny kiadja egy fggetlen, llami szervezet, konkrtan a nmet "Bundesamt fr Sichereit in der Informationstechnik". Ez is fontos, de az mg jobban, hogy a CC esetn a nemzetkzi szerzdsek miatt a klnbz orszgok klcsnsen megbznak egyms professzionlis szervezetei ltal kiadott tanstvnyokban, azaz elvileg ez a tanstvny a Fld sszes orszgban rvnyesnek tekinthet.

Az ISA 2006 EAL 4+ tanstvnya (2009. februrban kapta meg, a TMG- folyamatban van): http://download.microsoft.com/download/A/3/3/A33D3307-025E-49AD-A276DCF0F29E28B0/isa2006-cc-certificate.pdf

Ezen alfejezet zrsaknt csendben jeleznm, hogy a TMG-t tbbek kztt a Malware Inspection, a HTTPS Inspection, s pl. a Network Inspection System alkalmazs szr kpessgek a hlzatunk hatrn mkd, krtevket, rosszindulat kdokat, s a kliensek srlkenysget kihasznl tmadsokat egyarnt legyilkol, T-100000-es tpus termintorr vltoztatjk. Ezek s a tovbbi trsaik jelentik azt a pluszt, ami miatt az ISA s a TMG tzfalai kztt legalbb egy fl, de taln egy egsz genercis klnbsg is szrevehet.

5.2 M ULTI ( NEM

LEVEL ) NETWORKING

Itt az ideje, hogy tisztzzunk egy olyan tmakrt amely tisztzsnak mr rgta itt lett volna az ideje42. Ugyanis sz volt mr a TMG hlzati forgatknyveirl, sz volt arrl is, hogy a konzolban hol vannak ezek a konfigurcis lehetsgek. Azt is tudjuk, hogy az ISA 2000-ben mg ez nem volt egy komoly problma, hiszen volt kt, rgztett hlzat (Internal s External) s punktum, de az ISA 2004-ben jtt a csodaszer, a multi-networking s ennyi. Most mr csak azt nem tudjuk, hogy minek ennyi hlzat, hogyan lehet ezeket sszektni, melyek az alaprtelmezettek, s milyen elvek mentn kezeljk ezeket a hlzatokat a TMG-ben. Nos, errl lesz sz most.

42

A szerz rlt tempban r, de kzben muszj zsnglrkdnie a fejezetekkel is.

~ 88 ~

A TZFAL
5.2.1 M I T IS J E LE N T E Z ? A multi-networking (nem tudok r megfelel magyar kifejezst) vlemnyem szerint legalbb t alapveten fontos dolgot jelent: 1. Tetszleges szm hlzatot definilhatunk (5 darab alaprtelmezettet kapunk), s ezeket csoportokba is szervezhetjk (Network Set) 2. Ezek lehetnek fizikai alapak (amikor is van hozz kln interfsz) valamint logikaiak is (ugyanazon az interfszen egy vagy tbb IP tartomny, vagy akr egyetlen IP cm is alkothat egy hlzatot) 3. A hlzatok kztti kapcsolatokat kt lpcsben is szablyozzuk a. A hlzatok kztti alapszablyok (network rules) kizrlag NAT vagy Route lehetnek b. A hlzatok kztt mg ezek utn sincs tnylegesen engedlyezett forgalom a tzfalszablyok nlkl 4. A kliensek hlzatba kerlse automatikus s dinamikus, azaz tennivalt nem ignyel, mg akkor sem, ha vltozik pl. a kliens IP cme s gy egy msik hlzatba kerl 5. Minden hlzat szmra egyedi, akr teljes mrtkben eltr tzfalszablyokat krelhatunk (gyakorlatilag ez az oka, hogy adott esetben pl. tbb bels hlzatot is ltrehozunk) A bels azrt idzjeles, mert ha jl belegondolunk nincs rtelme. A tetszleges hlzat s hlzati csoport mennyisg s az egyedi tzfalszably alkots miatt Nincs extrn megklnbztetett bels hlzat (az ISA 2000-nl mg volt), a telept is csak rutinbl krdezi meg az Internal hlzat. Lehet akr 200 db bels hlnk is (akr egy-egy IP-vel hlzatonknt), ergo jn a logikus krds: melyik lesz a legbels? Ezek utn nzzk sorban, az alaprtelmezett hlzatokat, egyes hlzatok belltsi lehetsgeit, illetve az egyms kztti viszonyukat ler szablyokat. 5.2.2 A Z A L AP R T E LM E ZE T T H L Z AT O K t darab ilyen hlzatunk van a telepts utn, mrmint akkor ennyi, ha minimum az Edge forgatknyvet hasznljuk.

~ 89 ~

A KAPUN TL

5.5 C SAK EGY ALAPRTELMEZETT HLZATNAK VAN IP TARTOMNYA

Az ISA Server 2004 ta pontosan ugyanazok ezek a hlzatok, azaz itt nincs semmilyen vltozs. Kezdjk egy meglepvel, ami nem egy tipikus hlzat lesz.

A Local Host hlzat Ez egy kis hlzat, mivel csak egy tagja van: maga a TMG szerver. Azaz ennek a bels interfszn tallhat IP cm, esetleg cmek, br tipikusan csak 1 db. Viszont nem kell s nem is lehet megadni ezt a cmet, automatikus. Azrt szenzcis ennek a hlzatnak a meglte (szemben pl. a versenytrsaival), mert gy nagyon egyszeren s elegnsan tudjuk a TMG szerver fel, illetve fell raml forgalmat a hlzati szablyokkal illetve a tzfalszablyokkal kezelni. St, mivel pl. egy tartomnyba lptetett TMG esetn mr telepts utn is szksg van bizonyos bels hlzati hozzfrsre (DC, bels DNS, stb.) ezrt a Local Host s az Internal hlzat kztt mr ekkor is lteznek tzfalszablyok, csak nem ltjuk ezeket. Belegondoltunk mr pl. abba, hogy ha az alaplls, hogy a TMG-n nincs semmilyen forgalom engedlyezve a telepts utn, akkor hogyan lpnk be tartomnyba? Az 5.4 fejezetben elmondom.

~ 90 ~

A TZFAL

5.6 BRA A L OCAL H OST HLZAT NEM BVELKEDIK KONFIGURLSI LEHETSGEK BEN

Az External hlzat Nagyon egyszer elkpzelni ennek a hlzatnak az IP tartomnyt. Azt szoktuk mondani, hogy minden cm ide kerl, ami nem szerepel mshol. Az elz pldnl maradva van hrom interfsznk, abbl kt privt cmtartomnnyal rendelkez Internal (plusz most mr tudjuk, hogy a Local Host is) az egyik hlkrtyn, a Perimeter egy msikon (ami lehet egy privt tartomny, de akr publikus is). Ezek IP tartomnyait majd definiljuk az adott hlzatok tulajdonsgainl, ellenben a harmadik hlkrtyn is belltunk egy, azaz egy darab cmet (ha pl. egy darab hardveres router-rel kapcsoldunk, akkor valsznleg szintn egy privtot, de nyilvn teljesen ms tartomnybl mint a tbbit), s ekkor automatikusan ez lesz az az alaprtelmezett External43. Annyira nincs mit konfigurlni ezen a hlzaton, hogy nem is csinltam rla kpernykpet, majd ha egyszer arra jrunk a konzolon, nzzk meg.

43

Igazbl nem teljesen automatikusan, mert a TMG-ben mr varzsoltunk ezzel kapcsolatban a telepts utn.

~ 91 ~

A KAPUN TL
Az Internal hlzat Ez a hlzat viszont elknyeztet bennnket opcikkal (a kvetkez alfejezetben ezeket majd szpen ki is bontjuk). Tipikusan ez a bels, amelynl viszont ktelez egy IP tartomny megadni mr a teleptskor. Ezt persze brmikor vltoztathatjuk, hozztehetnk, elvehetnk belle, akr teljesen eltr IP tartomnyokat is belevehetnk a hatkrbe, nem gond.

5.7 BRA A Z I NTERNAL HLZAT TULA JDONSGAINL FLERD VAN

A VPN Clients hlzat A neve nmagrt beszl, ellenben arrl nem szl, hogy mely gpek az alkoti, illetve hogyan lesz ennek a hlzatnak cmtartomnya. Nos, a tagok automatikusan kerlnek be ide, s csak s kizrlag azok a gpek lehetnek ebben a hlzatban, amelyek VPN vgpontja a TMG szerver. Ezek viszont csak ide kerlhetnek. gy aztn semmit nem kell tennnk azrt, hogy egy adagban alkothassunk majd szablyokat a VPN kliensekre, illetve csak annyit, hogy a Remote Access Policy alatt be kell lltanunk egy VPN

~ 92 ~

A TZFAL
szervert. Mivel ekkor IP tartomnyt is meg fogunk adni (vagy statikust, vagy egy DHCP t krnk majd meg erre), ez lesz ennek a hlzatnak a kijellt IP tartomnya. A Quarantined VPN Clients hlzat Az elbb csnyn hazudtam, amikor azt mondtam, hogy a VPN kliensek csak a VPN Clients hlzatba kerlhetnek. Egy kivtel van, ha bezemeljk a VPN karantn szolgltatst, akkor minden VPN kliens (hacsak nem tesznk kivtelt egy-egy) gppel, ebbe a hlzatba, azaz egy karantnba kerl elszr s csak az ltalunk megkvetelt elvrsok (pl. legyen bekapcsolva a tzfala, legyen frisstve az OS, s stb.) teljestse utn lp t a szimpla VPN hlzatba. Ellenkez esetben krhetjk majd a kapcsolat bontst. Ez a hlzat ekkor s csak ekkor mkdik, az IP tartomnya megegyezik az szimpla VPN hlzatokval, illetve mg egy kzs tulajdonguk van: semmit nem lehet belltani a tulajdonsguknl, ezrt kpernykp sincs. Punktum. 5.2.3 A H L Z AT O K T U L AJ D O NS G A I Az Internal hlzat adatlapja lesz a plda, mivel itt van a legtbb elrhet bellts, ez a legnagyobb halmaz. Ahol lehet cmtartomnyt lltani, ott a msodik fl tartalmaz azonos lesz a kvetkez brn lthatval.

~ 93 ~

A KAPUN TL

5.8 BRA A TELEPTSNL BEADOTT IP TARTOMNY IT T JELENIK MEG

Az automatikus kliens bekerls miatt az IP tartomny megadsa kulcsfontossg, s ezen a helyen kapunk is bven segtsget ehhez. Hozzadhatjuk egy mr ltez s belltott adapter cmtartomnyt, hozzadhatjuk szabvnyos privt tartomnyok brmelyikt (Add Private, 4 ilyen van, ugye egy A, s egy C osztly, valamint 172.16.0.0 172.31.255.255 s az APIPA), illetve egyedi tartomnyokat is (Add Range). Ha tovbb lpnk, akkor a Domains flbe botlunk, de ide tartozik szorosan a kvetkez azaz a Web Browser fl is. Tudjunk rla, hogy ezek a belltsok azokra a bngszkre vonatkoznak, amelyek WPAD-dal kapjk majd meg az automatikus konfigurcis szkriptet. Teht itt, az ebben a szkriptben letolt vltozk (pl. a Domains alatt a MakeNames() a Web Browser alatt pedig a UseDirectForLocal, a MAKEIPS (), stb.) rtkeit konfigurljuk (7.5 fejezet). A Domains alatt teht a hlzatunkhoz tartoz tartomnynevet vagy esetleg neveket vehetjk fel, tmutats gyannt. A direktva lnyege az, hogy ha egy kliens krsben egy ebbl a tartomnybl szrmaz gp neve merl fel, abba a TMG (alaprtelmezs

~ 94 ~

A TZFAL
szerint) ne piszkljon bele, hiszen meglesz az direktben is. Itt egybknt csak az informcit adjuk meg (gy ahogy a cmtartomnynl is), a TMG knyszertse a kivtelezsre a kvetkez fln trtnik majd meg. A Web Browser fln tovbb finomtjuk teht az eddig tmutatst, jelezhetjk pl., hogy nem kell proxy az ezen a hlzaton dolgoz webszerverekhez (gy nem lesz ktelez pl. a hitelests sem), valamint itt mondjuk meg, hogy tnyleg legyen kzvetlen elrs az eddigi fleken megadott rtkekhez, st pluszban is felvehetnk IP cmeket, szmtgp vagy tartomnyneveket. Ez adott esetben igencsak fontos is lehet, azaz ha brmilyen okbl nem akarjuk, hogy a megadott gp/tartomny fel a kliensnk ne a web proxy klienssel dolgozzon, hanem pl. egy SNAT klienssel, akkor ez gyben itt kell lpnnk.

5.9 BRA A W EB B ROWSER FL

Van itt mg egy lehetsg, azaz ezen a panelen legalul a TMG s gy a web proxy mkdskptelensge esetre tervezhetnk alternatvkat a klienseink szmra, azaz a

~ 95 ~

A KAPUN TL
kzvetlen hozzfrst (SNAT vagy tzfal klienssel) vagy a proxy krsek tdobst egy msik TMG (ISA) szerverre (BackupRoute a szkriptben). Lpjnk ismt tovbb, m nem a Web Proxy flre, ezt most kihagyjuk, mert erre lesz egy teljes fejezet ksbb, hanem a Forefront TMG Client rsz kvetkezik. Itt az Internal hlzat tzfal klienseire vonatkoz belltsok szerepelnek, elszr is maga az engedlyezs s a TMG konkrt nevnek vagy IP cmnek megadsa (ha nv, akkor a TMG-nek tudnia kell ezt helyesen feloldani, ha IP, akkor viszont majd ha IP-t vltunk ne felejtsk el itt is tlltani). A panel tbbi rsze a tzfal kliens ltal a kliens gpen bellthat bngsz konfigurcira vonatkozik. Ez ugye gyakorlatilag majdnem teljesen ugyangy nz ki, mint pl. az IE proxy belltsai (3.4 fejezet, els bra).

5.10 BRA A W EB B ROWSER FL

Lehetsges automatikus konfigurci detektlst krni, amely egy bonyolultabb, elgazsos proxy konfigurcinl trtnhet egy szkripttel is. Illetve a panel legaljn trtnik meg az bellts (Use a Web Proxy szerver), amit a tzfal kliens felhasznl a kliensoldali bngsz automatikus konfigurlsakor.

~ 96 ~

A TZFAL

Az utols fl az Auto Discovery, amelyen ugyan csak egyetlen dolgot llthatunk (gyakorlatilag ez a ki- vagy bekapcsols), m a szakirodalma mgis terjedelmes. Bvebben is kifejtjk, de mivel teljesen a web proxy szolgltatshoz kapcsoldik, majd csak a 7.5-s fejezetben.

5.10 BRA K EVS CSEKKBOX , DE SOK LEHETSG

A hlzatok logikai csoportostsa nem rdemel kln alfejezetet, de azrt megemlkezni meg kell errl a tmrl is. Egy hlzatcsoport mindig logikai csoportostst jelent, elssorban praktikus okokbl, azaz, hogy kevesebb majdnem teljesen azonos szablyt kelljen legyrtanunk. A TMG konzolban a Networking \ Network Sets fl alatt rhetek el, azaz innen elindulva annyit krelhatunk amennyi jlesik (Tasks \ Create New Network Set), de egy TMG-ben mr hrom alaprtelmezettel is sszefuthatunk. 1. All Networks (and Local Host): a tnylegesen sszes hlzat. 2. All Protected Networks: mind kivve az External.

~ 97 ~

A KAPUN TL
3. Forefront Protection Manager Monitored Networks: az FPM ltal monitorozhat hlzat, alaprtelmezsben szintn az sszes (jelenleg teljesen hatstalan, lsd korbban).

5.11 BRA F URA , DE GY , RES CSEKBOXXAL VAN BENNE MINDEN HLZAT EBBEN A KSZLET BEN

5.2.4 A H L Z AT I S ZA B LY O K A hlzatok kztti alapviszonyt, azaz a kt hlzat kztti forgalom ramls tpust a hlzati szablyokkal rjuk le. Ha van ilyen viszony (ha nincs, minden krs eldobdik), akkor a tpusa kizrlag ktfle lehet, Route avagy NAT. A Route kapcsolattpus az egyszerbb, amely szerint a forrs hlzatbl indul kliens krsek kzvetlenl a cl hlzatban elrhet szerverekhez rkeznek be, s vice versa. A forrs kliens krse tartalmazza a sajt cmt is, s a visszairnnyal sem lesz gond, a kapcsolat automatikusan ktirny. A NAT (Network Address Translation) mr komplexebb dolog, s a mi esetnkben pedig arrl szl, hogy a kt hlzat kztt a TMG nemcsak szablyokat rvnyest, hanem aktvan be is kapcsoldik a hlzatok kztti alapszint kommunikciba.

~ 98 ~

A TZFAL
Rviden: hazudik. Csnyn becsapja mindkt oldalt, de ez egy kegyes hazugsg, enlkl ugyanis nem lehetne megoldani a privt s a publikus cmek kztti tjrst. Szval ha egy NAT kapcsolatban vagyunk (legjobb plda erre az Internal s az External hlzat kapcsolata), akkor a TMG a forrs hlzatbl rkez kliens krsben kicserli a kliens privt IP cmt a sajt publikus cmre, s ezt kldi tovbb mondjuk a tvoli webszervernek44 (ez az els hazugsg). A webszerver erre az IP-re kldi a vlaszt, mert azt gondolja jl becsapva, hogy a TMG-nk az eredeti kr. De nem, de amikor megjn a vlasz, akkor a TMG felismeri, hogy ez a bels kliens ltal kldtt krsre jtt, ergo megint csak kamuzik, s gy tlalja a dolgot a kliens fel, mintha az direktben a tvoli webszervertl rkezne. De ebbl, sem a kliens, sem a webszerver nem vesz szre semmit (azaz transzparens szmukra), a dolog viszont mkdik. Persze egy specilis esetben, mint pl. akkor, ha egy olyan csomag megy ki, amelyben elvileg nem vltozhat semmilyen szinten, semmilyen az informci (pl. IPSEC VPN), akkor jabb trkkkre van szksg (konkrtan itt majd a NAT-Traversal segt), de az esetek nagy tbbsgben a NAT nem okoz gondot. A telepts utn a kvetkez alap hlzati szablyokat lthatjuk a Networking \ Network Rules pont alatt: 1. Local Host Access: Route kapcsolat a Local Host s az sszes tbbi hlzat kztt45 2. VPN Clients to Internal Network: Route kapcsolat a kt VPN hlzatbl a bels fel 3. Internet Access: NAT kapcsolat a bels, valamint a kt VPN hlzat illetve a kls hlzat kztt Nos, ltessk t az elmletet a gyakorlatba, s ezek utn kpzeljk el a kvetkez helyzetet: - A rendszernkben vannak szimpla, irodai klienseink a munkatrsaink szmra, akiknek az internethez s a bels alkalmazs szerverekhez hozz kell frnie, de mshoz nem, s termszetesen ez egy privt IP cmekkel rendelkez hlzat.

44

Muszj is ezt megtennie, mivel a NAT kapcsolat egyirny, kzvetett jelleg, ergo alaprtelmezs szerint kell valami (ez lehetne az RRAS is, vagy egy hardvereszkz), ami ilyenkor fordt. 45 Ne ijedjnk meg, amig nincsenek tzfalszablyok addig az External fel s fell semmi nem jhet.

~ 99 ~

A KAPUN TL
Van egy pr gp, ami publikusan brki szmra, de csak kizrlag az internethez elrhet (pl. egy egyetem vagyunk s a folyosn is fellltottunk gpeket), szintn privt cmekkel. Vannak bels szervereink, amelyek alkalmazsszerverek (fjl, Exchange, printer, stb.), internet elrs azrt kell nekik, plusz az 1. pont szerint a bels hlzat kliensei is el szeretnk rni ezeket s privt cmeik vannak. Vannak olyan szervereink (web, ftp, extranetes kiszolglk), amelyeket kifejezetten csak az internet fell lehet krssekkel elrni, minden ms hlzattl nagyjbl elszigetelve (nyilvn egy SMTP tjrnak kapcsolatban kell lennie a bels hlzat Exchange szervervel, de ezt most hagyjuk). Ez a hlzat publikus IP cmekkel rendelkezik. Az tdik hlzat az internet, hiszen ezt is elrhetv kell tennnk az sszes eddigi hlzat szmra.

Az ISA s a TMG szerverek egy ilyen felllst knnyedn tmogatnak. sszesen 4 hlzatra lesz szksgnk (Internal, Internal2, Perimeter, s External, ebbl kett kznl is van46), egyet meg most legyrtunk zibe:

5.12 BRA H A NINCS KZNL , GYRTSUNK LE EGYET

46

De a harmadik, Perimeter is kznl lesz, ha mr rgtn ezt vlasztjuk a kezdeti varzslban, persze ezt utlag is megtehetjk.

~ 100 ~

A TZFAL
Mivel egy bels, privt cmekkel rendelkez hlzatunk hinyzik, ezrt vlasszuk az els pontot. Kszthetnnk egy Perimeter-t is (ms szhasznlattal: DMZ), illetve egy S2S VPN hlzatot pl. telephelyek kztt, vagy akr egy msodik External hlzatot is. Eddig kevs okunk lehetett r, hogy egy msodik External hlzatot kreljunk, de a lehetsg adott volt mr rgta. A cl lehet a megtveszts kifel, esetleg egy tartalk kpzse, illetve egy j s fontos ok azrt akad: a TMG-ben az ISP Link Redundancy hasznlata. Mindenesetre ha ez az hajunk, akkor pl. a befel irnyul publikl szablyoknl majd nagyon oda kell majd figyelnnk, hogy melyik hlzaton figyel majd a listener, azaz az TMG fle. A tpus kivlasztsa utn a tbbi mr rutinmunka, mert mr csak cmtartomnyt kell ltrehoznunk, amirl mr mindent tudunk. Ezutn persze jhet az adott Internal2 hlzat belltsa (lsd az elz alfejezetet). gy vagy gy, de mostanra mr ksz van a ngy darab hlzat, gy gondoskodhatunk az ezek kztti hlzati szablyokrl. Az j hlzatok esetn mindezt a Network Rules rsz alatt tehetjk meg, de elbb nzzk meg a kvetkez tblzatot, mert ennek megfelelen kell lpnnk.
5.1 TBLZAT (X= NEM RELEVNS , 0 = NINCS KAPCSOLAT )

Internal (irodai kliensek s bels szerverek) Internal2 (folyosi gpek) Perimeter (web, ftp szerver) External (Internet)

Intranet X 0 0 NAT

Internal2 0 X 0 NAT

Perimeter 0 0 X Route

External NAT NAT Route X

Szval a feladat most az, hogy a friss Intranet2 hlzat s az External kztt egy NAT kapcsolatot hozzunk ltre. Ehhez lpjnk a Network Rules szakaszba, s vlasszuk a Create New Network Rule opcit a Tasks Pane-bl. Adjunk meg egy rutal nevet, majd tallzzuk be a forrs hlzatot (Internal2), aztn a clhlzatot az Add gombbal, majd vlasszuk a Network Relationship panelen a NAT opcit.

~ 101 ~

A KAPUN TL

5.13 BRA E LDNTEND KRDS

Ezek utn lesz mg egy jabb eldntend krds, ami az ISA rendszergazdk szmra sem lesz ismers, s ez pedig az n. Enhanced NAT kpessgbl addik (6.3 fejezet). Most mi vlasszuk az alaprtelmezst (Use the default IP address), s zrjuk le a varzslt. s kszen is volnnk, mivel ksz az j hlzat, amely tagjai NAT-tal el is rik majd az Internetet.

5.14 BRA S ZPLNK , BVLNK

Amellett, hogy az elz tblzatban egy amba llst rajzoltam fel (a betk engem is zavarnak benne ), szpen lthat, hogy a ktfle hlzati szablybl illetve a nem ktelez sszektni elvbl szpen kirajzoldik a megolds. Ha hlzati interfszben gondolkodunk, akkor ez minimum 3 krtya (a kt intranet cmtartomnya lehet egy krtyn). Ha ksbb, gy dntnk, hogy egy jabb Intranet szegmenst kssnk r a

~ 102 ~

A TZFAL
TMG-re annak sem lesz akadlya (persze a belltsokat erre vonatkozan is meg kell tennnk majd), s ha pl. a folyosi gpekbl egyet bevisznk az irodba, mert muszj, elg lesz csak a TCP/IP konfigjt trni. Ilyen egyszer. Ha jl megfigyeljk, akkor a hlzati szablyok szmozottak. Ez nem statisztika miatt van gy, ez valban egy prioritsi sorrend, s vltoztathatunk is rajta (nzznk jobbra a Tasks Pane-re). Amikor kt, kln hlzaton lv gp kztt megindulna a kommunikci, akkor a TMG megkeresi az els megfelel hlzati szablyt amely ezekre a hlzatokra passzol, s ennek megfelelen teszi a dolgt. Ha trtnetesen az egyik hlzatban egy konkrt gpre, vagy egy szkebb IP tartomnyra is van egy definilt szablyban egy ellenkez tpus, akkor ez nem fog teljeslni. Ahhoz hogy ez mgis mkdjn, a kisebb halmazt fellel szablyt feljebb kell mozgatnunk a sorrendben. Egy mkd felllshoz ezek utn viszont mr csak a megfelel engedlyez tzfalszablyokat (no s persze a szervereket publikl tzfalszablyokat) kell ltrehozni azon hlzatok kztt, amelyeknl nem az X, s nem egy 0 szerepel. Ez kvetkezik most.

5.3 A ZOK A C SODLA TO S SZABLYOK

A TMG legjobban varilhat rsze a tzfalszablyok vilga. Egyttal ez is az a rsz, amelyet a legnehezebben lehet teljes mrtkben elsajttani, pontosan azrt mert igen mly s sszefgg ismereteket ignyel. Mindent tudnunk kell a hlzati objektumokrl, a protokollokrl s portokrl, a hlzatokrl, radsul egy nagy halom esetben azokrl az eszkzkrl is, amelyek szmra ezeket a szablyokat ksztjk. s akkor mg a tzfalszablyok mkdsrl, vagy pl. a sorrendrl nem is beszltnk Viszont szgezzk le: minden tzfalszablynak szmt, amelyet a faszerkezet Firewall Policy gban ltrehozunk (most a csak logikai csoportostsknt funkcionl Web Access Policy-t figyelmen kvl hagyjuk), pl. a publikl szablyok is, mi viszont ebben a fejezetben elssorban a hozzfrsi tzfalszablyokkal jtszunk majd. 5.3.1 A S ZA B LY O K A L AP AN Y AG A I , A ZA Z A H L Z A T I O B J E K T UM O K A TMG-ben egy-egy szably elksztse olyan mint a fzcskzs47, azaz mint egy j leves elksztse, sszedoblunk egy kis ezt, egy kis azt, egy kis amazt, majd megfzzk s ha jl csinltuk, hatalmas lvezettel megesszk. Egy biztos, nem rt elre
47

Nem vagyok egy konyhatndr, st a konyhban max. egy sima user vagyok, de TV-n szeretem nzni az ilyen tpus msorokat, teht rtek hozz

~ 103 ~

A KAPUN TL
megtekinteni, beszerezni s elkszteni a kellkeket, mieltt nekiesnk a mveletnek. Ez itt is gy van, szval kezdjk azzal hogy kiismerjk az alapanyagokat, mert van bellk igen sokfle. A Firewall Policy szakaszban, a Task Pane Toolbox fl alatt talljuk meg ezeket, a kvetkez f kategrikban: 1. Protocols: Szmtalan protokoll, elksztve s csoportostva 2. Users: sszesen 3 darab gyri csoport a hitelestshez 3. Content Types: 11 kategriban rengeteg MIME tpus, vagy kiterjeszts 4. Schedules: 2 db gyri idzts 5. Network Objects: a legsszetettebb rsz, rszletek lejjebb Mieltt bnak eresztennk a fejnket a gyri kis ltszm felhasznli csoport vagy az idztsek gyjtemny miatt, termszetesen tudnunk kell, hogy mindegyik szerszmoslda kategria tetszleges mennyisg elemmel bvthet, exportlhat, importlhat, stb.. Nzzk viszont rszletesebben az utols kategria elemeit, mert itt aztn van anyag bven, br az els kett mris ismers lesz: - Network: Egy-egy hlzat, belertve a gyriakat, s az ltalunk definiltakat is. - Network Sets: Hlzatcsoportok, szintn ismersek mr. - Computers: Egyetlen szmtgp, IP cmmel megjellve. - Computer Sets: Szmtgp csoport, mely tagja lehetnek egyedi szmtgpek, egy egsz alhlzat, vagy akr egy tetszleges IP tartomnyba tartoz gpek, de nem lehetnek az elz csoport tagjai, azaz a computer objektumok. - Address range: Kifejezetten egy IP tartomnyba tartoz gpek - Subnets: Alhlzat, cmmel s maszkkal elltva - URL sets: Megdbbent lesz, de URL cmek sszessgt jelenti , gymint pl. a http://www.microsoft.com vagy http://www.netlogon.hu/* - URL Categories: A TMG egyik j szolgltatshoz tartoz URL kategrik (sszesen 91 db) - URL Category Sets: Az elzben emltett sszes kategria szktse (11 db) - Domain Name Sets: Tartomnynevek, vagy rszeik gymint pl. *.netlogon.hu - Web listener: No, ez egy komplex dolog, a publiklsnl sok sz esik mr rla, addig is elgedjnk meg annyival, hogy a TMG szerver HTTP vagy HTTPS portokon figyel flei szerepelnek majd itt - Server Farms: Szintn a publikl szablyokban szerepl szerver farm objektum gyrtsa, a farm elemeinek definilsval, IP cm vagy nv alapjn

~ 104 ~

A TZFAL
A hlzati szablyoknl rtelemszeren csak az els kett kategria elemeit hasznlhatjuk majd, a tzfalszablyoknl viszont mindent, viszont az utols kettt majd csak a webszerver publiklsnl. Most pedig kiemelnk 1-2 objektumot, azrt hogy lssuk, hogy vannak egyszerbbek s termszetesen bonyolultabb, rszletesebb jellemzkkel brk is. Kezdjk kt egyszervel, elszr is egy idztssel.

5.15 BRA V GRE LESZ NET AZ IRODBAN A HTVGN

Ezeket az elemeket idbeli korltozsra hasznlhatjuk a tzfalszablyokban. Csak kt dolgot llthatunk benne, 1-1 rs rszletekben: az egyik az lesz amikor rvnyes lesz az adott szably (kk rszek), a msik pedig amikor nem48. Aztn itt egy msik is, a felhasznli csoportok ltrehozsa, amelyek kulcsfontossgak lehetnek egy-egy tzfalszablyban, hiszen a ktelez hitelestssel kombinlva felhasznli fikok szerint klnbz szablyokat gyrthatunk, amelyekben pl. klnbz csoportoknak, klnbz protokoll hasznlatot engednk vagy tiltunk meg.
48

Figyeljk meg a Hold s a Nap piktogramokat az ra tengelyen: a Microsoft mindenre gondol

~ 105 ~

A KAPUN TL

5.16 BRA N VTR , NVTR HTN

Ez a mini varzsl gyakorlatilag olyan mint brmelyik fik kivlaszt panel az OS-ben, annyi kivtellel, hogy mg egy tartomnyi gpen helyi s tartomnyi fikokat s csoportokat tallzhatunk, itt mg plusz hrom nvtr is a rendelkezsnkre ll (LDAP, RADIUS, SecurID). Nos, nzznk egy sszetettebb objektumot is, pl. egy egyni protokoll ltrehozst. Keressk meg a Protocols legrdl ment, majd a New / Protocol ment. jabb mini varzslt indtunk, ahol elszr az elsdleges kapcsolat els protokolljt lltjuk be.

~ 106 ~

A TZFAL

5.17 BRA A SPCI ALKALMAZSUNK EZT A PORT TARTOMNYT HASZNLJA

Ezt gy kezdjk, hogy elszr is eldntjk, hogy mely protokoll tpust vlasztjuk (TCP / UDP / ICMP / IP), aztn pedig az irnyt, majd a port szm intervallumot is. Ha IC MP-t vlasztunk, akkor a megfelel ICMP kdot s a tpust is meg kell adnunk. Ha kell mg az elsdleges kapcsolathoz msik port is, akkor azt is fel kell vennnk, ha nem, mehetnk msodlagos kapcsolat49 paramterezshez, ahol ugyanezt a panelt talljuk. Csak ezutn lesznk kszen teljesen, illetve a ksz protokollon mg tovbbi vltoztatsokat is megtehetnk, pl. egy msik ismert protokoll hozzrendelst (ezt csak a TMG-ben), vagy ppen egy megfelel alkalmazsfilter hozzrendelst. Irnyok: - TCP esetn Inbound/Outbound, azaz bejv/kimen - UDP: Send (egyirny, csak klds); Receive (egyirny, csak fogads); Send Receive (2 db egyirny, elbb van klds aztn a fogads), Receive-Send (2 db egyirny, elbb van fogads aztn a klds)

49

Port intervallum, protokoll illetve irnybelltsi lehetsg tovbbi kapcsolatokhoz vagy csomagokhoz egy mr kiplt kapcsolatban. J plda erre az FTP kapcsolat, a maga kt csatornjval.

~ 107 ~

A KAPUN TL

5.18 BRA U TLAG IS VARILHATUNK

5.3.2 H O G Y A N P L F E L E G Y H O Z Z F R S I T ZF A L S ZA B LY ? A belpnk mr megvan, st mr a hlzatokkal, s a felhasznlhat objektumokkal is tisztban vagyunk, most jn a cilinder s a nyl.

5.19 BRA T ELJESEN EGYRTELM

A fenti bra mutatja egy tzfalszably ksztsnek a menett, gyakorlatilag a szably varzsl letkrzsrl van sz.

~ 108 ~

A TZFAL

5.3.3 S H O G Y A N M K D I K ? A policy engine a TMG taln egyik legbonyolultabb rsze, de kimagaslan fontos is. A feladata az, hogy meghatrozza egy a tzfalhoz berkezett krs sorst. Most vegyk azt a pldt, amikor egy bels kliens egy internetes webszervert szeretne elrni, azaz a bngszjvel egy weboldalt. Ez a mi rendszernkben csak s kizrlag a TMG szerveren keresztl trtnhet, gy amikor egy krs megrkezik a TMG-re, leegyszerstve hrom dolog trtnhet: 1. Van passzol szably s ez engedlyez: a krs tovbbtsra kerl s a vlaszt fogadja majd szintn tovbbtja a TMG vissza a kliens fel 2. Van passzol szably, de tilt: ekkor vagy megjelenik a bngszben egy a TMG szmos HTML hibazenetbl, pontosan jelezve a hiba okt s krlmnyeit, vagy a kliens a tilt szably belltsai alapjn tirnytsra kerl. 3. Nincs passzol szably: ekkor az alaprtelmezett mindent tilt szably lp letbe, s persze lesz hibazenet is. Igazbl nem is egy, hanem kt klnbz szablytpus dolgozik majd minden egyes krs alkalma apropjn (s az eredmnybe beleszlhat mg az E-NAT (6.3), az ISP-R (6.2) s a Web chaining (7.2.) is), egyrszt az 5.2 fejezetben emltett hlzati szablyok illetve az ppen most trgyalt tzfalszablyok. Nzzk teht a konkrt lpseket: 1. A bels kliens elkldi krst a TMG-nek. 2. Az els lehetsges vlaszlps a TMG rszrl a hitelests krse. Ez lehet ktelez (pl. ltalunk manulisan elrt) s opcionlis, illetve trtnhet transzparens mdon is. Ha nem tud transzparens mdon hitelesteni a kliens, akkor a TMG elkri ezt az inft a felhasznltl (tovbbi inf a 7. fejezetben). Ha egy SNAT kliensrl van sz, akkor hitelests nem lesz, mert nem lehet, de a hlzati s tzfalszablyok azrt vadul dolgoznak tovbb a forrs IP cm alapjn. 3. Ha teht a kliens jogosult egyltaln elrni a TMG web proxy-jt, akkor jhet a hlzati szably ellenrzs: lehet-e abbl a hlzatbl ahol a kliens van, elrni azt a hlzat ahova szeretne eljutni? Azaz van-e definilt kapcsolat a kt hlzat kztt? Ha nincs, itt vge a dalnak, van viszont itt mg kt fontos dolog: o Azt is ellenrizzk, hogy olyan forrs IP-vel rkezett-e a csomag, ami a fogad interfsszel azonos TMG logikai hlzathoz van-e rendelve. Ha nem, akkor spoof packet lesz belle.

~ 109 ~

A KAPUN TL
o Ha nincs hlzati szably, akkor a log viewerben a Rule mez res lesz. Teht nem a Default rule tilt ilyenkor, hanem a firewall engine jval hamarabb lezrja a kirtkelst. o A cl ellenrzse is megtrtnik, s ha nem passzol egyik hlzatra sem, akkor a cl az External, s gy a NAT, s megynk tovbb. 4. s csak most jnnek a hozzfrsi tzfalszablyok. Az elz brn szpen ltszik, hogy egy szably kezddhet engedlyezssel, vagy tiltssal. A tilts egyrtelm, az engedlyezsnl pedig a szably rszletei implicit mdon tiltanak, azaz ha azt lltjuk be, hogy csak 11.00-12.00 kztti intervallumban van HTTP engedlyezs, akkor brmilyen ms idpontban tiltva van. De - mivel sok-sok tulajdonsgra szr a TMG elfordulhat hogy ennek vgeredmnye, az, hogy nemcsak egy szably passzol majd egy adott pillanatban hanem tbb is. Rengeteg korbbi brn lthat, hogy szablyok tucatjai is lnek egy rendszerben, s ezek kztt lehetnek tfedsek egy krs apropjn. Ezrt fontos a prioritsi sorrend. A TMG tzfal szably motorja fentrl (illetve az 1. szmtl, mert lehet m, hogy vletlenl fordtott, vagy ms sorrendben llnak a szablyok) kezdi tfslni a gyjtemnyt, s ha tall egy az adott helyzetre passzol szablyt, akkor nem ktzkdik tovbb. Ezrt aztn az ajnlott szably sorrend a kvetkez: 1. szerver illetve webszerver publikl szablyok 2. hitelestst nem ignyl tilt szablyok 3. hitelestst nem ignyl engedlyez szablyok 4. hitelestst ignyl tilt szablyok 5. hitelestst ignyl engedlyez szablyok 5. Mg nincs vge. Ha egy krs rendben van a hozzfrsi szablyok alapjn, akkor a TMG egyrszt elkszti a connection object-et (ezt az egyszersg kedvrt pl. egy tblzatknt, mondjuk mint a NAT tbla, kpzeljk el), msrszt most hasznlja fel a mr korbban felfedezett hlzati viszonyt, mivel a folytatsban nem lesz mindegy, hogy NAT avagy Route a kt hlzat kztti viszony, mert ha pl. NAT lesz, akkor most kell megvltoztatnia a forrs IP-t. 6. De mg mindig nincs vge, most jhetnek a szablyhoz ill s bekapcsolt alkalmazs s webszrk (pl. a HTTP filter az pldnk esetn). 7. Nos, ha eddig nem lltotta meg semmi a krst, akkor ezek utn mr tovbbtsra kerl, a TMG VIA header-jvel egytt (lsd 8.2). 8. Ezek utn a webszerver vlaszol. A TMG fogadja ezt, ellenrzi, hogy a forrs IP valban az External-bl jn-e (ha nem, akkor spoof packet), s ha szksges a

~ 110 ~

A TZFAL
cache szablyoknak megfelelen elhelyezi a gyorsttrban. A NAT miatt jabb IP cm csere trtnik 9. Tovbbtja a vlaszt a kliensnek (+ VIA header jra). 10. A TMG megvltoztatja a connection object llapott (mivel tovbbi csomagot mr nem vr), majd 2 percig mg l a connection object s ha nincs tovbbi kommunikci, akkor eldobdik. Konyec.

5.20 BRA V AN AKI GY RTI MEG KNNYEBBEN

~ 111 ~

A KAPUN TL
Egyetlen dologrl kell itt mg beszmolni s ez az n. Policy Re-Evaluation, azaz, hogy a vltozsok egy szably esetn mikor jutnak rvnyre. Lnyegesen sokat vltozott ez gyben a helyzet az elmlt 10 vben. 1. Az ISA 2000 esetn egy service jraindts kellett hozz. 2. ISA 2004-2006: egy j connection object rvnyre jutsa kellett hozz. 3. TMG: azonnal megtrtnik jut a vltozs. Az utbbirl mg annyit, hogy ez egsz pontosan azt jelenti, hogy az Apply utn minden j s minden meglv anonymous kapcsolatnl azonnal rvnyre jut s akkor ha a kvetkez elemek valamelyike vagy mindegyike vltozik a szablyban: - Forrs cm s / vagy port - Cl cm, nv, URL stb. - Idzts - User set - Content Type

5.4 A S YSTEM P O LIC Y

Az alap szentencia az, hogy az ISA s a TMG szervereken a telepts utn minden zrva van, se ki, se be, nincs semmilyen forgalom a telepts utn, mg a bels hlzatba se (ez all kivtel volt az ISA 2000, amely egy teljes kr nyitssal megklnbztette mr alapbl is az egyetlen, a telepts kzben kivlasztott IP tartomny bels hlzatot). A telepts utn teht egyetlen lthat szablyunk van (ha nem futtatjuk a Web Access Policy Wizard-ot), amely egy mindent tilt szably.

5.21 BRA M I NDEN KAPU BEZRVA ?

De akkor: - Mirt ri el az TMG a cmtrat a telepts utn (azaz pl. belptethetjk illetve be tudunk lpni rajta a tartomnyba) ha lthatan nincs is engedlyez tzfalszably a listban? - Hogyan lehetsges, hogy tudjuk bngszni a http://www.microsoft.com cmet a TMG gpen egy HTTP engedlyez szably nlkl? - Hogyan mkdhet a Microsoft Update a TMG gpen? Jpr hasonl krdst feltehetnk, a vlasz minden esetben a System Policy lesz, azaz a gyri, a telepts utn mr rgvest letbe lp szablyok gyjtemnye. Hogyan tekinthetjk meg ezeket? Lpjnk a Firewall Policy pontra az MMC-ben, s vlasszuk a

~ 112 ~

A TZFAL
View menbl a "Show System Policy Rules" opcit. Ekkor jelents szm tzfalszablyt lthatunk, amelynek kb. a fele engedlyezve is van. Ez a titok nyitja. Persze, pnikra nincs ok, nem "lyukas" gyrilag a rendszernk, egy-kt rtatlan kivteltl (pl. DNS) eltekintve az engedlyezett szablyok maximum a bels hlzatra rvnyesek, ezenkvl vannak olyanok is, amelyek bizonyos csoporttagsg meglttl fggnek (s alapesetben res ez a csoport). Viszont fontos tudnunk azt is, hogy nmely letiltott szably automatikusan rvnyesl, ha a hozz tartoz funkcit lestjk, ilyen pl. a szimpla VPN elrssel kapcsolatos. A kvetkezkben lpsrl lpsre, egyesvel tvesszk, hogyan mkdnek ezek a szablyok, mi mindent engednek vagy tiltanak, s pldul mely protokollokat hasznljk. Az ISA 2006 Standard vltozathoz kpest igencsak megntt ezen szablyok mennyisge, a TMG szintn Standard kiadsnl konkrtan 30-rl 51-re.
5.2 TBL ZAT 51 SZABLY KVETKEZIK M OST

Ssz. Alaprtelmezs Szably neve 1 Mkdik Allow access to directory services for authentication purposes Allow remote management from selected computers using MMC

Protokoll LDAP, LDAP (UDP), LDAP GC, LDAPS, LDAPS GC Microsoft Firewall Control (TCP 3847), NetBIOS datagram, NetBIOS Name Service, NetBIOS Session, RPC RDP

Lers A cmtr s a globlis katalgus protokolljainak elrse Az TMG elrse a teleptett MMC bvtmnnyel, tipikusan a rendszergazda gprl. Br engedlyezve van, de amg az TMG-n a gyrilag definilt Remote Management Computers csoportba nem tesszk be megfelel gpet, nem mkdik. Az TMG elrse RDP-vel, szintn Remote Management Computers csoporttagsg kell hozz. Ugyanaz mint az elz kett, viszont a hatkr webes alkalmazsokra vonatkozik. Ellenben van mg egy klnbsg: ez a szably csak az ISA 2006-tl tallhat meg. Az SQL szerverbe trtn naplzs esetn lesz r szksgnk

Mkdik

Mkdik

Letiltva

Allow remote management from selected computers using Terminal Server Allow remote management from selected computers using a Web application

TCP 2175

Letiltva

Allow remote logging to trusted servers using

NetBIOS Datagram, NetBIOS Name

~ 113 ~

A KAPUN TL
NetBIOS Service, NetBIOS Session RADIUS (UDP 1812), RADIUS Accounting (UDP 1813) Kerberos-Sec (TCP), KerberosSec (UDP)

Mkdik

Mkdik

Mkdik

Allow RADIUS authentication from Forefront TMG to trusted RADIUS servers Allow Kerberos authentication from Forefront TMG to trusted servers Allow DNS from Forefront TMG to selected servers Allow DHCP requests from Forefront TMG to all networks Allow DHCP replies from DHCP servers to Forefront TMG Allow ICMP (PING) requests from selected computers to Forefront TMG

A RADIUS hitelests engedlyezse adott kiszolglk fel, az Internal hlzat az alaprtelmezett hatkr. A Kerberos hitelests hasznlatnak szablyozsa

DNS

Mkdik

DHCP (Request)

A DNS protokoll hasznlata az TMG "fell", alaprtelmezs szerint a hatkr az All Networks. Az TMG DHCP kliensknt mkdshez szksges.

10

Mkdik

DHCP (Reply)

Az elz szably tkrkpe.

11

Mkdik

Ping (ICMP 8)

12

Mkdik

Allow ICMP requests from Forefront TMG to selected servers

13

Letiltva

Allow VPN client traffic to Forefront TMG

ICMP Information Request (15), ICMP Timestamp (13), Ping Belltsfgg

Az TMG "pingelhetsge", alapesetben csak a Remote Management Computers csoportba tartoz gpeknek. Ha szksg van r, hogy kvlrl is pingelhessk TMG-t ki kell terjesztennk a hatkrt. Klnbz hlzati szolgltatsokhoz szksges ICMP protokollok s a ping hasznlata az TMG gpen. A hagyomnyos VPN kliensek hasznlatra vonatkozik, alapesetben le van tiltva, de amikor az a TMG MMC-ben - els alkalommal bekonfigurljuk a VPN elrst, automatikusan engedlyezsre kerl. Az VPN S2S szolgltatsra rvnyes, az els lestse utn szintn automatikusan engedlyezsre kerl.

14

Letiltva

Allow VPN site-tosite traffic to Forefront TMG

Belltsfgg

~ 114 ~

A TZFAL
15 Letiltva Allow VPN site-tosite traffic from Forefront TMG Allow Microsoft CIFS from Forefront TMG to trusted servers Allow remote SQL logging from Forefront TMG to selected servers Allow all HTTP traffic from Forefront TMG to all networks (for CRL downloads) Belltsfgg Az elz tkrkpe.

16

Mkdik

17

Letiltva

18

Letiltva

MS CIFS (TCP 445), MS CIFS (UDP 445) MS SQL (TCP 1433) MS SQL (UDP 1434) HTTP

A CIFS protokoll (fjlrendszer) hasznlatnak szablyzsa Az SQL szerverbe trtn naplzs esetn lesz r szksgnk Kivtelesen egy az All Networks hlzatra vonatkoz szably, amely megengedi az TMG kiszolglnak hogy letltse a CRL-eket (Certificate Revocation Lists = Tanstvny visszavonsi lista). Fontos tudnunk, hogy ezzel az TMG-n a HTTP protokollt is megengedtk minden hlzat fel. A Connectivity Verification szokatlan, de hasznos bvtmny az TMG szerverekben. A bels hlzat kiszolglinak figyelst oldhatjuk meg vele (Ping, HTTP krsek, lekrdezs adott TCP porton, stb.). A hatkr az All Networks, de alapesetben le van tiltva. Ha szndkunkban ll a Performance Monitort hasznlni az TMG-ra kapcsoldva egy msik gprl, akkor kell bekapcsolni ezt a szablyt. Emellett Remote Management Computers csoporttagsg is kell hozz. Ha az TMG-rl szeretnnk a bels hlzati fjlszervereket elrni, s ezt mshogyan nem szablyozzuk (pl. egy klasszikus tzfal szabllyal), akkor ezen az ton megoldhat.

19

Letiltva

Allow HTTP/HTTPS requests from Forefront TMG to selected servers for connectivity verifiers

HTTP/HTTPS

20

Letiltva

Allow remote performance monitoring of Forefront TMG from trusted servers

NetBIOS Datagram, NetBIOS Name Service, NetBIOS Session

21

Mkdik

Allow NetBIOS from Forefront TMG to trusted servers

NetBIOS Datagram, NetBIOS Name Service, NetBIOS Session

~ 115 ~

A KAPUN TL
22 Mkdik Allow RPC from Forefront TMG to trusted servers Allow HTTP/HTTPS from Forefront TMG to specified Microsoft error reporting sites Allow SecurID authentication from Forefront TMG to trusted servers Allow remote monitoring from Forefront TMG to trusted servers, using Microsoft Operations Manager (MOM) Agent Allow installation of System Center Operations Manager Agent Allow HTTP/HTTPS requests from Forefront TMG to specified sites RPC Az RPC protokoll hasznlatnak szablyzsa Az elredefinilt, n. Microsoft Error Reporting csoportba tartoz oldalak (*.watson.microsoft.com) bngszse vlik lehetv ezzel a szabllyal. A SecurID hitelests engedlyezse az TMG-tl az RSA ACE kiszolglk fel (alapbl csak az Internal hlzaton). Az TMG kiszolglra teleptett MOM/SCOM Agent s a MOM/SCOM szerver kztti kapcsolat engedlyezse (alapbl csak az Internal hlzaton illetve egyb specilis csoportok szmra). Az TMG kiszolglra sznt SCOM Agent teleptsnek engedlyezse, csak specilis csoportok szmra Ha engedlyezve van, akkor az n. System Policy Allowed Sites s a MRSS csoportba tartoz oldalakat tudjuk tallzni az TMG szerveren. Ebbe a csoportba tartozik pl. a .microsoft.com, a windows.com s a windowsupdate.com is. Ez a szably a vlasz a Microsoft Update-tel kapcsolatos krdsre. Ha engedlyezve van, akkor az n. MU-hoz tartoz oldalakat tudjuk hasznlni az TMG szerveren. De ebbe a csoportba tartozik pl. a download.microsoft.com is.

23

Mkdik

HTTP/HTTPS

24

Letiltva

SecurID (UDP 5500)

25

Letiltva

MOM Agent (TCP/UDP 1270) SCOM Agent (TCP 5723)

26

Mkdik

TCP 5724

27

Mkdik

HTTP/HTTPS

28

Mkdik

Allow HTTP/HTTPS requests from Forefront TMG to specified sites

HTTP/HTTPS

~ 116 ~

A TZFAL
29 Mkdik Allow NTP from Forefront TMG to trusted NTP servers NTP (UDP 123) Az internetes idszinkronizlshoz szksges NTP protokoll engedlyezse. Mivel alapbl ez is csak az Internal hlzatra rvnyes, rdemes kszteni egy j csoportot a netes idszerverek IP cmeivel, majd ennek a csoportnak is engedlyezni. Az SMTP protokollt engedi meg az TMG-n, de csak az Internal hlzat fel. Erre azrt van szksg, mert a klnbz figyelmeztetseket (Alerts) konfigurlhatjuk gy is, hogy szksg esetn e-mailt kldjn mondjuk az zemeltetnek az TMG. Ehhez viszont muszj, hogy a bels SMTP szervert hasznlni tudja. Az TMG szerverek hagyomnyos szolgltatsa a gyorsttrba trtn idztett HTTP/S Alapesetben le van tiltva ez a szably, de ha elindtjuk ezt a szolgltatst, akkor automatikusan engedlyezsre kerl. Az rdekessge mg az, hogy szinte ez az egyetlen szably, amely a felhasznli fikoktl fggetlenl a System s a NetworkService szolgltatsfikkal mkdik. Az TMG szerver MMC-n keresztli elrshez szksges, felttele a Remote Management Computers csoporttagsg. A TMG-tl a Configuration Storage Server fel men LDAP/LDAPS s a Firewall Access Configuration Control protokollok

30

Mkdik

Allow SMTP from Forefront TMG to trusted servers

SMTP

31

Letiltva

Allow HTTP from Forefront TMG to selected computers for Content Download Jobs

HTTP/HTTPS

32

Mkdik

Allow MS Firewall communication to selected computers

Minden protokoll

33

Mkdik

Allow remote access to configuration storage server

TCP 3847, TCP 2171,2172 s 2174

~ 117 ~

A KAPUN TL
engedlyezse

34

Mkdik

Allow access from trusted servers to the local configuration storage server Allow replication between configuration storage servers Allow intra-array communication

IKE Client, CIFS (UDP s TCP is), illetve TCP 3847, TCP 2171,2172 s 2174 portok TCP 2173, illetve RPC

35

Mkdik

A tmb tagjai, a Remote Management gpek s pl. a tbbi CSS gp fell a TMG fel trtn forgalom protokolljainak engedlyezse A CSS gpek kztti RPC replikci s szinkronizci engedlyezse Az Array Server csoport tagjai kztti forgalom engedlyezse TMG-tl az IPv6 hlzatok fel tart forgalom engedlyezse / tiltsa Az elz tkrkpe (mindkett csak a bels hlzatot rinti) A tzfal kliens "buborkzeneteinek" hasznlata A TMG s a Forefront Protection Manager kzs hasznlatbl fakad szably (jelenleg nem igazn hasznljuk ki) A TMG s a Forefront Protection Manager kzs hasznlatbl fakad szably (jelenleg nem igazn hasznljuk ki) A TMG s a Forefront Protection Manager kzs hasznlatbl fakad szably (jelenleg nem igazn hasznljuk ki) A TMG s a Forefront Protection Manager kzs hasznlatbl fakad szably (jelenleg nem igazn hasznljuk ki)

36

Mkdik

37

Letiltva

38

Letiltva

39

Mkdik

40

Mkdik

41

Letiltva

42

Letiltva

Allow IPv6 traffic from Forefront TMG to IPv6 networks Allow IPv6 traffic from IPv6 networks to Forefront TMG Allow notifications from Local Host to client computers Allow access from Local Host to Forefront Protection Manager server Allow access between Local Host and Forefront Protection Manager gateway Block access from the Blocked Access Computers to the External network Restrict access from Forefront Protection Manager Limited Access Computers to the External network

SQL, CIFS (UDP s TCP is), illetve TCP 3847 + az RPC Szmtalan ICMPv6 tpus

Szmtalan ICMPv6 tpus TCP 1745

TCP 9988

TCP 1961

Minden protokoll

43

Letiltva

Minden protokoll

~ 118 ~

A TZFAL
44 Mkdik Allow SMTP traffic to the local host for mail protection and filtering SMTP Az SMTP forgalom engedlyezse a nyilvnos hlzat fell a TMG-nek az Antispam, a Content filtering s a Malware protection szolgltatsok apropjn Az elz tkrkpe (s mindkett csak a Local Host-ot rinti) rdekes szably, mert publikls, mghozz a Vista SP1/Windows 2008 ta velnk l spci VPN, az SSTP egyszer publiklsa Az EdgeSync szinkronizls engedlyezse a TMG-n fut Exchange Edge s bels hlzatban fut Exchange szerver kztt

45

Mkdik

46

Letiltva

Allow SMTP traffic to the Internet for mail protection and filtering SSTP Publishing

SMTP

47

Letiltva

48

Letiltva

Allow LDAP/LDAPS traffic to the local host for the Exchange Server EdgeSync synchronization process DirectAccess mode: Allow limited set of IPv6 protocols to Local Host DirectAccess mode: Allow IPv6 transition technologies traffic to Local Host Direct Access mode: Allow IPv6 transition technologies traffic from Local Host Direct Access mode: Allow IPv6 traffic from Local Host Allow access from trusted computers to the Firewall Client installation share on Forefront TMG

LDAP/LDAPS

49

Letiltva

Szmtalan ICMPv6 tpus, DHCPv6, LLMNR, IKE Client HTTPS, Teredo, IPv6 Over IPv4 Tunnel

IPv6 protokollok engedlyezse a DirectAccess kapcsn

IPv6 tranzcis megoldsok engedlyezse a DirectAccess kapcsn

50

Letiltva

Teredo, IPv6 Over IPv4 Tunnel

Az elz tkrkpe (s mindkett csak a Local Host-ot rinti)

51

Letiltva

Minden protokoll

+1

Letiltva

MS CIFS (TCP), MS CIFS (UDP), NetBIOS Datagram, NetBIOS Name Service, NetBIOS Session

A TMG s az Anywhere IPv6 csoport (amelyben minden IPv6 cm benne van) kztti teljes forgalom tengeds Csak az ISA 2004-ben van meg ez az opci, amely ott a 19-es sorszmot viseli. A tzfal kliensek telept mappjnak megosztshoz (MSPCLNT) szksges elrst biztostja, de csak

~ 119 ~

A KAPUN TL
ha felteleptjk az ISA ezen szolgltatst.

5.5 B EHATOLS

DETEKTLS ,

IP

SZRS

Az ltalnos, ISA 2000-tl elrhet kpessgek kz tartozik a cmben szerepl kt ttel. Az jabb verzik sorn trtnt bvls a lehetsgekben (pl. a Flood Mitigation az ISA 2006-ban), de az igazn nagy durrans ezen a terleten a TMG-ben jtt el, ezekkel a kvetkez fejezetben foglalkozunk is rszletesen. De addig is nzznk bele a faszerkezet Intrusion Prevention System szakasznak msodik fle al.

5.22 BRA E Z EGY KEVSB LTOGA TOTT HELY

Az els pontban a TMG behatols detektlssal kapcsolatos tudsnak konkrt formit lthatjuk, nos, ez gyben nem trtnt vltozs 10 v alatt (ez nem azt jelenti, hogy csak ezek ellen vd, hanem azt, hogy ezeket konkrtan felismeri a forgalom elemzsekor). Amikor ezt a listt elszr lttam (2001), mg tetszett s remltem, hogy egyszer majd, sok-sok frissts utn olyan hossz lesz ez a lista, hogy vadul kell majd a grdt svot hasznlni, de nem ez trtnt, mshol s mshogy teljesedett ki ez a szakasz. A port szkennels opcii miatt azrt ide is van rtelme benznnk az indt konfigurls kzben, illetve az eldobott kapcsolatok naplzsnak engedlyezse is egy eldntend krds lesz majd.

~ 120 ~

A TZFAL

5.23 BRA E Z EGY KEVSB LTOGA TOTT HELY

Ha engedlyezzk, majd bepipljuk ezeket az ismert tmadsi tpusokat, akkor ezek szlelsekor azonnal egy riaszts keletkezik, amely riaszts tulajdonsgai kztt szerepel majd az is, hogy mi legyen a reakci (pl. kapcsolat bonts, szerviz terminls, e-mail kldse, sima naplzs, stb.). A panel msodik fle alatt a DNS alap tmadsi tpusokkal kapcsolatos vdekezsi mdszereink lthatak. Itt viszont az esetleges publikus DNS szervernket tudjuk trdre knyszerteni, ha pl. nem engedlyezzk pl. a znatvitelt. Egy msik biztonsgfokoz lehetsgcsokor a Configure IP Options Filtering szakaszban trul elnk. Ez a rsz a TMG IP csomagkezelsnek rszleteibe ad betekintst, ami azrt egy jval komplikltabb s nagyobb erforrst ignyl dolog, mint ismert tmadsi tpusok elleni vdekezs. Ez a panel is kt szakaszbl ll.

~ 121 ~

A KAPUN TL

5.24 BRA A Z IP OPCIK SZRSE

Az IP Options fl alatt brmilyen a csomag fejlcekben megtallhat opcit megengedhetnk, vagy akr szortrozhatunk is, s ekkor a belltsunk alapjn a TMG el fogja dobni azokat a csomagokat, amelyek tartalmazzk a megjellt IP opcikat. Pldnak okrt a source routing (az IP csomag kldje ltal meghatrozott tvonal kijells) hamistsa elleni vdekezs lehetsge is itt van. A tmad ugyanis kpes a forrs s a cl routerek kztti normlis tvlasztsi dntseket hamistani, mi meg kpesek vagyunk ezt letiltani (Strict Source Route). A msik rsz, azaz az IP Fragments alatt krhetjk, hogy a TMG az sszes szttrdelt rszeket tartalmaz csomagot eldobja. Elvileg ugyan ezek a tredkek nem krosak, s csak azrt kerlnek trdelsre, mert tl nagyok, s gy egyetlen csomagba nem frnek bele. Azonban ltrehozhatak olyan tredkek is, amelyek nmagukban, els ltsra rtalmatlannak tnnek, ellenben sszerakva mr nem egszen, vagy jobb esetben az sszeraks sorn csak az derl, ki rluk, hogy szablytalanok/hibsak, s ezrt pl. tlterhelst okoznak (teardrop). A dolog msik oldala viszont az, hogy streaming audio s video vagy pl. L2TP over IPSec esetn magunknak okozhatunk problmt, ha blokkoljuk a tredk csomagokat.

~ 122 ~

A TZFAL
Mr csak egyetlen rsz maradt, a Flood Mitigation. Itt granulrisan szablyozhatjuk a TCP/UDP s HTTP krsek percenknti szmt, radsul kt fokozatban.

5.25 BRA F LOOD M ITIGATION RSZLETEK

Egyrszt ltezik egy ltalnos kr, ezenkvl az IP Exceptions alatt megadhatjuk azokat az IP cmeket (szmtgp-csoportok formjban), amelyek kivtelek, s amelyekre kln rtkeket llthatunk be (de csak globlisan, nincs tovbbi differencils). Ha pl. azt ltjuk, hogy a bels hlzatban egy-egy kliens indokolhat mdon tbb kapcsolatot akar kipteni, mint amennyit ltalban megengednk, akkor kivtelt tehetnk vele de nem muszj akrmeddig elengednnk azrt, egy fels hatrt egyszeren kijellhetnk ebben az esetben is.

~ 123 ~

A KAPUN TL

6 A

TZFAL A
A

TMG- BEN
NIS

6.1 E GY NAGYGY :

Sok-sok jdonsg van a TMG tzfal szerepkrnek hza tjn, de ezek kzl is kiemelkedik egy teljesen innovatv megolds, amely ott segt, ahol a legjobban fj, azaz a hlzat gpeinek biztonsgi llapotnak fokozsban. A frisstsek gyors tertse s alkalmazsa ktelez feladat minden hlzatban, de ennek sikeressgbe sok tnyez beleszlhat, most ez a sok, eggyel cskkenhet a TMG rvn. Ahhoz, hogy a rendszergazdk, folyamatosan up-to-date llapotban tartsk a vdett hlzat opercis rendszereit illetve alkalmazsait rgta vannak megfelel eszkzk egy Windows hlzatban, a Windows/Microsoft Update-tl kezdve a WSUS-on t olyan komplex rendszerfelgyeleti eszkzkig, mint a kisvllalatok szmra kszlt System Center Essentials, vagy ppen nagyvllatok szmra alkalmas System Center Configuration Manager. De sajnos van tbb aktulis problma is ezen a terleten. Az egyik els az, hogy a frisstsek tesztelse s korrekt alkalmazsa mr egy kzepes mret hlzatnl is jelents idbe kerlhet, ergo elkpzelhet, hogy egy-egy munkallomsra vagy kiszolglra csak jelentsen ksve kerl a javts. Egy msik problma az, hogy a msik oldalon, azaz a Microsoftnl is elfordul, hogy a javts tklestse s tesztelse (amely - rtelemszeren - lnyegesen alaposabb mint a felhasznli oldalon), szintn jelents idt emszt fel, gy elfordulhat, hogy a srlkenysg felfedezse utn csak hetekkel rkezik meg (azaz vlik nyilvnoss!), s vlik letlthetv az adott javts. Mindekzben - a versenyfuts rszeknt-, a srlkenysg kihasznlsra trtn exploit fejlesztse kzel sem vesz el ennyi idt, s aztn sok esetben gy sikeresen alkalmazhat, akr rvid hatridn bell is. Egy msik problma az, hogy elfordulhat az az eset, amikor az ipargi egyezmnyektl eltr mdon egy srlkenysget annak felfedezje nem a gyrtval, esetnkben a Microsofttal - kzl elszr, hanem nyilvnossgra hozza, mghozz azonnal. A srlkenysgek felfedezsrl s annak javtsrl az iparg egynteten gondolkodik. A korbban emltett szndk minden esetben rt szndk. Ezeket az eseteket hvjuk 0 napos srlkenysgnek. Bizonyos esetekben 0 napos exploit-rl is beszlhetnk, amikor a nyilvnossgra hozs sorn gy nevezett proof of concept kdot is kzl a tmad. Hogy rtsk mirt baj ez, rtennk kell a rosszfik mkdst. Hrom kategrija van a srlkenysgeket kihasznl kdok ksztsnek (figyelem, ez ipargi trend, nem csak a Microsoft-ra igaz):

~ 124 ~

A TZFAL A TMG-BEN
- Egy biztonsgi kutat tall egy hibt, amit jelez a gyrtnak. A gyrt elkszti a javtst, amit nyilvnossgra hoz, a kutatnak fejet hajtva. Hogy lesz ebbl tmadsra alkalmas kd? gy, hogy a hotfix csomagot amit kiad a gyrt, azt a tmadk elemzik, abbl megllaptjk, hogy mit javtott a gyrt s azt hogyan lehet a mg javtatlan gpeken kihasznlni. Ennek az ideje napjainkra ersen lecskkent. Pr rrl beszlnk csak, mg ez a 2001-2002-es CodeRed, Nimda Blaster, Sasser idszakban tbb htben mrtk. - A biztonsgi kutat tall egy hibt, amit kihasznl krtkony kdot kszt s azt nyilvnossgra hozza. Ebben az esetben nem javt hanem rt szndk vezrli a kutatt. - A biztonsgi kutat tall egy hibt, amit kihasznl krtkony kdot kszt, de azt nem hozza nyilvnossgra, hanem clzott tmadsokat hajt vele vgre. Ha gyes, soha nem derl ki. Ha kzepesen gyes, akkor egyszer kiderl (a kzelmlt egyik ilyen emlkezetes esemnye amikor a Google rendszereihez frtek hozz egy bngsz srlkenysgen keresztl). (A lektor megjegyzse.) A TMG-be integrlt NIS (Network Inspection System) pontosan itt segt, mivel kpes arra, hogy az tzfalon tmen forgalom alapos elemzse sorn50 felismerje az ismert srlkenysget kihasznl tmadsokban alkalmazott jellemz szignatrkat, s ezek utn blokkolja az adott host fel men forgalmat. Azaz egy tmad akkor sem kpes kihasznlni egy adott hibt, ha mg nem frisstettk a host gpet, hiszem a ksrlet mr a hlzatunk hatrn robotol TMG szervernl elakad.

6.1 BRA E Z EGY KR , CSAK NEM GY NZ KI

50

s persze a TMG protokoll engine illetve az alkalmazs- s webfilterek ldsos tevkenysge utn.

~ 125 ~

A KAPUN TL
De mi a helyzet a NIS esetn a gyorsasggal? A hetek helyett itt rkrl beszlnk, azaz a srlkenysg felfedezse utn a Microsoft Malware Protection Center (MMP C; http://www.microsoft.com/security/portal/) munkatrsai azonnal hozzkezdenek a jellemz lenyomat elksztshez, ellenrzshez s tesztelshez, s mg aznap bizonyosan ki is adjk a szignatrt. A NIS frisstsi mechanizmusa pedig lehetv teszi, hogy akr direktben a Microsoft Update, akr a rendszernkben mr megtallhat WSUS/SCE/SCCM segtsgvel frissljn helyben is a NIS adatbzisa, s blokkolhat legyen a rosszindulat forgalom. Erre mr tbb konkrt esetet is felhozhatunk bizonytkkpen, pldul a sansznl (http://www.sans.org/) 2009. szeptember 8-n megjelent SMBv2 srlkenysg apropjn kiadott lenyomat kevesebb mint 8 ra alatt bekerlhetett a TMG NIS adatbzisba (pedig ekkor mg bta llapot volt a termk).

6.2 BRA A NIS FRISSTS NEM ELFIZETSHEZ KTTT , AZAZ INGYENES S SOSEM JR LE

Az MMPC egybknt nyomoz is, teht a felfedezs folyamatnak is lehet rszese s igazbl - tetszs szerint - a TMG zemeltetk is, hiszen a Telemetry Reporting Service engedlyezsvel a malware vagy egyb tmadsi tpusokrl, illetve a hlzati forgalommal kapcsolatos mkdsi anomlikrl egyarnt szolgltathat informci a Microsoft fel (termszetesen SSL kapcsolaton keresztl), minden egyes a TMG-t futtat gprl. A NIS motorhztetejt felnyitva egybknt egy bonyolult, sok komponensbl ll rendszer rszeknt a GAPA protokoll elemz platformra (s benne a GAPAL protokoll ler nyelvre) bukkanunk, amely a Microsoft Research (http://research.microsoft.com/en-us/), azaz a Microsoft hzon belli tudomnyoskutat rszlegnek tallmnya. Ezt aztn a TMG fejlesztcsapata egsztette ki s tkletestette, illetve beleillesztette s beleilleszti most is szinte minden Forefront termkbe.

~ 126 ~

A TZFAL A TMG-BEN

6.3 BRA A NIS MKDSI MECHANIZMUS A

A GAPA keretrendszer a klasszikus protokoll elemzkkel szemben szmos elnnyel rendelkezik, s pldul az egyszer protokoll parser fejlesztst is segti, gy az ellenrz szablyok s a szignatrk alkalmazsa nagysgrendekkel gyorsulhat.

6.4 BRA A NIS AZ IPS SZAKASZON BELL : EGY SOR , EGY ISMERS ATTAK

Felmerlhetnek mg tovbbi krdsek is, azaz hogy vajon minden protokoll vdelmre felkszlt-e a NIS, illetve, hogy csak a Microsoft ltal kiadott frisstsek elszavnak

~ 127 ~

A KAPUN TL
tekinthet-e? A vlasz egyrszt az, hogy az kzismert protokollok jelents rszt lefedi ez a megolds (konkrtan: HTTP/S, DNS, SMB, SMB2, NetBIOS, MSRPC, SMTP, POP3, IMAP, MIME), illetve a krds msodik felt illeten pedig azt kell tudnunk, hogy a TMG jelen verzijban (SP1, 2010. szeptember) szerepl NIS, egyelre valban csak a Microsoft ltal kiadott frisstsekhez passzol, azaz csak a vllalat szoftvereire rvnyes a hatsa. Nos, a rpke ttekints utn viszont nzzk meg a konkrt rszleteket. Azt viszont ki kell emelni, hogy a NIS egy GAPA csomagot kap amikor frissti nmagt. A GAPA csomag azonban nem csak a srlkenysgek lerst tartalmazza, hanem a Protocol par ser objektumokat is. Teht egy egyszer NIS update segtsgvel: 1. Frisslnek a mr fent lev par ser objektumok. 2. rkezhetnek j protokollok - s rkezni is fognak folyamatosan. 6.1.1 NIS R S Z LE T E K Ha az MMC-ben betallzzuk a NIS ablakt, akkor a konkrt tmadsi formkat ler sorok uraljk a kpernyt. Ezek felett a TMG-ben mr ms helyen is lthat, fejlcszeren elhelyezked legfontosabb jellemzk tallhatak meg, a jobboldali keret meg szintn szoksos: az aktulisan vgrehajthat feladatok (NIS Tasks) sorakoznak itt. Ugorjunk a fejlcbe, s nyissuk meg a NIS Status: Enabled hivatkozst.

~ 128 ~

A TZFAL A TMG-BEN
6.5 BRA N INCS TLBONYOLTVA

Az elejn egyszer a dolgunk, engedlyezhetjk a NIS-t, vagy nem. Ehhez maximum arra a httrinfra van szksgnk, hogy a NIS (a GAPA miatt) azrt generl plusz terhelst. A hivatalos dokumentcik szerint egy tlagos tpus forgalom51 esetn a NIS kb. 30%-nyi plusz elvrst jelent a CPU-tl (abban az esetben ha a Malware Inspection is engedlyezve van). Persze ez sok mindentl fgghet, pl. a hardver konfigurcitl, a NIS belltsaitl s persze mg attl is, hogy mi mindent csinl az OS a TMG alatt. De kiindulsnak mindenkppen j rtk ez, vegyk figyelembe a tervezsnl mindenkppen. A kvetkez fl az Exceptions, amely szintn nem okozhat komoly gondot, mivel a kivtelekrl szl, azaz ha brmilyen okbl ki szeretnnk vonni bizonyos gpeket a NIS hatsa all, akkor ezt pl. domain nevek formjban megtehetjk. Vagy ppen felhasznlhatjuk az alaprtelmezett Sites Exempt from NIS csoportot is erre (amelyben a megszokott *.microsoft.com cmek mr megtallhatak). Vagy pl. ha bels gpekrl van sz akkor egy IP cmtartomnyt is felvehetnk. A kvetkez rsz viszont mr sokkal izgalmasabb. Ez a Definition Updates, s itt mr rengeteg mindent bellthatunk.

51

Csak az rdekessg kedvrt az tlagos forgalom megoszlsa a Microsoft szerint a kvetkez: HTTP: 80%; SIP: 8%; FTP: 5%; DNS: 5%; SMTP: 2%.

~ 129 ~

A KAPUN TL

6.6 BRA F RISSTSEK , REAKCIK S VERZIK

Automatic definition update action: Hogyan trtnjen a NIS szignatra adatbzisnak frisstse? Azaz automatikusan figyelje-e s teleptsen, vagy csak figyelje (de nincs letlts s telepts sem), vagy ppen ne legyen semmilyen automatizmus. Automatic Polling Frequency: Milyen srn trtnjen meg a frisstsek ellenrzse? Ez az intervallum 15 perctl 4 rig llthat, tbb fokozatban. Response policy for new signatures: Mi legyen a NIS reakcija, akkor ha a forgalom ellenrzse sorn belefut egy ismert szignatrba? o Csak detektls s naplzs, de nincs blokkols o Microsoft Default Policy: ez az alaprtelmezs (ksbb kifejtem) o No Response: nincs reakci Version Control: Az aktulisan letlttt s teleptett szignatra csomag automatikusan aktivlsra kerl, azonban addhat olyan eset (pl. tesztels), amikor egy rgebbi llapotra van szksg. Itt visszamehetnk az idben s aktivlhatunk egy rgebbi csomagot, figyelmen kvl hagyva a jelenlegit.

~ 130 ~

A TZFAL A TMG-BEN

6.7 BRA U NDO ?

A kvetkez fl a Protocol Anomalies Policy, ami megint csak egy rdekes, kifejezetten innovatv, s a GAPA-nak ksznhet megoldst takar. A dolog lnyege, hogy ha mr gyis az sszes forgalmat bitenknt s vals idben figyeli a TMG, akkor mirt ne figyelje azt is egyttal, hogy minden kommunikci a protokolldefincikban meghatrozott teljesen szablyos mdon trtnik-e?

6.8 BRA B E TETSZIK TARTANI PLDUL AZ RFC AJNLSOKAT ?

~ 131 ~

A KAPUN TL
Azaz, vannak-e olyan anomlik, amelyek ugyan nem ismert rt kdok, de azrt gyansak? Mondok egy egyszer s sarktott pldt: ha bekapcsoljuk ezt a lehetsget (az alaprtelmezett llapot nem ez!), akkor ha egy HTTP forgalomban egy GET krs utn a HTTP verzi 1.2, akkor a NIS blokkolja ezt a forgalmat (mivel a szabvny szerint az 1.1-nl tartunk) s dob egy riasztst.

6.9 BRA I TT NEM SIKERLT

6.1.2 A S Z IG N AT R K R L M G E G Y K IC S IT Ahogyan mostanra mr bizonyra kiderlt, a NIS mkdsi kereteit a szignatrkkal hatrozzuk meg. Ezek az MMPC szakemberei ltal krelhat lenyomatok gyakorlatilag forgalom karakterisztikai lersok 52 , s kizrlag ebbl a forrsbl rkezhetnek, mghozz a Microsoft Update (vagy a WSUS) segtsgvel, viszont az n. Signature set-ek formjban. A 6.7-es brn ezekbl lthatunk kettt.

6.10 BRA K LN - KLN IS SZABLYOZHATAK , DE A S HIFT S A CTRL IS MKDIK

A szignatrk ngyflk lehetnek, s hogy a NIS listjban melyik milyen, az az adott sor legels karaktereibl egyrtelmen kiderl: 1. A vulnerability tpus (Vuln), amelyek az adott srlkenysget kihasznl kd legtbb, ltalnos formjt detektlja.

52

Pldul ha jn egy GET krs, ami a default.ida fjlt hvja s a mrete nagyobb mint X s a msodik paramter mrete nagyobb mint Y, akkor az CodeRed.

~ 132 ~

A TZFAL A TMG-BEN
2. Az exploit tpus (Expl:), amely egy adott srlkenysgre passzol egyedi kdot detektlja. 3. A policy tpus (Plcy), amelyek ltalban az auditlsi elny miatt kerlnek be a gyjtemnybe (de ksbb kvetheti majd egy exploit vagy vulnerability tpus blokkol szignatra), s amelyek kivtel nlkl le is vannak tiltva. 4. A teszt tpus (Test), amelyek nevkhz hven a NIS tesztelst segtik, s amelyekbl sszesen 3 db van (kt SMB s egy HTTP). A NIS sokoldalan s granulrisan enged meg neknk szabad kezet a szignatrkkal kapcsolatos mveletekben, mind a klcsnt, mind a mkdst illeten .

6.11 BRA K LN - KLN IS SZABLYOZHATAK , DE A S HIFT S A CTRL IS MKDIK

A NIS Tasks alatt lehetsgnk van aktivlni, egyetlen paranccsal az sszes jelenlegi s jvbeni szignatra kapcsn a NIS reakcijt befolysolni (pl. csak detektlsra behangolni). Mindegyik lenyomat egy ajnlott rvnyestssel rkezik az MMPC-tl, de akr egyesvel, akr tbbnl is egyszerre fellbrlhatjuk ezt (ami - ha gy gondoljuk semmilyen mdon nem befolysolja majd a ksbb rkez lenyomatok gyri ajnlst).

~ 133 ~

A KAPUN TL

6.12 BRA E Z EGYIK RENDHAGY , TESZT SZIGNATRA

Nznk meg most egymsutn kt darab brt, amelyeken egyrszt azt rgztettem, hogy mi trtnik a felhasznl bngszjben ha belefut a NIS hatkrbe, msrszt milyen nyoma lesz ennek a TMG riasztsok kztt.

6.13 BRA E GY NIS RIASZTS

~ 134 ~

A TZFAL A TMG-BEN

6.14 BRA S AMIT A USER LT A NIS- BL

E fejezet lezrsa alkalmbl mg ismerkedjnk meg a NIS Encyclopedia-val, amely gyakorlatilag egy webes adatbzis a Microsoft Malware Protection Portal-on (http://www.microsoft.com/security/portal/Threat/Encyclopedia/Browse.aspx). Itt viszonylag egyszeren utnanzhetnk a NIS szignatrkkal kapcsolatos informciknak is, amit egybknt egyszerbben is megtehetnk, ugyanis minden egyes lenyomatra dupln kattintva az elz kpen is lthat More information about this NIS signature online link is rendelkezsre ll.

6.2 ISP R EDUNDANCY

Ismerjk a www.isaserver.org oldalt? Esetleg a frumot is tallzgattuk rgebben? Ha igen, akkor biztosan emlksznk a Wish List szlra, amelyben (mint a mesben) maximum hrmat lehetett lerni azok kzl a kpessgek s szolgltatsok kzl, amelyeket szeretnnk majd viszontltni a kvetkez ISA szerverben. No nem mintha ezen mlna (s ma mr ez a frum se prg), de az biztos, hogy az amit ISP-R nven rvidtve pakolt bele a Microsoft a TMG-be, az mindig benne volt a Top3 kvnsgban.53

53

Emlkeim szerint a msik kt tbbnyire vezet kvnsg a svszlessg szablyzs (no nem az ISA2000-es, s nem is a DiffServ, hanem egy tnyleg hasznlhat), illetve a frissl, kategorizlt URL szrs volt. De a SIP tmogatsnak is sokan szurkoltak. E hrom pluszbl is megvan mg kett, ergo haladunk

~ 135 ~

A KAPUN TL
Szval igen rgta vrunk mr arra, hogy a klnbz netes kapcsolatainkat (azaz tbb External hlzatot, azaz maximum kettt!) kezelni tudja az ISA Server-nk. Nos az mr nem fogja, de a TMG igen, s ez nem valami plusz nagyvllalati kpessg, hiszen a Standard kiads is tartalmazza ezt a lehetsget. Hasznlati elfelttel nem sok van, legyen kt vonal (clszeren routerekkel, teht nem modemekkel, PPPoE alapon ugyanis nem megy), tudjuk ezek alapadatait, default gateway, netmask (ezeknek teljesen klnbzeknek kell lennik), tudjuk, hogy adott esetben majd melyiket szeretnnk elsdlegesnek, illetve a msodik kapcsolat elzetes belltsakpp egsztsk ki a hlzati listnkat, mondjuk egy External2 nevvel, amelyhez termszetesen a hlzati szably(oka)t is el kell ksztennk (Route vagy NAT, stb). 6.2.1 T P U S O K S M K D S Kt, eltr tpust klnbztetnk meg, elszr is a "Failover", amikor is a kt belltott kapcsolat kztt automatikus vlts trtnik - abban az esetben ha az egyik (konkrtan az elsdleges) megll. Ehhez termszetesen be kell lltanunk, hogy melyik legyen az elsdleges, s melyik a tartalk (nyilvn ez utbbi a lassbb s vagy a drgbb lesz). Ezutn sok teend nincs, a vlts tnyleg megtrtnik. Ha ksbb az elsdleges kapcsolatunk visszatr a tetszhallbl, akkor termszetesen megint vltozik a helyzet, csak fordtott eljellel, de szintn automatikusan. Egyszeren lehetsges brmikor vltoztatni az elsdlegessget (lehet menetkzben is konfigurlni, varilni, ezrt nem kell a varzslt a nullrl kezdeni). A msik tpus a "Load balancing" (a kt f tpus kztt is lehet vltani egybknt menetkzben), amikor is a megoszthatjuk a kt kapcsolat kztt a hasznlat arnyt, amelyet egy n. "load balancing factor" csszkn, szzalkosan llthatunk be. Ez az egyetlen klnbsg egybknt a tpusok kztt, a bellts s a felttelek azonosak mindkt esetben. Pontosabban nem, van mg egy klnbsg, mgpedig az n. explicit route-ok bevitelnek lehetsge, ami csak a terhelselosztsnl van, s a kapcsolatonknt (nyilvn) klnbz, sajt DNS/Time vagy egyb szerverek fel tereli az odatartoz forgalmat. gy aztn nem fordulhat el az, hogy az ISP2 DNS-t krdezi le a TMG akkor, ha az ISP1 kapcsolatot hasznlja.

~ 136 ~

A TZFAL A TMG-BEN

6.15 BRA A L OAD B ALANCING EGYBEN F AILOVER IS

ltalban a magas rendelkezsre llsi szolgltatsok zr vagy ehhez nagyon kzeli intervallum alatt megoldjk az tkapcsolst, azaz a felhasznli oldalrl nzve a kiessmentes mkds garantlt. Ez most a mi esetnkben azt jelenten, hogy ha pl. egy oldalletlts kzben ll meg az egyik vonal, akkor az oldal tltdse zkkenmentesen folytatdik (stateful failover). Nos az azrt itt nem gy van, lsd ksbb. Amit mg mindenkppen tudnunk kell, az az, hogy az ISP-R-t elssorban a bellrl kifel irnyra szntk a tervezi, azaz a hozzfrsi tzfalszablyokkal kapcsolatos forgalom fenntartsn van a fkusz. De ez nem azt jelenti, hogy a bels web- vagy ms szervereink fel men forgalomban nem lehetne elrni ezt a lehetsget, dehogynem. Csak, ha ez a clunk, akkor gondoskodnunk kell arrl, hogy a web- vagy ms szervereink elrhetek legyenek a msik, ppen mkd ISP-n keresztl is (DNS). A TMG az ISP varzslban ltalunk megadott ISP hlzati adatait hasznlja mindkt vonal fenntartsra, amely mindkt esetben minimum az alhlzat s az alaprtelmezett tjr54. Ha pldul egy kapcsolat mondjuk a bels hlzatbl ppen kiplne, akkor a TMG kivlasztja az ISP-R konfig alapjn, hogy melyik hlzatot fogja hasznlni. Ezt mindig a TMG dnti el, azaz n nem tudok userek/gpek/protokollok alapjn elsdleges illetve msodlagos hlzatot kijellni (pedig ez is j lenne), ez a termk jelenlegi llapotban egy rtelmezhetetlen kvnsg. A dnts kt dolgon mlik: az adott kapcsolat rendelkezsre llsn, valamint a stickiness-en, azaz a (taln ez egy j sz) folytonossgon55.

54

Mivel ezekbl kett darab van, gy egy kicsit olyan, mintha egy tmbstett konfigurcit hasznlna, de mgis csak egy szerverrel. 55 A stickiness, azaz a sz szerint ragadssg sok helyen eljn a mi iparunkban (frtknl, terminlszervereknel, de mg a tartomnyvezrlknl is), de mindig

~ 137 ~

A KAPUN TL

Meg aztn mg egy dolgon, a 6.3-as fejezet tmakrn, az Enhanced NAT (E-NAT) kpessgen, ugyanis ha ezt beizztottuk, akkor az E-NAT dnt, mgpedig kemnyen: adott esetben fell is rhatja az ISP-R konfigot. Szval gy vagy gy, de ha megvan a dnts, akkor az j kapcsolat az immr meglelt NAT cmet felhasznlva, elkezd kiplni. A TMG fellrja a TCP/IP tvlasztsi adatokat az aktulissal, majd route-ol tovbb lefel, a Layer2-be a megfelel linken keresztl. Taln ebbl mr azt is ki lehetett tallni, hogy a ISP-R csak s kizrlag a NAT kapcsolatoknl kpes mkdni. Ebbl meg azt, hogy a Local Host hlzatban, azaz magn a TMG-n ezt nem fogjuk tesztelni. Viszont ami a web proxy filteren keresztl megy (pl. HTTP), az NAT-tal megy, teht finomtsuk a ttelt: a Local Host esetn, ha nem a web proxy filtert hasznljuk, akkor nem elrhet az ISP-R. 6.2.2 A K AP C S O L AT T E S ZT E L S E Nem kevsb lnyeges tudnunk azt is, hogy hogyan teszteli a TMG a kapcsolatokat, milyen intervallumokban trtnik meg mindez, s mikor vlt oda- vagy vissza ha pl. a faliover zemmdban vagyunk. Szval elsdlegesen DNS lekrdezsekkel (UDP53) bombzza a root DNS szervereket a TMG, alaprtelmezsben 60 msodpercenknt. 13 root DNS szerver van sztosztva a Fldn, minden fldrszen van az Antarktisz kivtelvel, s ezekre a DNS sajtossgai miatt majdhogynem jobban vigyznak, mint Fort Knox-i aranyra, tovbbi inf: http://www.root-servers.org. Vltogatva krdezi le ezeket a TMG, de egyszerre azrt mindig csak egyet. Ha egy alkalommal tbb root DNS szerver sem vlaszol, akkor mg 2x prblkozik a TMG, teht sszesen 3 sikertelen ksrlet, s gy 3 perc kell a vltshoz. Ha vltott a msodik kapcsolatra, az elst azrt nem nagyja bkn, minden 300-ik msodpercben jra teszteli. Ha visszatr a tetszhallbl az els kapcsolat, akkor mg 2x jra teszteli (szinten percenknt), majd ha OK, akkor visszavlt.

nagyjbl ugyanazt jelenti: a kliens-szerver viszonylatban a kapcsolatok szeretnek ugyanazzal a gppel/IP-vel stb. kzenfogva megmaradni, vagyis folytatni a mkdst.

~ 138 ~

A TZFAL A TMG-BEN

6.16 BRA 3,5,3: EZEK A KULCSSZMOK

Az ISP-R szolgltatshoz klnbz riasztsok is tartoznak, egsz konkrtan 10 j elemet tallhatunk a listban, ezek kzl kiemelnk prat: - ISP-R - Link Connection Address Missing: Nincs IP cm belltva az adott External hlhoz tartoz NIC-en - ISP R - Connection Active: Ha mkdik a kapcsolat az ISP fel (s ha jra mkdik is) - ISP-R - Connection Unavailable: Ha elrhetetlen vagy bontott az adott kapcsolat - ISP-R - Connections Unavailable: Csak egy bet az elzhz kpest, de nagy a klnbsg: ilyenkor mr mindkt ISP elrhetetlen, s ez ellen nem vd mr meg minket senki.

6.17 BRA I LYEN VOLT ( MG A VONALAK SZNE IS SZMTOTT ), DE AZTN EZ AZ RTM- RE KIHALT

~ 139 ~

A KAPUN TL

6.18 BRA M OST PPEN EGYIK SEM MXIK ( A D ASHBOARD EGYIK RSZE EZ AZ ABLAK )

Vizulisan is kaphatunk visszajelzst, br a bthoz kpest kiss szegnyes a helyzet, az elz kt bra magrt beszl. 6.2.3 LL T S U K B E ! Kpes beszmol kvetkezik, minimlis szvegmennyisggel.

6.19 BRA M EGVAN MINDEN FELTTE L

~ 140 ~

A TZFAL A TMG-BEN

6.20 BRA A TERHELSELOSZTST VLASZTJUK M OST , MERT EZ A KOMPLEXEBB

6.21 BRA A Z EGYIK HLZAT KIJE LLSE

~ 141 ~

A KAPUN TL

6.22 BRA A DNS ADATOK TISZTZSA MG AZ ELS KAPCSOLATN L

6.23 BRA K SBB AKR VARZSL NLKL IS VARILHATJUK GY

~ 142 ~

A TZFAL A TMG-BEN

6.24 BRA A MSIK HLZAT ( IGEN , 3G- S ROUTEREM IS VAN )

6.25 BRA A MOBILNET DRGA ( KT KP KIMARADT , DE AZOK MR ISMERSE K )

~ 143 ~

A KAPUN TL

6.26 BRA J L DOLGOZTAM , MINDEN RENDBEN , DE EGY TEENDNK MG VAN

A plusz zenet lnyege, az hogy mint tudjuk az OS nem szvesen tmogatja a tbbszrs alaprtelmezett tjr konfigurcit (errl szoktunk is megjegyzst kapni ha tbb krtya TCP/IP konfigurcijnl ezt elszrjuk), s klnsen nem, ha mindezt DHCP kapcsolatokkal hajtjuk megvalstani. Ha viszont az ISP-tl csak gy kaphatunk (mg ha fix is) IP-t, akkor kzzel ki kell egsztennk a varzslst a kvetkez a route tblba bekerl adatokkal (ezt persze mg a varzsl eltt is megtehetjk). Az n esetemben a parancsok a kvetkez mdon nznek ki: route -p add 0.0.0.0 mask 0.0.0.0 192.168.10.1 route -p add 0.0.0.0 mask 0.0.0.0 192.168.20.1 Kszen is vagyunk, tekintsk meg most a kapcsolatok llapott, majd vltsunk.

~ 144 ~

A TZFAL A TMG-BEN

6.27 BRA A Z ISP1 KAPCSOLAT A VARZSL S UTN

~ 145 ~

A KAPUN TL

6.28 BRA E GYSZEREN TKAPCSOLT AM F AILOVER MDBA (ISP-R T ASKS AZ A CTION P ANE - N )

6.3 E NHANCED NAT

A legtbb esetben elg egyetlen publikus IP cm ahhoz, hogy olyan levelezszervert zemeltessnk, amely fogad is e-mail-eket. Ezen feladatra az ISA Server-ek is tkletesen megfeleltek mr, az egyetlen kls hlzatunkon egyetlen kls IP-vel kpesek voltunk olyan SMTP szerver publiklst csinlni, amely befogadta a (publikus) DNS-ben elhelyezett pontos MX rekord alapjn a szervezetnknek sznt zeneteket, majd szpen tovbbtotta is a bels Exchange-nek. A problma abban a pillanatban kezddtt, amikor brmilyen okbl tbb IP-re volt szksg (vagy lesz, mert pl. a TMGnl a DirectAccess-t is szeretnnk hasznlni), amelyeket szpen fel is vettnk a kls hlzat adapterbe. Ekkor ha kt SMTP tartomnyunk van, akr csinlhatunk kt MX rekord bejegyzst is, s kt reverse-et is, mindig az alaprtelmezett IP lesz a forrs cm. Az E-NAT egyik elnye ppen itt mutatkozik meg, hiszen az eddig megszokott egy NAT-brmelyik IP megszortst feloldja. Kzzel bellthatjuk, hogy melyik hlzat esetn melyik IP lesz az, amelyiket a TMG-nek hasznlnia kell, ergo a tzfal mindig a megadottat hasznlja majd forrs cmknt s nincs problma.

~ 146 ~

A TZFAL A TMG-BEN

6.29 BRA O KOS DOLOG VLASZTANI

Az E-NAT okos56 hasznlathoz hozzunk ltre egy j hlzati szablyt (Networking New - Network Rule), amelybe forrsknt az SMTP szervernk bels cmt rakjuk, clknt az External hlzatot, majd varzsl NAT Address Selection ablakban (6.27 -es bra), a megfelel, kvlre sznt IP-t jelljk ki. Ezutn a helyes mkds kedvrt rakjuk ezt a szablyt kzvetlenl a gyri Local Host Access nev utn a msodik helyre, mivel ha ezt nem tesszk meg hatstalan maradhat a szndkunk, mivel pl. az Internet Access nev gyri hlzati szablyban (szintn NAT) a legels IP az alaprtelmezett lesz, gy ez a szably ha elbb jut rvnyre simn fellrhatja a szndkunkat.
56

Mirt mondom hogy okos? Csak azrt, mert ha pl. az Internet Access hlzati szablyon lltjuk be az E-NAT hasznlatot, akkor egy aktv FTP szerver alaprtelmezett els IP-s publiklsba knnyedn belebukhatunk. Ugyanis az aktv FTP hasznlatkor a msodik (az adat) csatorna kezdemnyezse nem a kls kliens, hanem a mi FTP szervernk dolga lesz, de mivel mi globlisan hasznljuk az E-NAT kpessget, lehet hogy az alaprtelmezett s a msodikknt kapott IP cm eltr, a kls kliens pedig erre csak szttrja a kezt s terminl. Az SMTP remekl fog mkdni, de az FTP szervernk nem. Ha sztvlasztjuk a dolgot egy kln SMTP E-NAT hlzati szabllyal, akkor nem lesz ilyen problmnk.

~ 147 ~

A KAPUN TL

6.30 BRA A SORREND ABSZOLTE NE M MINDEGY

Kimaradt egy fontos dolog. Ez pedig az, hogy nem tudjuk protokoll szinten szablyozni. Csak forrs s cl hlzati objektumok kztt szablyozhat. Teht nincs olyan, hogy Internal - External SMTP esetben A IP cm, POP3 esetben B IP cm.

~ 148 ~

A PROXY SZERVER

7 A

PROXY SZERVER
EGY PROXY SZERVER ?

7.1 M I T CSINL

A proxy a tzfal szerepkr mellett egy msik nagyon fontos s komplex sszetevje az ISA s a TMG szervereknek. Egy htkznapi proxy szerver a kliens alkalmazsok (pl. egy bngsz) s a tvoli szerver kztti kapcsolatban kap szerepet, mivel minden kliensoldali krs s minden vlasz a proxy szerveren keresztl trtnhet csak 57, azaz teljes rltsa van erre a forgalomra. A biztonsg s a teljestmny a kt legfontosabb terlet, ahol rvnyeslhetnek a proxy szerverek, s ha csak azt nzzk, hogy az sszes forgalom kb. 4/5-e HTTP, ezrt a szerepk valban risi jelentsggel br. Taglaljuk most kicsit rszletesebben hogy hol egszti ki az ISA/TMG szerverek mkdst a proxy szerver: - Felhasznli hitelests: Errl mr tbbszr sz esett eddig is, legutoljra pldul a hozzfrsi tzfalszablyok kapcsn. A hrombl ktfle klienssel lehetsges az Internet fel men krsknl hitelestst krni a felhasznltl vagy a gptl (gondoljunk egy szoftverre, pl. WSUS). A hitelests trtnhet a httrben, trtnhet rejtve, s trtnhet pl. az eltrolt hitelestsi csomagok alapjn is. Az rtelemszeren elsdleges feladat, a krs engedlyezse vagy megtagadsa mellett pl. a naplzs egyrtelmv ttelt is megoldhatjuk a proxy hitelestssel. - Szrs: Azonkvl, hogy mr a kapcsolds is lehet engedlykteles, utna sem kell feladnunk az ellenrzst, st, tbb szinten, valban rengeteg fle jellemz alapjn tudjuk szrni a forgalmat a proxy szerverrel. IP, protokoll, port, idpont s mg sorolhatnm, hogy mi minden tartozik az alapszint szrsi mdszerek kz. - Tartalom vizsglat: Szintn teljes kr ki- s bemen szrst jelent, s itt tbb szintet meg tudunk klnbztetni, az egyszerbb, MIME tpus alapjn trtn szrstl, a HTTP filter kpessgein keresztl egszen a teljes kvetkez fejezetig, azaz mint pl. a malware vagy az kategorizlt URL filterig. - Ahogyan emltettem, mivel a proxy kz alatt tart mindent, rtelemszer, hogy lt is mindent, gy a granulris naplzs illetve az ezen alapul jelentsek generlsa sem okoz gondot. - A bels hlzat eltntetse: Akr bentrl kifel, akr kintrl befel tart a forgalom, a proxy szerver gondja lesz a bels, vdett hlzat adatainak teljes elrejtse. Ez nagyon kevs kivteltl eltekintve tkletesen meg is oldhat.
57

A tzfal pedig a proxy szerver s a kls hlzat kztt tallhat pl. az ISA/TMG szervereknl.

~ 149 ~

A KAPUN TL
A biztonsg mellett a teljestmnyfokozsban is van aktv szerepe a proxy szervereknek. Ez az ISA/TMG szervereknl egy harmadik f alkotelemben, a gyorsttrazsban (cache) teljesedik ki, amelyet n annyira lnyegesnek tartok, hogy kln alfejezetet (7.6) szntam erre a tmakrre. Tartalom tmrtse: a modern bngszk kpesek a tmrtett http tartalmat renderels s feldolgozs eltt kitmrteni. A TMG a forward s reverse proxy esetben is kpes tmrtett tartalmat kldeni a krnek. Ezzel svszlessget, csomagszmot takarthatunk meg.

7.2 P ROXY

TPUSOK

Hrom alapvet tpust klnbztetnk meg, az irny (forward, reverse) illetve a proxyzsban rsztvevk kapcsoldsa alapjn (web chaining, ami csak forward irny lehet). Az ISA/TMG szerverek mindhrom tpust egyarnt beptve tartalmazzk s hasznljk. A forward proxy az a tpus, amelyrl a legtbb sz esik, mert ez az elsdleges irny (bentrl kifel), ezt szrjk a legalaposabban, s itt zajlik a legtbb forgalom. Sokszor ezt az tpust illetik a web proxy kifejezssel is. A bels, vdett hlzatbl, a privt IP cm forrsok alkalmazsaitl (bngszk, zenetkld s egy programok) a publikus, nyilvnos hlzatok fel men irny forgalmt kezeli a forward proxy. ppen ezrt valamilyen automatikus mdszerrel (pl. Csoporthzirend, tzfal kliens), vagy vgs esetben manulisan gondoskodnunk kell arrl, hogy ezek az alkalmazsok lssk is a reverse proxyt. A javasolt irny a flexibilits miatt valamelyik automatikus detektlsi mdszer (CERN Proxy client esetben a WPAD, TMG Client esetben a WPAD vagy az SCP alap detektls).

7.1 BRA A FORWARD PRO XY MKDSE 6 LPSBEN

~ 150 ~

A PROXY SZERVER
1. A felhasznl a bngszjbl indt egy krst egy webszerver fel. A bngsz megtekinti a sajt web proxy belltsait, s ellenrzi, hogy tall -e az adott webszerverre egy konkrt utalst (mint kivtel). 2. Ha nincs a kivtelek kztt az adott cm (mert pl. nem a bels hlzatban van az adott webszerver), akkor a krs elmegy a proxy szervernek. A krs specialitsa az, hogy a krelembe az eredetileg bert URL, URI mezje szerepel. Vagyis a CERN proxy kliens nem prblkozik a nvfeloldssal. 3. A proxy szerver ellenrzi, hogy adott krs a definilt szablyok s belltsok alapjn engedlyezett-e? 4. Egyttal a gyorsttr tartalmt is csekkolja, mert ha az adott cl vagy annak legalbb bizonyos s rvnyes objektumai a helyi cache-ben megtallhatak, akkor ezeket elkldi a kliensek. s ha ez netalntn maradktalanul kielgti (brmilyen nagy is a cache, azrt ez egszen ritka) a klienst, akkor vge is a folyamatnak. Ha nem, a proxy tovbbkldi a sajt nevben a kls webszervernek. 5. A webszerver vlaszol, a proxy pedig a beizztott filtereknek megfelelve ellenriz. 6. Ha nem kell blokkolni, akkor a ISA/TMG egy msolatot elhelyez a gyorsttrban, majd kiszolglja a klienst. A reverse proxy elvileg ugyangy mkdik mint a nagy testvre, csak az irny ms, ugyanis ennek a proxy tpusnak a segtsgvel a kls kliensek szeretnk elrni a bels erforrsainkat, pl. a webszervernket.

7.2 BRA A REVERSE PROXY IS 6 LPS

1. A tvoli felhasznl a bngszjvel a weboldalunkat hajtja megnzni. A kliens rtelemszeren DNS egy lekrdezssel kezd, s ha minden jl megy, akkor a proxy szervernk publikus IP-jt kapja meg.

~ 151 ~

A KAPUN TL
2. A kliens elkldi erre az IP-re a krst, amelyet elszr a proxy szerver kezel le. 3. A proxy szerver elszr azt ellenrzi, hogy az URL rendben van-e58, majd azt is hogy adott krs a definilt szablyok s belltsok alapjn engedlyezett-e az elrs? 4. Egyttal a gyorsttr ellenrzsre is sor kerl, ugyanis ez a fajta tartalom is elrhet ily mdon. Ha nincs benne a kvnsg, vagy mr nem rvnyes, akkor a proxy tovbbkldi a krst a bels webszervernek. 5. A webszerver vlaszol (a proxynak termszetesen). 6. A proxy elkldi a tvoli kliensek a tartalmat. A web chaining (lncols) az utolsknt emltett a proxy tpusok sorban, ami nem vletlen, mert nem is mindennapos hasznlat. Elszr is ltalban tbb proxy szerver kell hozz, mivel az ezek kztti proxy krsek terelgetsrl van sz. A hasznlatnak oka lehet biztonsgi s a teljestmnnyel kapcsolatos, valamint szba jhet az infrastrukturlis ok is. Az elbbiek azrt fontosak, mert a proxyk egyms kztt a klnbz protokollokat klnbz biztonsgi rtegekben kezelik le, az utbbira pedig j plda a telephelyek-kzpont viszonylat.

7.3 BRA 3 SZEM LNC

58

Egyltalan URL-e, ami kap? Ti. ha pl. a kls IP cmnkkel jn a krs, s nem egy URL-lel, akkor (a publikl tzfalszablytl fggen) a proxy akr el is dobhatja a krst.

~ 152 ~

A PROXY SZERVER
Ebben a felllsban pl. az egy lehetsges hasznlati mdszer, hogy a telephelyeken lev TMG az rvnyes (szablyokba nem tkz) HTTP forgalmat egy- az-egyben elkldi egy tovbbi ellenrzsre s engedlyezsre a kzponti TMG-nek (vagy ms esetben lncban kvetkeznek). De tehetnk kivtelt is, ha pl. a telephelyen van internet hozzfrs, akkor az is szablyozhat hogy bizonyos domain nevek esetn hasznlja a sajt TMG-jt proxynak, mg minden ms esetben a kzponti TMG proxyja mondja ki a vgs szt. Azaz technikailag a lnc brmelyik eleme kiszolglhatja, megtagadhatja, vagy tovbbkldheti a tbbitl rkez krseket. Egy a val let szlte plda: egy kutat cg tbb orszgban telephellyel rendelkezik. A cgvezets elektronikus knyvtrakhoz s folyiratokhoz megvsrolt egy elfizetst. Az elfizets azonostsa IP cm alapjn trtnik. Hogy minden telephelyrl hasznlhassk a kutatk a folyiratot, ezrt a kzponti telephely IP cmre fizettek el. A klfldi telephelyek proxy kiszolgli az adott elektronikus folyiratok irnyba men krseket tovbbtjk a kzponti telephely proxy kiszolgljnak. gy minden telephelyrl az sszes kutat elrheti az elfizetett tartalmat. (A lektor megjegyzse.)

7.4 BRA TIRNYTSI VARICI K (N ETWORKING \W EB C HAINING )

~ 153 ~

A KAPUN TL
Ilyenkor a cache szablyzs is mkdhet gy, hogy a telephelyi TMG-k elszr a loklis cache-ben, majd a kzpontiban kutakodnak, de akr gy is, hogy csak s kizrlag a kzpontiban. s persze, az is elkpzelhet, hogy mondjuk a hierarchia felllstl eltekintve hogy egy Enterprise verzij TMG-kbl ll, cache tmbre irnytjuk t a felhasznlink krseit. Specilis tirnytsokat is kitlhetnk a web chaining szablyokkal (egy alaprtelmezett mr ltezik, de tetszleges szmt krelhatunk az ignyeink alapjn), pl. msodlagos tvonalakkal, de pl. DSL esetn az automatikus trcszs belltsainak egy rsze is itt tallhat. A Bridging fl alatt pedig a HTTP/S oda-vissza irnytst llthatjuk be.

7.5 BRA TIRNYTSI VARICI K (HTTP VS . SSL)

7.3 S ZERVER OLDALI

BE LLTS OK

A cmben ugyan nem kerlt megjellsre a termknv, mert gyakorlatilag nincs vltozs a TMG-ben ezen a terleten. A proxy szerver belltsai mindkt esetben a hlzatok egy-egy jellemz tulajdonsga, de nem mind, hanem igazbl csak az Internal s a Local Host tpus hlzatok, a VPN s az External ebbl kimarad.

~ 154 ~

A PROXY SZERVER

7.6 BRA A PROXY SZERVER F BE LLTSAI

Ezen a panelen els krben engedlyezhetjk/tilthatjuk a proxy szerver mkdst, valamint el kell dntennk, hogy HTTP vagy SSL alapon s milyen porttal valstjuk majd meg. A 8080 az alaprtelmezett illetve a 8443 az SSL-nl. Ez utbbi esetn a megfelel tanstvnyra is szksg lesz, a hitelestshez s a tikostshoz. A bngszk ezzel a mdszerrel nem nagyon tudnak mit kezdeni, de pl. ha a web chaining hasznlata felmerl, akkor hasznos lehet. A 8080-as portra figyeljnk oda, s ne jrjunk gy mint az egyszeri rendszergazda, aki mg a netstat -ano | find ":8080" paranccsal sem tallta meg az adott szerver hardvergyrtjnak egy korbban felteleptett RAID vezrl felgyeleti programjt, amelynek egy apr komponense szintn a 8080as porton mkdtt, csak nem volt hajland ezt elrulni magrl. A rszletek: http://www.microsoft.com/hun/technet/article/?id=ebf85f41-cc1d-4d98-9b2a69f8bf8fa5e4

~ 155 ~

A KAPUN TL

A Authentication gombot most ugorjuk t, ellenben tekintsk meg az Advanced alatti lehetsgeket.

7.7 BRA

Itt kt dolog az, amit konfigurlhatunk, egyrszt a kapcsolatok szmnak korltozsa, msrszt egy-egy kapcsolat idtllpsi rtke. Sosem gondoltam volna, de egyszer muszj volt egy krs alapjn utnanzni, hogy mennyi itt a maximum rtk, ugyanis egy specilis alkalmazsnak minimum 24 rig llandan tartania kellett a proxyval a kapcsolatot, nem szakadhatott le, akkor sem ha nem volt forgalom. Kidertettem, hogy 99999 sec, ami kb. 27 ra lehet a maximum. Lpjnk tovbb illetve vissza, s trjnk r a hitelests belltsra. Ez egy nagyobb llegzet tmakr, de mindig azzal kezddik, hogy ki kell dertennk, hogy milyen klienseink vannak (bngszk, Java, egyb alkalmazsok, ms platformokon is, stb.), s ennek megfelelen milyen tpus hitelestsi metdusra (vagy tbbre) lesz szksgnk, hogy mkdjn is a dolog.

~ 156 ~

A PROXY SZERVER

7.8 BRA

A hitelests lehet ktelez (Require all users to authenticate) vagy opcionlis, s ahogy mr elhangzott a 3 fle kliensbl csak az Secure NAT tpusnl nem mkdhet. A ktelezv ttelnek szmos elnye van, pl. az AD-bl vagy ms nvtrbl megszerzett felhasznl vagy csoportinf alapjn gy egyszeren tudunk hozzfrsi tzfalszablyokat generlni, ami lnyegesen hatkonyabb teszi ennek a rendszernek a kialaktst, pl. egy csak az IP-ken alapul szablyrendszerrel szemben. De a korrekt, felhasznlnv alapjn trtn naplzs, s az ezekre tmaszkod riportok teljessge is mlhat ezen. Azonban gondoljuk vgig, ha ktelezv tesszk a hitelestst, 1-2 tovbbi ktelezettsget is vllalnunk kell: 1. Az sszes szoftver, amelynek brmilyen internetes kapcsolata is van/lesz, csak olyan lehet, ahol a proxy inft lehetsges belltani. Ez vonatkozik a Jzus Szve Kft. knyvelprogramjra is, amit pl. csak az internetrl lehet frissteni. s persze vonatkozik a Microsoft termkre is, mondjuk egy WSUS-ra is, de ebben az esetben egyszeren lehet proxy auth inft kzlni, csak ehhez s a tbbi alkalmazshoz krelnunk kell egy felhasznlt, akinek lesz engedlye tjutni a proxyn. 2. Mindezt kikerlhetjk a tzfal klienssel, ami transzparens mdon megoldja ezt a problmt, ahogyan mr a 3.4 fejezetben volt is errl sz, de ez ugye csak

~ 157 ~

A KAPUN TL
Windows kliensre telepthet, s ekkor amgy is oda kell figyelnnk pr dologra (pl. VPN kapcsolatok a bels hlzatbl kifel, s egyebek).

7.4 H ITELESTSI MET DUSO K

A hitelestsi metdusoknl ttekintsnl nem sorban haladunk, hanem a felhasznlsi gyakorisg alapjn: Integrated Ha pl. a bngsznk minimum IE2 (igen!), akkor az Integrated hitelests mkdhet a httrben s NTLM-mel, Kerberossal 59 , vagy Negotiate alapon (klcsnsen egyeztetve). Ha tartomnyunk van, s a felhasznl be is lpett az OS-en keresztl, akkor az IE az ekkor megszerzett inft kldi el a TMG krsre, azaz ezzel hitelest alaprtelmezs szerint. A TMG pedig ennl a tpusnl hasznlhatja az rvnyestsre a Windows Security Support provider-t (SSP). Ezekbl is lthat, hogy mirt ez az alaprtelmezett hitelestsi mdszer: biztonsgos, a jelsz sosem megy t a hlzaton, s kzenfekv is hasznlni. Basic Ha ms bngsznk van mint az IE, akkor nem biztos, hogy mkdik majd az Integrated tpus, s mg az is lehet, hogy nem a httrben, azaz a felhasznl egy felugr hitelest ablakkal tallkozik, de azrt szerencsre nem weboldalanknt, hanem session-onknt eggyel. Ha a Basic metdust hasznljuk, akkor a hitelestsi adatok enkdolva (Base64), de nem titkostva utaznak a hlzaton, ami nem tl megnyer, mivel a Base64 pillanatok alatt, komoly erfeszts nlkl megfejthet. E metdus elnye teht a teljes kr kompatibilits, az alkalmazsokkal s a bngszkkel, de ennek ellenre pl. SSL nlkl nagyon nem ajnlott. Ha mgis ezt vlasztjuk, a kvetkez figyelmeztetst kapjuk a TMG-tl:

59

Ezzel akkor, ha minimum IE7-rl van sz.

~ 158 ~

A PROXY SZERVER
7.9 BRA A TMG SKIT

A Basic hitelestsrl mg annyit, hogy az ugyanezen ablakban lthat Select Domain gomb csak akkor hasznlhat, ha a Basic hitelestst is kivlasztottuk. E gomb alatt az alaprtelmezett tartomny mellett egy alternatvt is megadhatunk. SSL Certificate A TMG ebben az esetben a kliens oldali tanstvnnyal trtn hitelestst preferlja. Ehhez tipikusan egy intelligens krtyn vagy egy mobil eszkzn (pl. PDA vs. ActiveSync) megtallhat tanstvnyra lesz szksg.

7.10 BRA A TMG MEGINT SKIT

Ha ezt a hitelestst akarjuk hasznlni, akkor muszj a proxy szerver f bellt ablakban (7.4 bra) be kell lltanunk a web proxy portjt az SSL-re (s a tanstvnyt is mellkelni kell), erre figyelmeztet ez a felugr ablak. Digest A Digest egy rdekes llatfajta, mert ugyan a nevbl ez nem derl ki, de egy tpus mgtt valjban kett van. A klasszikus tpus a HTTP 1.1-et hasznlja, azaz a bngsznek ezt ismernie kell, valamint minimum Windows 2000 tartomny is kell hozz (erre figyelmeztet a kvetkez brn lthat zenet).

7.11 BRA A SKTS KONSTANS A D IGEST - NL IS

~ 159 ~

A KAPUN TL
No meg a legnagyobb problmra: a mkdshez a felhasznlk jelszavait (s nem a hash-eket) kell trolnunk az AD-ban . Ezt ugye a felhasznl tulajdonsgai kztt, vagy a Csoporthzirendben tudjuk belltani (Store password using reversible encryption), de szigoran tilos, s azt hiszem nem kell magyarzni az okot. Ellenben, ha az ISA2004/2006/TMG minimum Windows Server 2003 tartomnyban van, akkor az alaprtelmezs a Digest esetn a WDigest lesz. Ezt sehol sem ltjuk az UI-n, de higgyk el60. Ami mg fontosabb: ekkor mr nem kell a jelszavakat kzprdnak kitennnk. De azrt maradt egy-kt furcsasg tovbbra is, pl. a tartomny/usernv pros megadsa nagybet/kisbet rzkeny, ami semmilyen ms hitelestsi metdusra nem jellemz. RADIUS A Remote Authentication Dial-In User Service (RADIUS) egy hlzati protokoll (RFC 2865), ami kzpontostott hitelestsre krdst kpes megoldani. Tbb helyen is hasznlhatjuk, pl. munkacsoporti tagsggal tartomnyba trtn hitelestshez (lsd ISA 2004/2006 Enterprise szerverek), tartomnyi felhasznlk WLAN Access Point-kon keresztli belpse, s mg sorolhatnnk. A TMG teht kpes RADIUS kliensknt viselkedni s pl. a ms platformrl kapott RADIUS felhasznli hitelest adatokat fogadni s tovbbkldeni a bels RADIUS szervernek61, amely viszont az AD-val van kapcsolatban, gy bezrdik a kr, s mkdik a hitelests a RADIUS nvtrbl is. A mkdst tekintve egy tovbbi fontos informci, hogy ha a RADIUS hitelestst hasznljuk, akkor a forgalom a kliens alkalmazsok (pl. a bngszk) s a TMG kztt megint csak a Basic metdus, annak sszes ismert htrnyval. Illetve itt rdemes megemlteni, hogy a RADIUS forgalomban a RADIUS kliens (esetnkben a TMG) elkldi egy krst a RADIUS kiszolglnak, vagy egy RADIUS Proxy-nak. A krs gy hangzik nagyon leegyszerstve, hogy XY felhasznlnak van-e hozzfrse. A RADIUS kiszolgl a RADIUS hzirendek alapjn megvlaszolja a krdst, egy hatrozott IGEN vagy NEM-el. mi nincs itt ami egyb azonosts esetn van? Sok dolog, de pl. nincs informci a felhasznl csoporttagsgrl. Vagyis, ha ksztnk egy TMG szablyt, amiben azt mondjuk, hogy tartomny\csoportnak van joga az adott szablyon s RADIUS-t hasznlunk akkor a felhasznlnk hiba tagja a csoportnak, a TMG e zt nem
60

Ha nekem nem hisszk el, akkor: http://technet.microsoft.com/en-us/library/cc780170(WS.10).aspx

61

Methogy a Windows szerverekben is van egy RFC kompatibilis, teljesrtk RADIUS szerver, amit a Windows Server 2003-ig IAS-nak (Internet Authentication Server) hvtak, a Windows Server 2008 ta pedig az NPS (Network Policy Server) rsze.

~ 160 ~

A PROXY SZERVER
ltja. gy vagy egyesvel felvesszk a felhasznlkat egy User Set-be a RADIUS nvtrbl, vagy hasznljuk az All Authenticated Users elre ltrehozott csoportot., ami tartalmazza az sszes elrhet nvtr kztk a RADIUS nvtr sikeresen azonostott felhasznlit.

7.12 BRA I DE KELL FELVENNNK A RADIUS SZERVEREKET , NVVEL , PORTTAL S A SHARED SECRET KULCCSAL

7.13 BRA A SKTS EGY VGTELEN DOLOG

A RADIUS bekapcsolsakor a figyelmeztets (7.8 bra) arra a clra szolgl, hogy rjjjnk, hogy a RADIUS csak s kizrlag nmagban hasznlhat hitelestsi metdusnak szmt. Viszont a RADIUS hasznlatnl kt dolgot felttlenl a Kedves Olvas lelkre kell ktnnk:

~ 161 ~

A KAPUN TL
A RADIUS kliens (esetnkben a TMG) s a RADIUS kiszolgl kztt van egy pre-shared key alap azonosts. Ezt a pre-shared key-t rendszeres idkznknt illik cserlni, mint a fogkeft. s egy igazn komplex jelszt hasznljunk erre a clra. Igazn komplex jelsz ers technikai felhasznlk esetben minimum 32 karakter hossz pass-phrase, amiben specilis karakterek is vannak. Szemlyes kedvencem a GUIDGEN-el generlt tbb GUID sszefzse . A RADIUS kliens (mg mindig TMG) s a RADIUS szerver kztti forgalmat a RADIUS protokoll nem vdi. Ezrt az ipargi szabvny az, hogy ezt a forgalmat egyb megoldssal kell vdeni. Vagy IPSec, vagy fegyveres rrel vdett lengkbel amin keresztl elri a RADIUS kliens a RADIUS szervert. Azt hiszem az IPSec egyszerbben implementlhat, s tegyk is meg. Ne ringassuk magunkat abba a hitbe hogy ezt nem kell vdeni. (A lektor megjegyzse)

7.5 A UTO D ISCOVERY

MEGOLDSOK

Az elz kt alfejezet a proxy szerver oldali belltsairl szlt, a 3.4 fejezetben pedig ugyanezt taglaltuk a klienseknl is. Ez szp s j, de sok esetben azt is meg kell oldanunk, hogy a szerver es a kliens automatikusan egymsra talljon. Persze manulisan is be lehet gpelni a proxy cmt62 (de nem mindig s mindenhova), de ez egyrszt nem elegns, msrszt nem praktikus ha pl. sok gpnk van, illetve akkor sem, ha vltozik a TMG cme vagy adott esetben egy msik TMG-t kell hasznlniuk a klienseknek. s van mg egy olyan forgatknyv is, amikor nehz a kliensek lete, s ez pedig az a helyzet, amikor valamilyen okbl az alaprtelmezett tjr nem lehet a TMG-n bels lba, de azrt a klienseknek muszj ltni a proxy is, ilyenkor is. Nos, hrom eszkznk is van, ami igazbl csak kett, mert az els kett gyakorlatilag szoros rokonsgban van, egyms nlkl nem is mkdnek, s mindkett egy hlzati megkzeltst jelent, a maradk pedig egy TMG jdonsg s az Active Directory-t hasznljuk majd hozz. WPAD Teht egszen a TMG-ig, a web proxy s a tzfal kliensek szmra csak a Web Proxy Automatic Discovery (WPAD) jelentette az egyetlen megoldst. Ez egy olyan protokoll, amely segtsgvel a kliens kpes nllan, a httrben felfedezni a proxyt, majd egy szkriptet hasznlva az alkalmazsok rtsre tudja hozni ezt az informcit.
62

Most a Csoporthzirendbe bert proxy informcikat vegyk ki a kpbl, mert elszr is ezt is vltoztatnunk kell, ha a vltozik a TMG cme/neve, msrszt nem hasznlhatjuk csak az IE-hez, harmadrszt ez ugyan sokat segt, de vgl is mgiscsak egy manulis megolds, ami pl. egy laptop hazavitele esetn mris problmt okoz.

~ 162 ~

A PROXY SZERVER

A WPAD protokoll a Microsoft tallmnya, s az IE5 ta hasznlhat. Ugyan a Microsoft bejegyezte az IETF-hez a szabvnyosts rdekben, de a benyjts elvlt 1999-ben, az eredmny, azaz az ajnls elfogadsa nlkl. Ettl fggetlenl termszetesen hasznlhat maradt, s az IE mellett pl. a Firefox bngszkben is alkalmazhat. A detektlshoz elszr is el kell ksztennk a TMG-t, majd pedig a kt kzvett szolgltatst. Ezek a kzvettk az DHCP illetve a DNS szerver lesznek. A kliens (ebben a sorrendben) ezekhez fordul majd a WPAD bejegyzsrt, majd ennek rtelmben az adott TMG-hez, alaprtelmezsben a TCP 80-as portot hasznlva (de ha a DNS a kzvett, akkor amgy is csak s kizrlag ez a port jhet szba). Ezutn a kliens a kapott konfigurcis fjlban lv inft felhasznlva belltja nmagt (majd le is cacheeli a tartalmt), s nyertnk.

7.14 BRA A PUBLIKLS RM EGYSZER

~ 163 ~

A KAPUN TL
A TMG hlzatonknt engedlyezi szmunkra az automatikus szlels belltst (na persze a VPN-ek s a Local Host itt is kimarad), ergo csak azokban a hlzatokban kell ezt belltani, ahol ezt a lehetsget elrhetv hajtjuk tenni. Ezt a panelt egybknt az adott hlzat tulajdonsgai kztt, az Auto Discovery fl alatt talljuk. Ez mg csak a bemelegts volt, nzzk meg teht elsknt DHCP szervert. A konzolban a szervernk neve alatt az IPv4-es szakaszban63 a tulajdonsgok kzl vlasszuk a Predefined Options pontot (de lehetsges csak egy adott szkpban is, ha csak ezek a gpek rintettek). 1. A Predefined Options and Values ablakban > Add. 2. Az Option Type alatt a nv legyen a WPAD, a Data type: String, a Code pedig: 252, majd jhet az OK. 3. A Value/String mezbe rjuk be a TMG-nk cmt, a portot s a fjl nevt, a kvetkez brt mintul vve, majd OK. 4. Nyissuk ki a szkpunkat, majd Scope Options > Configure Options. 5. Keressk meg (knny lesz, ez az utols) s kattintsuk be a 252 WPAD opcit s kszen is vagyunk.

7.15 BRA A GY NZ KI EGY WPAD OPCI A DHCP- BEN

63

Itt az egyetlen klnbsg az ISA-hoz kpest: a TMG-ben IPv6 alapon is bellthatjuk mindezt, hiszen a konfigurcis fjl tmogatja ezt.

~ 164 ~

A PROXY SZERVER
A DNS szerver felksztse egyszerbb. A cmkeressi znnkban (az sszes rintettben, mg a deleglt znkban is) hozzunk ltre egy j Alias (CNAME) rekordot amelynek az aliasa a wpad sztring legyen, az FQDN-je pedig a TMG szervernk komplett domain neve. Kt dolog, az amivel ads maradtam ebben a fejezetben: 1. Brmilyen meglep, a DHCP hasznlhat statikus IP bellts klienseken is, pl. a fejezet trgyaknt szolgl feladatra. Ezt gy kell elkpzelni, hogy egy alkalmazs krheti a Windows-t arra, hogy egy n. DHCP Inform zenetet kldjn. Ilyenkor a DHCP Inform tartalmazza azt, hogy melyik DHCP options-t (esetnkben a 252-t) kri a kr. A DHCP server vlaszknt az adott DHCP options-t visszakldi s kszen is vagyunk. Ez statikus bellts kliensen is mkdik. 2. A msik pedig az, hogy Windows Server 2008-tl felfel a DNS szerver (kiszolglnknt kln-kln!) a WPAD s az ISATAP rekordot alaprtelmezs szerint egy n. global query block listre teszi64, s ha ezzel nem vagyunk tisztban, nem fog mkdni a WPAD rekordunk. Gyzdjnk meg ezen rekordok tiltsrl vagy engedlyezsrl a dnscmd . /info /globalqueryblocklist paranccsal. A WPAD szkript s protokoll Az egsz eddig jtk azt a clt szolglta, hogy megszerezzk a wpad.dat konfigurcis fjlt, a leghitelesebb forrstl, magtl a TMG szervertl. rdekessgszmba megy, hogy eme szkript eredeti specifikcija a Netscapetl szrmazik, 1996-bl. Aki minimum 30 ves, mg simn emlkezhet erre az akkor remeknek szmt bngszket s ms internetes klienseket fejleszt cgre (no s persze volt egy nagyvllalati proxy szerverk is, m pl. a szkriptjk a .pac kiterjesztst hasznlta). http://web.archive.org/web/20080208114016/http://wp.netscape.com/eng/mozil la/2.0/relnotes/demo/proxy-live.html A szkript Jscript formtum (ezt univerzlisan rtik a bngszk), alaprtelmezs szerint kb. 5 Kbyte, s jpr dologra fny derlhet a tartalmbl a kliensek eltt. Konkrtan: mi trtnjen akkor pl., ha egy krt protokoll nem tmogatott a web proxy ltal? Vagy melyek azok a clcmek, amelyek proxy nlkl is elrhetek? Vagy mi trtnjen akkor ha a TMG nem elrhet? Vagy melyek azok a cmek, amelyeket a CARP

64

Pl. a DirectAccessnl is fel kell ezt oldanunk az ISATAP apropjn.

~ 165 ~

A KAPUN TL
(Cache Array Routing Protocol, a nagyvllalati, tmbstett gyorsttr) nem gyorsttraz? Egybirnt a fjl tartalmaz egy TTL bejegyzst is, amely lejrta utn a kliens trli a letlttt tartalmat, majd kr egy jat. gy alakul ki a korrekt, mindig pontos tartalom, s egyben ez a vltozsok rvnyestsnl is alapveten lnyeges krlmny.

7.16 BRA C SAK AZ ELEJE ILYEN RTHET

Br igen izgalmas tma ez, tovbbi rszletekbe itt mr nem megynk bele, ellenben tallunk bven forrst a neten, pl. itt: http://technet.microsoft.com/en-us/library/cc713344.aspx Forefront TMG Auto Discovery Configuration Tool A TMG-vel s az j tzfal klienssel egy tisztbb, szrazabb megoldst is kapunk. Ugyanis innentl az Active Directory-t hasznlhatjuk is a wpad.dat lelhelynek trolsra (gyakorlatilag ez egy SCP, azaz Service Connection Point, mint az Exchange AutoDiscover-nl), ami egyrszt biztonsgosabb, msrszt lnyegesen kzrellbb a

~ 166 ~

A PROXY SZERVER
kivitelezse. Az j megolds nem zrja ki a rgieket, csak ppen optimlis esetben (ez mg lnyeges lesz!) a sorban htrbb tasztja, rtelmesebben szlva tartalk mdszerr fokozza le.

7.17 BRA A Z J TZFAL KLIENSBEN ILY EN IS VAN

65

A manverrl: 1. A tzfal kliens LDAP lekrdezssel az AD-bl kiszedi a TMG elrsi tjt illetve a portjt. 2. Ha brmilyen ok miatt nem tud kapcsoldni az AD-hoz, akkor nincs failover (erre hoztam fel az elbb az optimlis esetet), azaz ilyenkor egyltaln nem rdekli az esetleges DHCP/ DNS inf, hanem bont. 3. Ha van AD kapcsolat, de res a WPAD inf, akkor jhet elszr a DHCP, majd a DNS mdszer. Hogy rjk el ezt? Nem is bonyolult.
65

Nzzk csak meg alaposan a tzfal klienst: van egy negyedik fle! De errl majd a 9.2 fejezetben lesz sz.

~ 167 ~

A KAPUN TL
1. Tltsk le a TMG 2010 Tools & Software Development Kit-bl a Auto Discovery Configuration Tool for Forefront TMG 354 Kbyte-os kis csomagjt (a btban mg ezt AD Marker Tool-nak hvtk). 2. Teleptsk fel a TMG szerveren.

7.18 BRA M R TELEPL IS

3. Goto admin parancssor (sortrs nlkl): tmgadconfig add -default -type winsock -url http://a.szervernk.fqdn.neve:port/wspad.dat66 4. Ksz. Hromfle mdon gyzdhetnk meg a sikerrl (a harmadik az igazi, az els kett csak rdekes): 1. Indtsunk a tartomnyvezrln egy ldp.exe-t s a szoksos mdon navigljunk el az utols kpen lthat helyre. 2. Kliens OS > parancssor > C:\Program Files (x86)\Forefront TMG Client, majd "fwctool testautodetect"
66

Kicsi furcsasg: a tmgadconfig.exe elrsi tja nem a szoksos TMG mappa, hanem a \Program Files (x86)\Microsoft Forefront TMG Tools\AdConfig

~ 168 ~

A PROXY SZERVER
3. Teleptsk fel az j tzfal klienst, s ha a telepts elejn bepipljuk az automatikus belltst, a vgn meg kell jelennie a tzfal kliensben a szervernk nevnek (a sorrend belltst lsd az els kpen).

7.19 BRA A Z LDP . EXE - VEL MINDIG MINDEN KI DERL

Microsoft Forefront Threat Management Gateway (TMG) 2010 Tools & Software Development Kit http://www.microsoft.com/downloads/details.aspx?FamilyID=8809cfda-2ee14e67-b993-6f9a20e08607&displaylang=en

7.6 C ACHE

AVAGY TRAZZUNK GYORSAN

Azt vettem szre az elmlt - kb. egy vtizedet fellel ISA s TMG tanulmnyaimban -, hogy kiss mostoha tma ez a klnbz knyvekben s tanfolyamokon (s magban a termkben is htraszorult kiss az vek sorn), pedig komoly elnykre tehetnk szert e tmakr megfelel ismeretvel s alkalmazsval. A TMG webes gyorsttrval akr feltn teljestmnynvekedshez (azaz jelents vlaszid cskkentshez) is juthatunk, ugyanis lehetsges gy hangolni a proxyt, hogy a gyakran lekrt objektumokat trolja el, s a felhasznlkat helyben, a TMG szolglja ki. Ezt a technikt ismerhetjk a bngszk hasonl mdszerbl is, csakhogy ez egy lnyegesen sszetettebb megoldst takar, granulris szablyzssal, nem beszlve arrl, hogy mr kt felhasznl esetn is 100%-kal tbb lehet a hasznos, eltrolt tartalom (na j, csak akkor ha sosem nzik ugyanazokat az oldalakat ).

~ 169 ~

A KAPUN TL
Persze a sosem elg tpus svszlessg nem fog fizikailag nni, de a felhasznlk komfortrzete viszont biztosan, nem beszlve pl. a mindenkppen szksges letltsek (pl. biztonsgi frisstsek) hasznlatnak krdsrl. Bevezetsknt mg annyit megemltenk, hogy ugyan mr a TMG Standard verzijban is egy kifinomult cache fjl- s tartalom szablyzst kapunk, de ez semmi az Enterprise verziban hasznlhat CARP (Cache Array Routing Protocol) megoldshoz kpest. Az egy nagygy, de az alapverzival is azrt lehet nagyokat lni. 7.6.1 H O G Y A N M K D IK A W E B P R O XY C AC H E ? Az ISA s a TMG szerverek a HTTP s az FTP objektumok gyorsttrazst kpesek elvgezni, RAM-ba s lemezre (ebben a sorrendben), s a forgalom szempontjbl mindkt irnyba. A Forward Caching a tipikus irny, hiszen valsznleg a bels hlzatbl tbb webszerver tartalmat tekintenek meg a felhasznlk, mint amennyi kls krs a sajt webszervernk fel ramlik. Nzzk meg elszr, hogy hogyan trtnik a gyorsttr feltltse.

7.20 BRA A FORWARD CACHE MKD SE , I RSZ .

1. Szval, amikor a felhasznl a sajt gprl egy HTTP/FTP objektumot szeretne elrni, a web proxy kliens odafordul a proxy szerverhez, s kezddik a nsztnc. De, alaprtelmezs szerint a Firewall szerviz a tzfal s a SecureNAT kliensektl szrmaz HTTP krsket is forwardolja, ergo minden kliens lvezheti a gyorsttr ldsos mkdst, de mindig csak a web proxyn keresztl.

~ 170 ~

A PROXY SZERVER
2. Az els lpsben a TMG ellenrzi, hogy esetleg nincs benne-e ez a tartalom a gyorsttrban. Ha nincs, vagy ha az rvnyessge mr lejrt (ez pl. a fejlc inf alapjn kiderlhet), akkor a TMG tovbbkldi a krst a tvoli webszerver fel. 3. A TMG megkapja a vlaszt (s a tartalmat) a webszervertl. 4. A Web proxy elhelyezi ezt a tartalmat a memriba (RAM). Ez az els lpcs, ami ide bekerl, az villmgyorsan kiszolglhat lesz, de nyilvn nem korltlan ideig s mretben. 5. A TMG kiszolglja a felhasznlt, azaz elkldi neki is a tartalmat. 6. Egy id utn a web proxy a RAM-bl tmsolja a merevlemezre ezt a tartalmat. Ha nincs srn hasznlva, akkor a RAM-bl ki is kerl vgelegesen, azaz innentl csak a lemezrl lesz elrhet. Ez volt bekerls menete, idig mg nem segtettnk semmit a klienseken, de most akkor nzzk meg, hogy hogyan szolglja ki a TMG az ugyanezen tartalom fell rdekld msodik klienst.

7.21 BRA A FORWARD CACHE MKD SE , II. ( BEFEJEZ ) RSZ .

1. A msodik jelentkez az eddig megismert folyamatnak megfelelen felkeresi a TMG-t a krsvel, a TMG pedig rutinbl letolja azt a web proxynak. 2. A web proxy megtekinti a gyorsttr kt rszben elfordul tartalmt (RAM, diszk) majd ha tall megfelel tartalmat, akkor annak rvnyessget is. Ha minden rendben van, akkor elkezdi kiszolglni a klienst 3. A kliens bngszjbe megrkezik a tartalom, anlkl hogy az bra jobb szln lv kls webszervert zargattuk volna.

~ 171 ~

A KAPUN TL

A msik f tpus, a Reverse Caching lnyege a webszervernk tartalmnak gyorsttrazsa. Ha egy krs rkezik a bels, vagy a Perimeter hlzatban lv webszervernkhz, akkor az elszr valjban a TMG-hez rkezik meg. Az adott publikl szablynak megfelelen a TMG tovbbkldi a krst a webszervernek, amely aztn vlaszol, elszr megint csak a TMG-nek. Ekkor az ppen jelen lv tartalom lemsoldik a gyorsttrba a mr ismert lpsekben, s gy jbl kiszolglhat lesz az esetleges ismtelt kls krsek apropjn. A knyelmi szolgltatsok szintjt tovbb emelhetjk, az n. Content Download Job megoldssal, amely segtsgvel idztett letltsek elvgzsre, majd az eredmny gyorsttrba pakolsra utasthatjuk a TMG-t. A cache finomhangolsa sorn erre mg visszatrnk. A mkdshez hozz tartozik mg a cache kezelse is, optimalizlsa is. Pldul tbb sz is esett mr az rvnyessgrl, ami kifejezetten fontos, egy szgletes pldt emltve, egy tzsdei adatokat tartalmaz weboldal legtbb objektumt nem trolhatjuk el rkk, s nem adhatjuk oda a felhasznlnak, mint egy j tartalomknt. ppen ezrt, brmilyen objektum is kerl be a TMG cache-be, rgtn egy Time-to-Live (TTL) rtkkel lesz elltva, amely lejratig szabad csak kiszolglni a klienseknek. A TMG maga is kpes ezt az rtket belni pl. a ltrehozs s a vltoztats dtumnak alapjn, illetve mi is tudjuk ezt az rtket vltoztatni globlisan s egy-egy cache szablyon keresztl is. s persze egy lnyeges dolgot ne felejtsnk el, ha az adott weboldal egy meta tagja szerint mr van gyrilag belltott lejrata az oldalnak, akkor azt a TMG elsdleges jelleggel veszi figyelembe. Egybknt sem trtnik meg minden tartalom automatikus gyorsttrazsa, a kivtelek listjban a kvetkezek biztosan benne vannak: A HTTP response header alapjn: Cache-control: no-cache; Cache-control: private; Pragma: no-cache; www-authenticate; Set-cookie A HTTP request header alapjn: Authorization, Cache-control: no-store A cache optimalizlsa egy sok tnyezs feladat, amelyben a TMG a kvetkez dolgokat veszi figyelembe: - A trolsi sorrendrl volt mr sz, azaz elszr a gyors RAM, majd a merevlemez a sorrend. De emellett a RAM-ban trolt tartalom egy mappaszerkezet szer formtumban trtnik, gy gyorstva az elrs s fleg a megtalls idtartamt. - A TMG egyetlen fjlban trolja a merevlemezen a gyorsttr tartalmt, amelyet a ltrehozsakor elre le is foglal fjlrendszerben, az ltalunk belltott mret

~ 172 ~

A PROXY SZERVER
alapjn. Prhuzamosan, tbb partcira is elpakolhatjuk a gyorsttrat, ilyenkor partcinknt egyetlen fjlban leledzik majd a tartalom. Ez szintn az elrs gyorstst jelenti, hiszen nem 10.000 fjlt kell nyitni-zrni, hanem mondjuk egyet. A TMG villmgyorsan kpes a gp indtsakor felpteni a gyorsttrat (a szerkezettel egytt, mert a lemezen is ilyen formban troldik az adott fjl belsejben), akkor is, ha valamilyen zr tmadt a fjlrendszerben, vagy pl. egy nem tervezett lells utn. Mind a RAM, mind a merevlemez esetn a TMG automatikusan eltvoltja a nem sokat vagy nem srn egyms utn elrni kvnt tartalmat s akkor mindenkppen, ha a mindkt esetben bellthat mrethatrhoz kzelt a gyorsttr.

7.6.2 A G Y O R S T T R F IN O M H AN G O L S A Ennyi elmlet utn nzzk meg a TMG gyorsttr bellthat tulajdonsgait s pl. a cache szablyok ltrehozst s mkdst. A TMG-ben a cache belltsok kikerltek a faszerkezet legfels szintjrl s immr a legegyszerbben a Web Access Policy-bl rhetek el (Web Caching a kzps keret fejlcben). Ha engedlyezve van (alaprtelmezs szerint nincs) s ezt megnyitjuk, egy t fllel rendelkez panel kapunk, amelybl az els csak az sszegz, azonban a msodik (Cache Drives), a klnbz partcinkon mr lefoglalt cache jellemzit sorolja fel. Ha itt a konfigurlst vlasztjuk, akkor szintn partcinknt ltrehozhatunk lefoglalsokat a cache szmra. A cache trlse is csak innen mkdik, ti. ha megkeressk a fizikai megjelenst a fjlrendszerben (pl. D:\urlcache\Dir1.cdat), akkor ott hiba prblkozunk a trlssel, a TMG nem engedi67. Ha viszont itt nullra lltjuk a Set gombbal vagy hasznljuk a Reset gombot, akkor trltk is. Ha ez volt az egyetlen partci, amelyen a cache-t troljuk, akkor a Web Access Policy keretben is Disabled llapotra vlt a gyorsttr llapota.

67

Amg megy a Firewall szerviz, ha viszont lelltjuk, sima gy a trls.

~ 173 ~

A KAPUN TL

7.22 BRA A MENNYISG SZMT

Ha viszont mr itt tartunk, nzznk meg egy-kt megszortst illetve ajnlst a cache trolsval kapcsolatban: - Kizrlag egy helyi NTFS partci jhet szmba a cache trolsra. - Partcinknt maximum 64 GB lehet a cache mrete. - Ha van vruskeres, akkor hatsa all vegyk ki a cache helyt. - Nagyon clszer egy kln lemezre elhelyezi a cache-t, lehetleg egy olyanra, amelyet mssal nem is terhelnk, s ami nagyon gyors elrssel rendelkezik68. - Rendszerlemezre s arra a lemezre/partcira amelyen a pagefile van, szintn nem ajnlott a cache-t tervezni amelynek elssorban megint csak teljestmny okai vannak. - Cache mret kiszmtsa = mret + (user*0,5MB) = 4000MB + (100*0,5) = 4050MB - Lemezek szma = (Peak request / sec * Cache Object hit ratio)/100 = 1500*0,4 / 100 = 6 lemez

68

Best Practices for Performance in ISA Server 2004 (benne pl. a cache mretezs, kplettel, egyebekkel): http://technet.microsoft.com/en-us/library/cc302518.aspx

~ 174 ~

A PROXY SZERVER
Ha tovbblpnk, a Cache Rules flre akkor a cache mkdst alapveten befolysol szablyokat tudjuk megtekinteni. A TMG esetn kettvel mr rendelkeznk is a telepts utn, egy alaprtelmezettel, illetve a Microsoft Update Cache Rule nevvel. Vegyk figyelembe hogy sorszmokat is ltunk itt, ami nem vletlen: a szablyok vgrehajtsnak sorrendje a hozzfrsi tzfalszablyoknak felel meg s a jobb als sarokban lev nyilakkal varilhatjuk.

7.23 BRA A KT ALAPSZABLY

Az alaprtelmezett szably (Default rule) egy alig mdosthat szably a gyri alapbelltsokkal (hogy akkor is mkdjn a cache), ha megnyitjuk, minden opci szrke. Ugyanez a helyzet ez 1. szmval is, ami viszont az ISA szerverekben mg nem volt gyrilag mkd, de itt mr igen. Ez a szably az sszes Windows/Microsoft Update oldal tartalmt gyorsttrazza. Ennek komoly elnye lehet akkor, ha nincs WSUS, vagy SCCM a rendszerben, hiszen akkor a kliensek biztosan tbbszr s viszonylag srn ltogatjk ezeket a szervereket. Amennyiben ez neknk felesleges akkor trlhetjk, letilthatjuk vagy akr mdosthatjuk is ugyanitt, de az is lthat hogy az export/import is innen indulhat.

~ 175 ~

A KAPUN TL
De most hozzunk nzzk meg egy cache szably ltrehozsa kzben, hogy milyen rszleges lehetsgeink vannak e terleten.

7.23 BRA E Z EGY NV

A nv meghatrozsa meg kell hatrozni a krs alanyt. Az itt meghatrozott alanyhoz rkez krsekre fog vonatkozni a ltrehozott gyorsttr konfigurcis szablyunk. Mint az a kvetkez brn lthat, a lehetsgek szma a forrs kijellsre egszen tgas.

~ 176 ~

A PROXY SZERVER

7.24 BRA R ETTENT SOKFLE HELY RE RTELMEZHET A CA CHE

Vlasszuk ki pl. a bels hlzatot, aztn lpjnk tovbb.

~ 177 ~

A KAPUN TL
7.25 BRA H ROMFLE FELTTEL A KISZOLGLSRA

Nos, ez itt mr egy komolyabb dolog, mint az eddigiek. Azokat a feltteleket szabjuk itt meg, amelyek alapjn megkaphatja a felhasznl az adott tartalmat. Only if a valid version of the object exists in the cache. If no valid version exists, route the request to the server: Csak akkor kapjuk meg, ha mg rvnyes a tartalom. Ha nem, a krs tovbbtdik a cl kiszolglhoz. If any version of the object exists in the cache. If none exists, route the request to the server: Ha van brmilyen passzol tartalom a cache-ben, akkor azt kiadja a TMG. If any version of the object exists in the cache. If none exists, drop the request (never route the request to the server): A klnbsg az elzvel szemben az, hogy az ha ezt vlasztjuk, akkor ha nincs brmilyen passzol tartalom, akkor soshasem kldi tovbb a felhasznlt a cl kiszolglhoz a TMG. Kicsit nehz ennek a pontnak az rtelmt megtallni, de taln az egy elkpzelhet eset, hogy egy korbban mr letlttt tartalmat akarunk megmutatni mondjuk egy tantsi ra keretben, de a netre semmikppen ne m mehetnk ki ekzben. Illetve akr a Schedule Download Job segtsgvel egyszer, egy szmunkra kedvez pontban letltttk a cache-be az adott tartalmat s gy csak azt szabad bngszni.

~ 178 ~

A PROXY SZERVER

7.26 BRA M I KERLJN BELE ?

A most kvetkez belltsok a cache-be kerls feltteleivel foglalkoznak. Never, no content will ever be cached: Ez egy kifejezetten fontos opci. Ha egy vagy tbb oldalt egyltaln nem akarunk gyorsttrazni, akkor kszthetnk r olyan szablyt, amelyben itt krjk a tiltst. Persze, akkor a mostani pldban a legelejn emltett Internal hlzat helyett egy URL Set-et vegynk fel (s ebbe tegyk bele a kvnt webcmeket). If source and request headers indicate to cache: Minden tartalom mehet a cachebe, ha meg van jellve erre. In addition, also cache: Dynamic content: Mehet azok a dinamikus tartalmak is, amelyeket pont azrt nem szoktunk eltrolni, mert vltoznak (az URL-ekben az els krdjel (?) utni kvetkez sztring szakasz jelli ezt ltalban). In addition, also cache: Content for offline browsing (302, 307 responses): Mg azok az oldalak is mehetnek a cache-be, amelyek ezekkel a HTTP sttusz kdokkal jelltek (ideiglenesen thelyezve, illetve tirnytva) In addition, also cache: Content requiring user authentication for retrieval: Nos, ez a lehetsg tnhet feleslegesnek is, hiszen a hitelestshez kttt tartalom letrolsrl szl.

Nos, ha nem egy adott URL Set tiltst krjk, akkor van mg tovbb is.

~ 179 ~

A KAPUN TL

7.27 BRA KT HALAD OPCI

Itt elsknt szablyozhatunk mretre, azaz megtilthatjuk azt, hogy egy brmekkora objektum is bekerljn a cache-be. Ennek a HTTP letltsek, vagy az FTP tartalom apropjn lesz igazn rtelme. De - s ez szintn furnak tnik elsre krhetjk az SSL tartalmak trazst is. Da ha tudjuk, hogy mindezt csak az SSL Bridging-re vonatkozik (lsd 9.3 fejezet), akkor mr nem is olyan fura.

~ 180 ~

A PROXY SZERVER

7.28 BRA A HTTP GYORSTTRAZS FELT TELEI

Most ismt egy komplexebb belltscsokor jn. Elszr is engedlyezhetjk a HTTP tartalom eltrolst, s ha szeretnnk ezt, akkor konfigurlhatjuk a mr ismers elvlsei idtartamot, amely alapesetben 20%-kal van megnvelve az eredeti tartalom TTL-jhez kpest. De tovbbi finomhangols is lehetsges a kvetkez rszben, ahol a nem kevesebb s a nem tbb rtkeket is bellthatjuk. St, a Also apply these TTL boundaries to sources that specify expiration bepiplsval fellrhatjuk az oldallal rkezett rvnyessgi jelzseket, az itt megjelltekre, ami egy kicsit mr veszlyesnek is tnik szmomra, de ezt mindenki nllan dnti majd el.

~ 181 ~

A KAPUN TL

7.29 BRA A Z FTP- NL KEVESEBB OPCI V AN

A kvetkez bellts valsznleg segt abban, hogy megrtsk az imnti HTTP -re vonatkoz tiltst rtelmt, ti. itt kln vlaszthatjuk az FTP forgalom gyorsttrazst, s a HTTP-tl fggetlen szablyt is legyrthatunk az FTP-re, kln TTL-lel. Gyakorlatilag kszen is vagyunk, ezutn mr csak az sszegz kperny jn, majd az rvnyests, illetve az adott szablyunk igny szerinti sorrendbe lltsa. Trjnk vissza a f ablakba, ahol a negyedik fl az idztett letltsek (Content Download Job) szintn rdekes terletre vezetnek el bennnket. Egy-egy feladat varzslsbl csak egy kpet mutatok meg, ahol a letltend oldal cmt, a letlts adott webszerveren belli mlysgt, illetve az objektumok s a letltshez hasznlt prhuzamos TCP kapcsolatok korltait llthatjuk be.

~ 182 ~

A PROXY SZERVER

7.30 BRA A KR MINDEN REGGEL 8.55- KOR LETLTHETJK

Mr csak egyetlen fl maradt (Advanced), de ez ismt globlis jelentsggel br, s nhny nagyon fontos bellts is helyet kapott itt. - Cache objects that have an unspecified last modification time: Mi legyen azokkal az oldalakkal, ahol nincs beptve a fejlcbe TTL rtk? Ha bepipljuk, akkor az cache szablyokban szerepl TTL opcik lesznek rvnyesek az ilyen oldalakra. - Cache objects even if they do not have an HTTP status code of 200: Az n. negatv gyorsittrazs engedlyezse. Ugyangy mint a DNS-nl itt is van lehetsg arra, hogy a klnbz okokbl hibs oldalak (HTTP 203, 300, 301, 410 sttuszkdok) eredmnye el legyen trolva. gy idt takarthatunk meg, mert csak a TTL lejrtakor vizsglja meg a TMG, hogy l-e a korbban nem mkdnek jellt oldal. - Maximum size of URL cached in memory (bytes): Az URL-ek maximlis szma, amelyet eltrolhat a TMG a memriban. - If Web site of expired object cannot be reached: Do not return the expired object (return an error page): Mi legyen akkor, ha a krs egy oldalra vonatkozik, amit mr letroltunk, de kzben mr lejrt az rvnyessge, viszont online elrhetetlennek bizonyult? Az els opci azt mondja, hogy sz sem lehet rla, legyen egy hibazenet, a maradk kett viszont engedlyezi, de tovbb finomtja a dolgot azzal, hogy felttelekhez kti a trolt verzi bemutatst.

~ 183 ~

A KAPUN TL

7.31 BRA J PR NAGYON FONTOS BELLTS

Percentage of physical memory to use for caching: A gyorsttrazsra felhasznlhat RAM mennyisgt szablyozhatjuk itt. Csak rdekessgkppen, az ISA 2000-ben, a RAM-ban lefoglalt cache mennyisge alaprtelmezs szerint 50% volt. Ez durvn befolysolhatta a gp teljestmnyt, s ha ezt nem tudtuk, akkor sokig kereshettk a rejtlyesnek tn okot. Aztn ez vltozott, a kvetkez verzikban s gy a TMG-ben is ez az rtk mr csak 10%. Ha nagyon kevs a RAM-unk, akkor korltozzuk le a bels webszervernk mretre, s akkor legalbb ennyit le tud majd trolni a memriban a TMG.

Ezzel a gyorsttr fejezetnek s egyben a proxy szerver ltalnos ismertetsnek vge szakad, de most kvetkezik a TMG jdonsgainak egy jelents rsze, gyhogy azrt ne csggedjnk.

~ 184 ~

A WEB PROXY A TMG-BEN

8 A

WEB PROXY A

TMG- BEN

Ebben a fejezetben a TMG a web proxy filterhez kapcsold jdonsgait vesszk szmba, azaz a HTTP/S forgalom ellenrzsvel s szrsvel foglalkozunk. Egyetlen kivtel lesz, a HTTP filter, amely mr ugyan az ISA 2004 ta velnk van, de kicsit kevesen ismerik s kevesen is hasznljk ki az elnyeit, n viszont gy reztem, hogy szorosan ktdik az jdonsgokhoz, ergo egy ilyen integrlt tartalm knyvben ennyi kivtelezs bven belefr.

8.1 E NTERPRISE M ALW ARE P ROTECTION

Tmren sszefoglalva a TMG69 ezen j megoldsa a HTTP folyamot figyeli s szri, mghozz az integrlt s frissthet adatbzisa segtsgvel.

8.1 BRA A MIF A WEB FILTEREK KZT T

69

Kivtelesen ez a megolds a TMG MBE vltozatban is megtallhat, persze nmikpp cskkentett lehetsgekkel. (http://www.microsoft.com/hun/technet/article/?id=30d3d111-4cb9-4f82-b9f7d8167624ecfb).

~ 185 ~

A KAPUN TL

A TMG illetve a szintn j Malware Inspection Filter (MIF) kpes detektlni s izollni a veszlyes forgalmat (malware = spyware-ek + vrusok), gy mr a hatrvdelem rszv tenni az Internet fell rkez krtevk semlegestst. Mindezt csak akkor teszi meg a TMG, ha az adott forgalomra vonatkoz szablyban be van kapcsolva ez a vizsglattpus, merthogy ez egyrszt globlisan, msrszt szablyonknt is ki- vagy bekapcsolhat illetve forrs s cl alapjn is szablyozhat. A vizsglat tbb rszbl ll, a folyamat legelejn a mi kliensnktl indul krs is mr szrsre kerlhet, majd az engedlyezs utn a visszatr forgalomba is kpes beavatkozni a TMG proxy szervere, azaz ellenrzi, pontosabban ellenrzsre kldi az adott vlaszt. 8.1.1 H O G Y A N C S IN LJ A ? A mkdsrl szlva, az elz brn is lthat MIF szr az ami tnzi a proxy ltal megjellt http krs trzst (body). A 64K-nl kisebb anyagok 70 ellenrzse a memriban trtnik meg, azaz a MIF villmgyorsan meggytri az anyagot, rendbe rakja a letlts idztst, majd visszaadja a proxynak, s ha nincs gond, akkor mehet minden tovbb a felhasznl fel. Ha viszont nincs rendben a tartalom, akkor a TMG megprblja megtiszttani (a mechanizmus alapja a Forefront Client Security / Windows Defender / MSE ltal is hasznlt MPE, azaz Microsoft Malware Protection Engine), ha tudja, remek, ha nem akkor errl a felhasznl egy HTML oldal formjban kap egy rtestst, amibl az is kiderl, hogy sajnos (illetve nem is sajnos) ez a forgalom blokkolsra kerlt. No s persze a fertztt tartalom azonnal eltnik minden httrtrolrl s a memribl is. Termszetesen a TMG arrl is gondoskodik, hogy az AV motor s a szignatra mindig friss legyen. Ezeket kzvetlen frissthetjk a Microsoft Update szerverekrl, vagy egy sajt WSUS-rl rtelemszeren teljesen automatikusan s brmilyen lells, kiess nlkl. Az persze hogy egy komplett AV alrendszer mkdik a TMG-ben mg nem azt jelenti, hogy a bels hlzaton, vagy ppen a mobil gpeinken nincs szksg a klasszikus vrus/spyware irtkra. Termszetesen van, ha msrt nem akkor a fjlrendszerek, a fix s a levlaszthat httrtrak kontrollja meg kell hogy maradjon a TMG bevezetse utn is, nem beszlve arrl, hogy a Malware

70

A statisztikk szerint a szimpla http letltsek, krsek 98%-a kisebb mint 64K, ergo gy a szrshez a legtbb esetben nem is kell semmilyen klasszikus I/O mvelet.

~ 186 ~

A WEB PROXY A TMG-BEN

Protection nem kpes igny szerinti vruskeressre, hanem csak a valsidej, a web proxyn tmen forgalom vizsglatra. A mkds megrtshez hozztartozik az is, hogy a felhasznl a TMG mgtt mit lt ebbl a szoksos internet hasznlat kzben. A TMG szrevtlenl vizsgldik mindaddig, amg egy-egy objektum letltse 10 msodpercen bell megtrtnik. Ha a TMG azt szleli, hogy az aktulis letlts tovbb tart majd mint ez az idkeret, akkor a felhasznl egy n. progress bar-t kap majd a fjl helyett.

8.2 BRA M OST VIZSGLDIK A TMG ( A FELHASZNL BNGSZJBEN EZ LTSZIK KZBEN )

Ez ugye az a "csk", ami "megy elre" :), pl. egy fjl msolsnl, vagy ppen a letltsnl, vagy ppen most majd a felhasznl bngszjben (8.2 bra). Ezt tilthatjuk, illetve szintn a tartalomtpus alapjn behatrolhatjuk71, hogy lthat legyen-e, vagy sem. Ez az egsz folyamat a letlts kezdettl a vgig az n. trickling (szivrogtats, csepegtets), amelyrl mg lesz sz ksbb a konfigurls kzben.

71

rtelemszeren egy Youtube vide kzben ez nem uralhatja a kpernyt.

~ 187 ~

A KAPUN TL

8.3 BRA E Z RENDBEN VAN S MOST MR LETLTHET

8.4 BRA I TT VISZONT BIBI VAN

72

8.1.2 A Z EMP K O N F IG U R L S A Egy kicsit mr belemrtottuk magunkat ebbe a tmakrbe, hiszen a Web Access Policy varzsl futtatsakor mr tallkozhattunk az EMP-vel. Ha ott s akkor engedlyeztk,
72

De nyugalom ez csak teszt (http://www.eicar.org/download/eicar.com)

~ 188 ~

A WEB PROXY A TMG-BEN

vagy esetleg letiltottuk, akkor az egy globlis mveletnek minslt s minden szablyunkra egyformn vonatkozott. gyhogy most nzzk meg elszr ezeket a globlis belltsokat.

8.5 BRA I TT KEZDDIK MINDEN

A globlis engedlyezst/tiltst a faszerkezet Web Access Policy pontja alatt, a mr ismert fejlc rszben a Malware Inspection linkre kattintva rjk el. Ami ezen a panelen lentebb van, az is rdekes, ugyanis biztonsgi okbl letilthatjuk az egsz forgalmat a legeslegels sikeres EMP frissts befejezse eltt. A kvetkez kt fl a kivtelekrl szl, akr cl, akr forrs alapjn kivonhatunk bizonyos hlzatokat, gpcsoportokat, URL gyjtemnyeket, stb. az EMP hatsa all. A Destination Exception fl alatt azonnal tallunk is egy gyri kivtelt (Sites Exempt from Malware Inspection), amelybe a NIS-nl vagy a System Policy-nl mr megismert *.microsoft.com oldalakat talljuk. A forrs rsz (Source Exceptions) alaprtelmezs szerint res, azonban itt vehetjk fel pl. egy IP tartomny alapjn azokat a bels gpeket, amelyeket ki akarunk venni az EMP hatsa all.

~ 189 ~

A KAPUN TL

8.6 BRA V ANNAK / LEHETNEK KIVTELEK

Ami viszont most jn az a lnyeg, azaz milyen felttelek mellett szrjn az EMP. A malware vizsglat s keress mellett ezen a helyen ugyanis egy j nagy csokor ms restrikcit is beiktathatunk.

~ 190 ~

A WEB PROXY A TMG-BEN

8.7 BRA I TT MINDEN VAN , AMI SZEM - SZJNAK INGERE

Attempt To Clean Infected Files: Itt kapcsoljuk be azt, hogy egy malware esetn legyen-e ksrlet az irtsra. Ha bekattintjuk kt eset lehetsges: 1; a TMG sikeresen elvgzi a tiszttst, 2; Ha nem akkor blokkolja a hozzfrst az oldalhoz s rtesti a felhasznlt. Block Files With Low And Medium Severity Threats (Higher Level Threats Are Blocked Automatically): Alaprtelmezs szerint az EMP gyri rzkenysge csak a legmagasabb szint incidensek blokkolsra van belve, itt ezt az rzkenysget lnyegesen komolyabbra is vehetjk. Block Suspicious Files: Az EMP kategorizlja a fjlokat az ellenrzs sorn, s amelyeket fertzttnek tl, azokat blokkolja is, de azokat is megjelli, amelyekben nem kpes azonostani egy ismert vrust, de azrt felettbb gyansak. Ha szeretnnk, akkor ezek a gyans fjlok is blokkolsra kerlhetnek. Block Corrupted Files: Ha egy fjl srltnek tnik, az is lehet gyans, s ha gy gondoljuk, akr blokkolhatjuk is. De a nem teljes fjlokat, azaz fragmented fjlokat is idertjk rti (pldul egy tbb szeletes .rar-t. Hogy kiderljn, hogy tartalmaz-e krtkony kdot, kellene az egsz fjl. Br a .rar fjl nmagban egy egsz, de ami benne van az egy zagyvasg. Ha bekapcsoljuk ezt az opcit akkor minden fragmented tartalmat kidobunk.

~ 191 ~

A KAPUN TL

Block Files That Cannot Be Scanned: Lehetsges olyan helyzet is, amikor a TMG nem tudja ellenrizni a fjlokat. gy aztn krhetjk azt, hogy ilyenkor is viselkedjen gy a TMG, mint egy malware esetn. Viszont mivel ekkor lehet egy halom tves blokkols, ezrt alaprtelmezs szerint ez nincs engedlyezve. Block Encrypted Files: A titkostott fjlok (pl. EFS) blokkolsa rhet el ezzel, mivel a TMG ezeket sem tudja megvizsglni, alaprtelmezs szerint is blokkolja. Block Files If Scanning Time Exceeds (Seconds): A trelmetlen felhasznlk (de igazbl a korltozott szm thread-ek, s gy a problms teljestmny) miatt ltezik s konfigurlhat egy alaprtelmezett vizsglati id is, amely letelte utn a TMG nem hzza tovbb az idt, hanem szintn blokkol. Block Files If Archive Depth Level Exceeds: Ugye mi is ismerjk a sokszorosan, azaz jra s jra tmrtett fjlokat? Nos, ezek hasznlatnak vget vehetnk ezzel a belltssal. Szerintem az alaprtelmezett 20 kiss elnz, de szerencsre ezt mindenki nllan dnti majd el. Alapveten azrt kerl bele kivtel nlkl minden vruskeresbe ez az opci, hogy legyen egy fkrendszer. Ugyanis, ha nincs fk, akkor egyszeren DoS tmadst lehet indtani gy a szolgltats ellen, egy ezerszeresen egymsba gyazott tmrtett fjllal. Block Files Larger Than (MB): A letlthet fjlok mret szerinti korltozsa is egy lehetsg, alaprtelmezs szerint 1 GB-nl hzza meg a hatrt az EMP, ami szintn elssorban teljestmny okokkal magyarzhat. Block Archive Files If Unpacked Content Is Larger Than (MB): Mivel a TMG gyis kibontja majd a tmrtett fjlokat az ellenrzs alkalmval, van arra is lehetsgnk, hogy ezeknl is szabjunk mrethatrt. Teljestmny szempontbl megfontoland, hogy ne engedjnk ily mdon risi fjlokat is letlteni.

~ 192 ~

A WEB PROXY A TMG-BEN

8.8 BRA H OGYAN CSURGASSUNK ?

Ha ezutn az opciorgia utn tovbblpnk a msodik flsorba, akkor elszr a mr emltett trickling-gel kapcsolatos belltsokat (Content Delivery) lthatjuk. Kt lehetsgnk van a Standard s a Fast trickling, de nmikpp varilhatjuk is ezeket. Ahhoz, hogy megrtsk mirt is merlt fel ez a krds egyltaln, elbb gondoljuk vgig a kvetkez krdst: mikor tudjuk megllaptani egy fjlrl azt, hogy az krtkony kd? A vlasz egyszer: akkor ha a teljes fjl a birtokomban van. Ez egy fjlrendszerben implementlt vruskeress esetn nem akkora kihvs, mint egy tmen forgalom esetn, mint amilyen pldul egy letltsi forgalom. Ugyanis ha kellen nagy a fjl amit szeretne a felhasznl letlteni s/vagy a hlzat kpessge sem hatrtalan, akkor lesz olyan idszelet amikor a proxy-n mg csak a fjl tredke van meg. A krds az valjban, hogy mit adjunk a felhasznl alkalmazsnak vissza addig, amg nem tudtuk ellenrizni a letltend fjlt. Ha 1 rn keresztl tart a letlts, akkor a TMG biztosan csak a 60. percben tudja ellenrizni a fjlt. 60 percig azonban egyetlen alkalmazs sem fogja kibrni, de a felhasznl sem. Nos ennek a problmnak a kezelsre van az albbi kt megolds:

~ 193 ~

A KAPUN TL
Standard: ebben az esetben a TMG letlti a krt fjl egy kis darabjt (nhny kb), s ezt ellenrzi. Ha nem tartalmaz krtkony kdot, akkor ezt elkldi a felhasznl alkalmazsnak folyamatosan, addig amg a tartalmat biztost clkiszolgltl nem rkezik meg a teljes fjl. Ha megrkezik a teljes fjl, akkor ezt ellenrzi. Ha nem tartalmaz krtkony kdot, akkor a teljes tartalmat tadja a felhasznl alkalmazsnak. Ha tartalmaz, akkor egy RST csomaggal lezrja a kapcsolatot s a felhasznlnl a letlts megszakad. o A Standard csepegtets kt legfontosabb jellemzje az, hogy a TMG teljestmnyt negatvan nem befolysolja, illetve a felhasznli lmnyt alaposan rontja. Ugyanis a teljes letltsi id jelents rszben a felhasznl azt ltja, hogy csak vnszorognak a bitek, ugyanis folyamatosan kis apr darabokat kap az alkalmazsa. Ez egy IE esetben jelentheti azt is, hogy a felhasznl kb. 340 byte/sec-es letltsi sebessget lt. Aztn a folyamat vgn minden felgyorsul s megkapja hirtelen a teljes fjlt. s ez nos, problms lehet a felhasznlk fel. ppen ezrt a Standard mdszernl is ki van jellve 63 fjltpus (Content Types for Fast Trickling), amikor a Fast mdszert hasznlja a TMG, automatikusan. Ide kerltek be pl. az audio/video s streaming fjltpusok. Fast: ez a kifejezs kiss becsaps. Azt vrjuk, hogy ez egyrtelmen a jobb s a gyorsabb. Azonban ha megrtjk hogyan mkdik, megltjuk hogy nem biztos, hogy (a TMG szempontjbl pedig biztosan nem) ez a jobb megolds. A Fast csepegtets tpus esetben a TMG letlti a fjl egy rszt, azt ellenrzi s tadja a felhasznlnak. Majd letlti a fjl egy msodik szelett s ellenrzi azt. A krds az, hogy mit ellenriz. Csak a msodik szeletet? Vagy az els s a msodik szeletet? A helyes vlasz az, hogy az els s a msodik szeletet. s ez gy folytatdik addig amg a teljes fjl nem rkezik meg. Ha a folyamatban brmikor krtkony kdot tall a szr, akkor megszaktja a letltst. sszehasonltva a Standard csepegtetsi mdszerrel, itt a teljes fjl letltsi ideje alatt hasznljuk a szrt s minden fjl rszletet indokolatlanul sokszor ellenrznk. Cserbe a felhasznl a fjl vals tartalmt s vals sebessggel kapja meg, azonban ennek a mdszernek lnyegesen nagyobb a CPU ignye.

~ 194 ~

A WEB PROXY A TMG-BEN

8.9 BRA M IKOR L EGYEN CSK ?

Ugyanitt szablyozzuk azt is, hogy mikor legyen csk, azaz a Progress bar (Content Types for Progress Notification). Ez a forgalomban rsztvev fjlok tpustl fgg s alaprtelmezs szerint 66 tpus van erre kijellve, de akr ezt, a listt, akr a kvetkezt, teljesen szabadon varilhatjuk, a sajt elkpzelsnk alapjn. Mg nincs vge az EMP opciknak, most jn az, hogy hol legyen az tmeneti trol (ha nem a RAM-ban trtnik a trols, hanem a merevlemezeken). Ez alapesetben a %systemroot%\temp\ScanStorage mappa, ami nekem kicsit vakmernek tnik, de ht ilyen a paranoia.

~ 195 ~

A KAPUN TL

8.10 BRA M IKOR LEGYEN CSK ?

Mindenesetre, ha netalntn van egy klasszikus AV szoftvernk is a TMG-n (mert lehetsges, de felttlenl tartsuk be az ajnlsokat 73), akkor ennek a mappnak mindenkppen benne kell lennie az ellenrzsi kivtelekben. Ezen mappa gyri, NTFS jogosultsgi belltsaival se jtsszunk, ha lehetsges. A kvetkez fl a frisstssel kapcsolatos belltsokat trolja. Legyen-e ellenrzs s telepts, vagy csak ellenrzs, vagy semmilyen akcira nincs szksg? Valamint 15 perctl 4 rig tart intervallumban llthatjuk be a frisstsek ellenrzsi ciklust.

73

http://technet.microsoft.com/en-us/library/cc707727.aspx

~ 196 ~

A WEB PROXY A TMG-BEN

8.11 BRA A FRISSTSEKRL MINDE N

Ami mg itt rdekes (s pl. a bthoz kpest egy jdonsg volt), az a szintn bellthat riasztsi korlt, azaz ha pl. az alaprtelmezs szerint 5 napig nem volt frissts, akkor a TMG generl egy riasztst. Arrl, hogy hogyan llnak a klnbz adatbzis frisstsek, azaz pl. a Malware Inspection-, a TMG-n bell, a faszerkezetben az Update Centerben tallunk inft, illetve itt kezdemnyezhetjk az ellenrzst, s magt az adatbzis frisstst is, manulisan. Az viszont, hogy a frisstsre jogosultak vagyunk-e, az az utols fln, a License Details alatt derl majd ki. A TMG teleptse utn kapunk egy 120 napos, ingyenes lehetsget, de ezutn vagy marad ez az llapot azaz mkdik az EMP, csak nem frissl, vagy meg kell vennnk s be kell tpllnunk a rendszerbe a frisstsre jogost kdot. Ezt egybknt els alkalommal nem itt, hanem Web Access Policy varzsl futtatsa kzben lesznk csak kpesek megtenni, akkor is ha ppen most teleptettk a TMG -t, s akkor is ha a 120 napos trial idszak utn/kzben akarjuk a licenszet rvnyesteni.

~ 197 ~

A KAPUN TL

8.12 B RA A LICENSZ ADATOK ( A LEJRAT AZRT SZR KE , MERT KISZEDTEM A HEL YES KDOT )

A konfigurlsbl mr csak egyetlen dolog maradt ki, a nem globlis szablyzs, azaz a tzfal szablyokban elrhet EMP lehetsgek. Ehhez nzznk be pl. a Firewall Policy szakaszba, vlasszunk ki egy megfelel, a HTTP protokollt tartalmaz szablyt (vagy ha a Web Access Policy rszbe megynk mg gondolkodnunk sem kell ezen).

~ 198 ~

A WEB PROXY A TMG-BEN

8.13 BRA S ZABLYONKNT MS S MS IS LEHET

Inspect Content Downloaded: Bekapcsoljuk vagy nem? Nyilvn csak akkor, ha globlisan is be van kapcsolva az EMP. Erre egy diszkrt srga hromszg + fekete felkiltjel kombincival figyelmeztet is a TMG. Force full content requests (remove HTTP Range header): A vizsglat apropjn a teljes tartalom elkrsre utastjuk ezzel a tzfal motort. Use rule specific settings for malware inspection: Ha ezt krjk, kaphatunk egy ugyanolyan bellt panelt, mint amelyet a 8.7-es brn lthatunk. Azaz teljesen testreszabhatjuk az adott szablynl ezeket a jellemzket is.

Egy dologra mg figyelmeztet bennnket a TMG itt, mgpedig arra, hogy csak akkor lesz HTTPS vizsglat is, ha ezt engedlyezzk, nos ez egyrszt logikusan hangzik, msrszt egy tkletes tvezets a kvetkez fejezetekbe.

8.2 A HTTP FILTER

Az 5.1.3 fejezetben mr szltunk az alkalmazs szrsrl, st az integrlt HTTP filterrl is. Most itt egy kicsit jobban kibontjuk majd, mivel a HTTP a dominns protokoll jelenleg az internetes forgalom sszessgt tekintve, s ht (hasonlan a POP3-hoz,

~ 199 ~

A KAPUN TL
vagy az SMTP-hez, meg a tbbi klasszikus protokollhoz) amikor elkszlt, akkor senki nem gondolta volna, hogy az internet olyan veszlyeket hordoz majd magban, mint amelyet most. Tegynk egyms mell hrom, statisztikkkal bizonytott tnyt: 1. Az tlagos forgalom megoszlsa a kvetkez: HTTP: 80%; SIP: 8%; FTP: 5%; DNS: 5%; SMTP: 2% (forrs: Microsoft) 2. A sikeres betrsek 75%-a ezekben a protokollokban jn ssze (forrs: Gartner). 3. A sebezhetsgek 92%-a szintn itt fordul el (forrs: NIST). Radsul a HTTP hasznlat tendencija egy ideje mg egyrtelmbb. Ennek okai kztt szerepel az, hogy egyrszt a klasszikus szoftverek kzl is egyre tbb kpes a 80-as vagy a 443-as porton mkdni (gondoljunk az zen- s kommunikcis alkalmazsokra), msrszt egy olyan irnyvonal is megfigyelhet, amely arrl szl, hogy amit csak lehet tuszkoljunk bele a HTTP-be illetve HTTPS-be. Outlook Anywhere (lnykori nevn RPC over HTTPS), RDP over HTTPS (Remote Desktop Services Gateway), SSTP (Single Socket Tunneling Protocol, azaz egy SSL VPN tpus, ami a Vista SP1 ta rhet el) de mg az IPv4 is (IPHTTPS). Ezek mind, tzfalbart mdon, konkrtan a 443-as porton rhetek tetten, ami j neknk, hiszen egy idegen hlzatban (szllodk, partnerek, stb.) is biztosak lehetnk abban, hogy mkdni fognak, msrszt plusz problmkat okoznak, hiszen egyszeren nem tilthatjuk le a HTTP-t vagy a HTTPS-t a forgalom blokkolsa miatt (pedig a malware-ek miatt ezt kellene tennnk), hiszen univerzlisan kell, hogy ezeket hasznljk a felhasznlk, radsul tbbnyire alig ltunk bele ezekbe az adatfolyamokba, fkpp ha SSL-el tmogatottak. Bizonyra feltnt, hogy konzekvensen s folyamatosan a HTTPS-rl is beszlek. A kvetkez fejezetben majd ltni fogjuk, hogy mirt, egyelre csak annyit, hogy ha szeretnnk, akkor pl. a HTTP filter, vagy akr a Malware Filter szempontjbl a TMG-ben teljesen mindegy, hogy HTTP vagy HTTPS a forgalom, kpesek lesznk egyenrtken szrni.

8.2.1 H O G Y A N R J K E L ? s most a mr ismert recept szerint beszljnk egy kicsit a mkdsrl. Az elzmny apropjn elszr menjnk vissza a web proxy motorhoz, amelyhez tbbfle mdon is rkezhetnek a krsek, egsz pontosan hromfle mdon: 1. A web proxy filteren keresztl: Ahogyan ez mr kiderlt az elz nagy fejezetbl, ez egy komplex alkalmazs szr, amely f feladata a HTTP/S forgalom bonyoltsa, ezt a tmrtssel, a hitelestssel s a gyorsttrazssal is tmogatja (gy hogy ezekhez a klnbz webes szrket hasznlja). Egyben

~ 200 ~

A WEB PROXY A TMG-BEN

a web proxy filter az egyik belpsi pontja a web proxy motornak is, azaz pl. ha az adott tzfalszablyban a HTTP/S-hez a web proxy filter hozz van rendelve, akkor ez lekezeli a bejv krst, s tovbbkldi a web proxy motornak. Ennek a filternek nincs kze a web proxy kliensekhez (amelyek attl vlnak azz, hogy berjuk a proxy cmt s portjt, pl. egy bngszben), hanem az SNAT s a tzfal kliensek kapcsoldnak hozz.

8.14 BRA S EZ MIND USER MDBA N VAN

2. Az elz pontban zrjelben emltett web proxy kliensek viszont egy msik irnybl kommuniklnak, mghozz a web proxy listener-ekkel (pl. a 8080-as alaprtelmezett porton), amelyeket egy-egy hlzat tulajdonsgainl engedlyezhetnk (vagy nem). Egy ilyen listener teljes forgalmt szintn a web proxy motor kapja meg, s gy a web proxy kliensek az alkalmazsszrk kpessgeit ugyangy ki tudjk hasznlni. 3. A harmadik eset a web listener-ek, amelyek a publikl tzfalszablyokban hasznlatosak (ez ugye a bejv forgalom a szervereink fel), ktelez jelleggel. Ekkor a krs tja szintn a Firewall szerviznl kezddik, s a web listener-eren keresztl a web proxy motorhoz vezet, s ugyangy az alkalmazsszrk hatsa is rvnyesl rajtuk. Az brbl teht jl lthat, hogy, teljesen mindegy, hogy hogyan jut el a web proxy motorhoz a krs, ha HTTP/S van benne74, akkor rereszti az alkalmazsszrket, majd a feldolgozott s ellenrztt tartalom mehet vissza a Firewall szervizhez, majd vgl jval lejjebb a Firewall Engine-hez (ez mr nincs az brn), ami viszont mr egy

74

Ha (pldul egy SNAT kliens esetn) nincs hozzrendelve a web proxy flter, akkor azrt tovbbmehet a krs, csak a web proxy funkcionalits illetve ellenrzs kimarad.

~ 201 ~

A KAPUN TL
kernel md komponens. Teht konklziknt megllapthat, hogy ezen alkalmazsszrk egyikknt a HTTP filter llandan dolgozik (dolgozhat) a TMG -ben, mr csak az a krds, hogy mirt ri meg hasznlni? 8.2.2 A HTTP F I LT E R K O N F IG U R LS A Ennek szrnek a belltsait minden egyes tzfalszablyban, amelyben szerepel a HTTP vagy HTTPS protokoll elrhetjk. Ez egyttal azt is jelenti, hogy lehetsges egyesvel is, s teljes mellszlessgben vltoztatni is az sszes opcit - szablyonknt. Meg mg azt is jelenti, hogy akr ki- vagy be is kapcsolhatjuk szablyonknt, klnkln is a szrst.

8.15 BRA I NNEN INDULUNK

Msrszt azonnal ellent is mondok nmagamnak, a legeslegels opci, ami szembe jn velnk, ha megnyitjuk a HTTP filter konfigurcis paneljt, az mris globlis, teht ha egyszer tlltjuk, az sszes szablyunkra rvnyes lesz. - (Request Headers) Maximum Headers Length (Bytes): A tl hossz fejlcek s URL-ek buffer overflow mdszerrel trtn felhasznlsa ellen vdekezhetnk ezzel a byte-ban megadott mrettel. - (Request Payload) Allow Any Payload Length: Ezzel az rtkkel limitlhatjuk a POST metdussal feltlthet adatmennyisget. Ez a mdszer egy lehetsges tmadsi forma is, de a korltozsa okozhat leglis esetekben is elakadsokat, gyhogy csak vatosan. - (URL Protection) Maximum URL Length (Bytes): rtelemszer, az URL-ek hossznak korltozsa, az alaprtelmezett rtk a legtbb esetben megfelel.

~ 202 ~

A WEB PROXY A TMG-BEN

8.15 BRA

(URL Protection) Maximum Query Length (Bytes): Az URL-ben a lekrdezshez hasznlt krdjel (?) utni hossz korltozsa. (URL Protection) Verify normalization: Ez egy rdekes dolog, valsznleg mindannyian tallkoztunk mr az URL-ekben pl. szkzk helyett a %20 kombincival, ami ugye termszetes dolog, az enkdols kvetkezmnye. De ez egyben lehet egy specilis rosszindulat kd rsze is, amit a TMG gy tud kiszrni, hogy ktszer is prblja normalizlni az URL-t, s ha ezek utn sem tnnek el - a pldnl maradva - a szzalkjelek, s ha be is lltottuk ezt a restrikcit, akkor blokkolja a forgalmat. (URL Protection) Block high bit characters: Nos, kis haznk esetn ez egy klnsen fontos opci, hiszen ennek a bejellsvel bizonyos karakterkszletek75 hasznlatt tilthatjuk az URL-ekben, azaz ezeket a cmeket egy- az-egyben kiszri a HTTP filter. Ez nem olyan vicces, hiszen gondoljunk egy OWA-ra, amelyben megnyitunk egy kezetes karaktereket tartalmaz trgy e-

75

Az n. Double-Byte Character (DBCS) illetve a Latin 1-es karakterkszlet elemeirl van sz, rszletek itt: http://support.microsoft.com/kb/837865

~ 203 ~

A KAPUN TL
mailt. Illetve nem nyitjuk meg, mert a TMG majd szpen blokkolja. s ugyangy jrhatunk egy Sharepointtal is. (Executables) Block responses containing Windows executable content: Ezzel az opcival a webszerverek vlaszaiban esetlegesen megbv Windows futtathat tartalmakat blokkoljuk.

8.16 BRA M ETDUSOK SZRSE

Ha tlpnk a kvetkez flre, akkor a HTTP metdusokkal (verbek) kapcsolatos rszbe jutunk el, ahol alapesetben minden metdust engedlyeznk, de ki is vlaszthatunk prat, amit (s csak ezeket) megengednk, vagy ppen azokat jelljk meg amelyeket blokkolunk s egyttal minden mst megengednk. Az brn lthat POST -tal pl. az adott esetben a bels hlzatunk felhasznli szmra a webes rlapok kitltst, pontosabban ezen rlapok elkldst tiltjuk meg. A GET metdus blokkolsval pedig extra svszlessghez jutunk, persze nem ez a legjobb mdszer Emlksznk a 2001 nyarn elszr megjelent Code Red-re? Ez egy olyan freg volt, amely a fejlcben mindig megtallhat volt a GET http://<ipaddress>/default.ida? szakasz, ergo a .ida kiterjesztsvel simn tudtuk szrni az ISA 2004 HTTP filtervel.

~ 204 ~

A WEB PROXY A TMG-BEN

Az Extensions flnl a kivlasztsi mdszer ugyanaz mint az elznl, az Add gombbal viszont a konkrt kiterjesztseket adhatjuk meg, pl. .exe, .bat, .cmd, stb. (MIME tpus vlaszts itt nincs). Ellenben a Block Requests Containing Ambiguous Extensions bepiplsval arra knyszertjk a TMG-t, hogy minden olyan fjlkiterjesztst blokkoljon, amelyet nem kpes felismerni s azonostani.

8.17 BRA A Z . EXE NEM KVNATOS M R EGY IDEJE A HTTP- BEN

Akr egy HTTP krsrl, akr egy vlaszrl van sz, fejlc mindig van a kliens s a webszerver kztti forgalomban. OS, bngsz s alkalmazs adatok, formtum tpusok s engedlyezsi informcik, ergo sok-sok minden utazik a fejlcekben. A Headers fl alatt viszont tbb szinten is bele tudunk nylni ebbe az adatcserbe. Az Add gombbal pldul felvehetjk kln-kln a Request vagy a Response fejlc azon lehetsges rszlett, ami alapjn tiltani akarunk. A Server Header rsz kiss sszetettebb, s a mi webszervernk vlaszba tudunk beleavatkozni a HTTP filter segtsgvel. - Send original header: Ez az alaprtelmezs, azaz nincs vltoztats, az eredeti fejlc inf utazik, pl. a Microsoft-IIS/7.0 sztring.

~ 205 ~

A KAPUN TL
Strip header from response: Teljesen lecspjk ezt az inft. Modify: Vltoztatunk, az ltalunk itt bert szvegre (pl. Secure Web Server vagy Apache/2.2.3 (Unix) mod_ssl/2.2.3 OpenSSL/0.9.7g) cserljk az eredetit. Script kiddie-k s az amatr verzi detektl programjaik ellen taln mg j is lesz, egybknt ez egy kiss Security by obscurity, azaz a szabad fordtsom szerint kb. egy l-biztonsgi megolds.

8.18 BRA M I LEGYEN A S ERVER H EADER ?

Script kiddie: Cracker wannabe, azaz valaki, aki szeretne cracker lenni, de tl lusta vagy tl hlye hozz. ltalban msok ltal megrt backdoorokat, rootkiteket, mr kzismert exploitokat hasznl szmtgpes rendszerekbe val illeglis bejutshoz. Jellemzen gyengn vdett rendszereket tmad meg. Az elnevezs eredetileg tizenvesekre vonatkozik, akik knnyen kihasznlhat hibkra vadsznak, hogy tvegyk a rendszer irnytst, vagy pldul webszerverek tartalmt mdostsk, cmoldalt lecserljk (Lsd: deface). Manapsg a kifejezs nem felttlenl az letkorra utal, inkbb a tuds hinyra.

~ 206 ~

A WEB PROXY A TMG-BEN

Nem valdi crackerek, a biztonsgi hibkhoz alig rtenek, k a "szakma kukabvrai".76

Maradt itt mg egy opci: ez az n. Via Header. Ebbe tipikusan a proxy szerverek/alkalmazsok pakoljk bele a sajt neveiket (pl. a TMG a gp NetBIOS nevt), a HTTP verzival egyetemben, egy egyszer azonossg ellenrzse miatt, a krs/vlasz alapjn. Ha nem akarjuk ezt az inft viszontltni a fejlcekben, akkor szintn cserlhetjk ezt is, egy ltalunk vlasztott tetszlegesre, mindkt tpusnl egyarnt. Most jn a HTTP filter befejezse, ami egyben taln a leghasznosabb alkalmazsi terlete is. A Signatures fl alatt jrunk, ahol a TMG az ltalunk belltott egyedi lenyomatok alapjn kpes blokkolni, akr a fejlcek, akr pl. a trzs teljes tartalma alapjn.

76

Ez annyira kerek, hogy teljes tartalmban ide kellett msolnom, mghozz innen: http://wiki.hup.hu/index.php/Script_kiddie

~ 207 ~

A KAPUN TL
8.19 BRA A SZIGNATRKKAL SOKAT ELRHETNK

Hogy ez mit jelent? Nagyon sokat, de egyben nagyon vatosan is kell bnnunk ezzel az eszkzzel. Az brn pl. a Bittorent kliens teljes hasznlatt tesszk tnkre (amennyiben HTTP-vel zemel). Ezt az User Agent: inf alapjn tudjuk megtenni, ami alkalmazsonknt (de sokszor verzinknt vltozva) egy teljesen egyrtelm, az adott alkalmazsra jellemz sztringet tartalmaz. Ezeket kinyomozhatjuk egy a bels hlzatra beltt Network Monitorral, de szmos szignatra publiklva is van az interneten.77 De nemcsak az alkalmazsokra jellemz gyri szignatrk jtszanak, emlksznk a nem is rgen pldtlan mdon sikeres Conficker fregre? Nos, ugyanitt a Request URL-t vlasztva s a search?q=%d&aq=7 sztringet berva ezt is kiszrhettk/kiszrhetjk (lltlag mg mindig rengeteg helyen fertz). Szval a HTTP filter ezen rszbe felvihetnk szmtalan szignatrt, a TMG meg szpen ezek alapjn megfogja majd az adott forgalmat. Ksrletezhetnk a trzsbe bert tetszleges sztringek hasznlatval is, ezekkel is lesz eredmny, meg lmny. Mg egy utols dolog a HTTP filterrel kapcsolatban: lthattuk, hogy sok helyen, sok mindent konfigurlhatunk, amit aztn j lenne lementeni is, s pldul egy msik TMG re is tvinni. Nos, ehhez az ISA 2004-2006-ban volt egy httpfilterconfig.vbs szkriptnk, ami a telept anyagban megtallhat volt. Ez a TMG-bl eltnt, de ettl fggetlenl hasznlhat export/import feladatokra. A problma viszont ezzel a szkripttel az, hogy nem tud kiegszteni egy meglv llapotot egy beemelni kvnt HTTP filter konfigurcival. Na de erre is van egy kiegszt megolds, amihez el kell ballagnunk a npszer, s rendkvl tartalmas http://isatools.org oldalra 78 , hogy aztn a Jim Harrison ltal rt szkripteket alkalmazhassuk.

8.3 HTTPS I NSPEC TION

Azt mr ltjuk, hogy mi mindent szrhetnk a HTTP folyamban, de feltennm a klti krdst: ez elg? Nem, ma mr nem. Ma, amikor mr a felhasznl is tud egy SSL tunnelt kpezni egy nyitott, a neten mkd anonymous proxy-hoz, s gy kihagyni az ellenrzsbl a mi proxy szervernket, illetve amikor akr HTTPS-ben is jhetnek a kros tartalmak, nem. Teht szrjnk, ha a proxynk kpes erre. De van egy msik oldala
77 78

Pldul itt: http://technet.microsoft.com/en-us/library/cc302520.aspx http://isatools.org/tools/block_hcp.vbs s http://isatools.org/tools/block_lnk.vbs

~ 208 ~

A WEB PROXY A TMG-BEN

is a HTTPS ellenrzsnek. Szabad ezt? Az integrits s az eredetisg megrzse, mint f elvek nem srlnek? Vgl is de, m a valamit valamirt elv is ott van a mrleg msik serpenyjben. Az egyik legels TMG eladsomban szk krben az MVP-kkel, miutn elmagyarztam, hogy hogyan mkdik, az egyik kollga azonnal nekem szegezte a krdst: - Akkor az OTP-s banki mveleteimet is fogod gy ltni? Nos, igen, csak ezt tudtam vlaszolni. Azonban, az n vlemnyem szerint megfelelen lefektetett szablyzssal, kivtelekkel, a megbzhatnak tlt oldalak ellenrzsnek kihagysval, egy vllalati krnyezetben azrt mindenkppen bevllalhat. Illetve azt azrt lssuk be, hogy br technikailag lehetsges, a TMG nem ad erre egyszer felletet a TMG zemeltetnek. Teht az online log viewerben nem fogom ltni a teljes http body-t clear-text-ben. Igazn felkszlten, mly mszaki ismeretekkel rendelkezve, egy debugger segtsgvel kitudom szedni a forgalmat clear text-ben, de ezt egy tlagos TMG zemeltet nem fogja ezt megtenni. Ha pedig kpes r, akkor msik t egyszerbb mdon fogja megszerezni tlnk a banki adatainkat. (A lektor megjegyzse.) De ha nem morlis, hanem technikai szemszgbl kzeltek akkor a lnyeg az, hogy a TMG-ben a HTTPS forgalom terminlsa s a TMG-tl a felhasznlig zajl szimpla HTTP teljes kr ellenrzse (EMP, HTTP filter, URL filter s minden ms) immr a rendelkezsnkre ll. Plusz s ezt sokan elfelejtik egy tbb rszes, konfigurlhat feltteleket tartalmaz tanstvnyvizsglatot is rejt a HTTPS Inspection.

8.20 BRA E Z EGY RGI RAJZ , DE A LNYEG NEM VLT OZIK : A CSBEN BRMI MEHET ( ETT )

De hogyan csinlja ezt a TMG? Nyilvn nem a HTTPS trsvel, hanem egy nagyon elegns trkkel, ami alapjn viszont a TMG-t simn tekinthetjk egy Man in the

~ 209 ~

A KAPUN TL
Middle-vel operl tmadnak, a kls webszerver s a bels kliens kztti forgalomban . Szval amikor a kliens felpten az SSL kapcsolatot, a TMG ezt nyomban elkapja, s le is ellenrzi tvoli szerver tanstvnyt. Ezutn lemsolja a webszerver tanstvnynak rszleteit, majd legyrt egy j tanstvnyt ezekkel a rszletekkel, s a sajtjval (mint Certificate Authority79) rja al! Ezt kapja a kliens, gy kt klnbz SSL session alakul ki, s a rvidebben mr nem lesz akadlya a teljes kr ellenrzsnek. Gyakorlatilag outbound SSL inspection nlkl az SSL handshake a felhasznl alkalmazsa s a cl kiszolgl kztt trtnt meg. Outbound SSL inspection esetben a TMG amikor szreveszi az SSL handshake zenetet, akkor indt el egy SSL handshake-t a cl kiszolglval. Ha a handshake sikeres, akkor vlaszol is a clkiszolgl helyett, kvzi proxy-zva annak vlaszt a klienshez. A kliens s a TMG kztt pedig az elz sorokban emltett tanstvnyt hasznlja a TMG, a handshake sorn. Egybirnt flig meddig nem szmt jdonsgnak ez a dolog, hiszen aki mr az ISA 2004-et is tgette, az tudja hogy a sajt webszervereink fel men forgalomban az n. SSL Bridging technikval mr kpes volt az ISA is terminlni az SSL kapcsolatot (br technikailag kicsit egyszerbb a kivitelezs, lsd kvetkez fejezet), majd ellenrizni a forgalmat. A HTTPSi viszont brmilyen a felhasznlk fell/fel men forgalomban kpes ezt produklni. 8.3.1 A K V E T K E ZM N Y E K S A K V E T E LM N Y E K Brmilyen szenzcisan is mkdik az ellenrzs, azrt szmolnunk kell pr kvetkezmnnyel illetve kvetelmnnyel a HTTPSi bevezetse kapcsn: - Itt ugye egy klnozott tanstvnyrl van sz, ami nem biztos hogy tetszik mondjuk annak a banknak vagy webruhznak, amellyel a kliens kapcsolatba lp. De lehet kivtelezni, globlisan, akr az URL kategrik segtsgvel is. - A web proxy naplkba a teljes URL kerl ilyenkor, ami ugye szenzitv is lehet. - Akr az egsz tartalom bekerlhet a cache-be, ami megint csak nem biztos, hogy szimpatikus kvetkezmny, persze cache kivteleket is lehet krelni. - Ha a HTTPSi-t szeretnnk hasznlni, akkor a tanstvnyokkal s/vagy tanstvnykiadkkal is bvszkednnk kell. Kt alapeset lehetsges: o Ha a TMG ltal generlt nalr tanstvnyt akarjuk hasznlni, akkor a kliensek meg kell bzzanak a TMG-ben, mint tanstvnykiadban. Ennek a megoldsra tbb lehetsgnk is lesz majd (automatikus is).

79

Amelyben persze a kliens vakon megbzik, errl gondoskodnunk kell majd elre.

~ 210 ~

A WEB PROXY A TMG-BEN

o Ha egy brmilyen ms tanstvnyt akarunk felhasznlni a TMG-ben ehhez (rtsd: mr van pl. egy magunk ltal zemeltet PKI alrendszernk), akkor annak a kiadjban kell hogy megbzzanak a kliensek, de a TMG is! A TMG sajt magt leszmtva nem szereti a Man in the Middle mdszerrel tmadkat, ergo a kls tanstvnyok vizsglata nagyon alapos lesz alaprtelmezs szerint is, valamint ne felejtsk el, hogy ez az ellenrzs akkor is mkdhet, ha HTTPSi ki van kapcsolva. A kvetkez szempontok alapjn ellenriz a TMG: o A kapcsolatban lv kls gp nevnek meg kell egyeznie a tanstvny Subject mezjben, vagy a SAN (Subject Alternative Names) mezben szerepl egyik elnevezssel. o Szerver hitelestsi (Server Authenticaton) tpusnak kell lennie a tanstvnynak. o Mind a kiads, mind a lejratnak rvnyesnek kell lennie. o A TMG meg kell hogy bzzon a tanstvny kiadjban. o A tanstvny visszavonsi listnak (CRL, Certificate Revocation List) elrhetnek kell lennie, s nem szerepelhet a szerver tanstvnyban.

8.3.2 A HTTPS I K O N F IG U R LS A Nagyjbl ez a fejezet a tanstvnyok s a tanstvnykiadk konkrt kezelsrl szl, azaz szinte mindenhol visszakszn majd, hiszen az ezekkel trtn konfigurls az alapja a HTTPSi-nek. A 8.20 brn lthat, immr szoksos helyrl indulunk.

8.21 BRA A 6- OS LISTBL MR CSAK A TMRTST NEM PISZKLTUK

A General fl egybl mlyvz. Az Enable HTTPS Inspection alatt mris kt vlasztsi lehetsgnk is lesz:

~ 211 ~

A KAPUN TL

8.22 BRA

Inspect HTTPS traffic and validate HTTPS site certificates: a komplett HTTPS forgalom ellenrzs + a tanstvnyok ellenrzse is. Do not inspect HTTPS traffic, but validate the HTTPS site certificate: csak a tanstvnyok ellenrzse.

A kzps rsz a tanstvnyok generlsval/importlsval kapcsolatos lehetsgekkel foglalkozik. Elszr is eldnthetjk, hogy egy a TMG ltal krelt tanstvnyt hasznlunk-e majd az alrsra, vagy mr meglvt importlunk be. Ha az els vlaszts a favorit, akkor a Generate gomb alatt a kiad nevt illetve az rvnyessget is be tudjuk lltani (a Soha le nem jr, azaz a Never opci 2049.01.01-et jelent). Ha viszont importlunk, akkor egy privt kulccsal elltott tanstvnyra lesz szksg (.pfx). Ezzel megvan a TMG tanstvnya, de van mg egy fontos feladat, amelynek hatsra a 8.20-as bra jelenik meg.

~ 212 ~

A WEB PROXY A TMG-BEN

8.23 BRA A KR AUTOMATIKUSAN IS TERJESZTHET

Ez a HTTPS Inspection Trusted Root Certificate Options nev, j szles gomb, amely alatt egyszeren megnzhetjk (View Certificate Details) a TMG Root CA tanstvnyt (8.24 bra). Az brn mg az is ltszik, hogy jelen pillanatban ez a tanstvny mg nem megbzhat, mivel mg nem szerepel szmtgp megbzhat tanstvnykiadinak listjban (Trusted Root Certification Authorities).

~ 213 ~

A KAPUN TL

8.24 BRA M G NEM SZMT MEGBZHATN AK

pp ezrt kanyarodjunk vissza az elz brhoz (8.23), ahol a TMG Root CA tanstvny automatikus terjesztst is krhetjk az Active Directory segtsgvel (ehhez egy Domain Admins csoporttagsg felhasznl jogosultsga kell majd), illetve akr ki is exportlhatjuk az elbb emltett root tanstvnyt a manulis terjesztshez. Az AD segtsgvel? Igen, ha ezt vlasztjuk, akkor a TMG Root CA bekerlhet a Domain Enterprise Trusted Root Store-ba, ahonnan minden tartomnyi tag a kvetkez Csoporthzirend frisstskor (15 perc mlva) megkaphatja, vagy a gpupdate /force-szal manulisan s azonnal. Ezt aztn pldul a certutil -store -enterprise root paranccsal ellenrizhetjk is. .

~ 214 ~

A WEB PROXY A TMG-BEN

8.25 BRA

Vgeztnk a HTTPSi mkdshez kapcsold tanstvnykezelssel, de nem vgeztnk a HTTPSi-vel. A Source Exceptions s a Destination Exceptions fl tartalma a forrs (bels hl) vagy a cl (Internet) tpus kivtelek listja lesz, amelyeket csoportokba szervezhetnk (illetve a gyri, szoksos csoport is ltezik). De - ahogyan a kpen is ltszik - akr az itt megjelen kivteleknl is krhetjk a Validate gombbal egyesvel a tanstvny vizsglatot - annak ellenre, hogy a forgalom ellenrzs szempontjbl valban kivtelekrl van sz. A cl kivtelnl termszetesen a knyv ksbbi fejezetben trgyalt URL kategrikat is hasznlhatjuk. gy anlkl hogy fel kellene sorolni az sszes online bank elrsi tjt, egy knyelmes mozdulattal mondhatjuk azt, hogy a banki oldalak irnyba nem krjk a HTTPSi-t. De ha mg ezt sem akarjuk, akkor hagyjuk meg a No Validation llapotban, illetve vissza is llhatunk az els rvnyests utn a No Validation gombbal.

~ 215 ~

A KAPUN TL

8.26 BRA S ZRSSZV

A Certificate Validation fl tartalmra mr utaltam a 8.3.1 fejezetben. A lejrt vagy brmilyen okbl nem rvnyes tanstvnyok illetve a visszavonsi tanstvnylistk elrhetsge (illetve egyltaln a lte) ellenrzse s adott esetben az ilyen szerver blokkolsa llthat be itt. rdemes megfigyelni ezt a dialgus ablakot. Mi hinyzik rla? Korbban emltettk, hogy a tanstvny ellenrzsnl a TMG-nek fontos szempont az, hogy megbzzon a cl kiszolgl ltal hasznlt tanstvnyt kiad tanstvnykiadban. Ez a funkci itt nem konfigurlhat s rossz hrem van: ez a funkci nem is kapcsolhat ki. Teht ha a certification validation-t hasznljuk s a felhasznl egy nalrt tanstvnnyal rendelkez cl kiszolglt szeretne elrni, akkor a TMG azt nem fogja engedlyezni. Hogy megoldjuk ezt a problmt a kvetkez lehetsgeink vannak: - Meg kell bznunk a tanstvnyt kiad tanstvnykiad hivatalban. Hol kell megbznunk benne? Termszetesen a TMG-n (gondoljunk arra, hogy kt SSL handshake zajlik s a TMG tallkozik a cl kiszolgl tanstvnyval). - Az adott felhasznl ltal hasznlt eszkzt felvesszk a forrs kivtel listra. - Az elrni kvnt kiszolglt felvesszk a cl kivtel listra. - Tudomsul vesszk hogy nem bzunk meg a tanstvnyban s a forgalmat nem engedlyezzk.

~ 216 ~

A WEB PROXY A TMG-BEN

Az utols fl a tzfal kliensen keresztli kommunikci lehetsgt szablyozza, azaz a felhasznlk kaphatnak rtestst arrl, hogy annak ellenre, hogy HTTPS-ben folyik a forgalom, az adott oldalt a TMG-n keresztl vizsgljuk. Termszetesen ehhez minimum a TMG RTM teleptsi csomagban lv (Build 07.00.7734.100) verziszm tzfal szksges, csak ezzel klienssel mkdik az "zengets", a rgi ISA kliensekkel nem, de annyira nem, hogy azokban nincs is negyedik fl.

8.27 BRA C SAK EGYETLEN OPCI , DE SOKAT SZMT

Vgezetl nzzk meg az j tzfal kliens idekapcsold j belltsait, illetve elszr a kt klnbz buborkot is, amelyben szpen ltszik az rtestsek formtuma.

~ 217 ~

A KAPUN TL

8.28 BRA A BUBORKOK ( A MSODIK MR HALVN YODOTT MIKORRA ELKAPTAM )

A tzfal kliens egybirnt a Most Recent Notification alatt jegyzi is a legutols rtestst, amelyet gy nagyon egyszeren fel is tud venni a felhasznl a kivtelek kz, mrmint nem az ellenrzs alli kivtelrl van sz, hanem csak az rtestsekre gondolunk.

~ 218 ~

A WEB PROXY A TMG-BEN

8.29 BRA ZEN , DE TROL IS A TZFAL KL IENS

rdemes mindenkit megnyugtatni azzal kapcsolatban, hogy a TMG Client nem fogja minden egyes https krs /vlasznl a felhasznlt kirtesteni, mert akkor valjban a bubork folyamatosan kint lenne. Alaprtelmezsben cl kiszolglnknt 12 rnknt egy rtestst jelent meg a TMG kliens. A 12 ra egy vltoztathat paramter, amit ha mdostani szeretnnk akkor a munkalloms rendszerler adatbzisban az albbi elrsi ton tehetjk meg: HKLM \SOFTWARE\Microsoft\RAT\Stingray\Debug\FwcMgmt FWC_MGMT_HTTPS_TEMPORARY_DISABLED_TIMEOUT (A lektor megjegyzse).

8.4 URL-F
Technikai szempontbl ezen nagy fejezet legkevsb bonyolult megoldsa jn, azonban a fontossga megkrdjelezhetetlen. Az ISA szerverekben az URL-ek tartalom alapjn trtn szrsre nem, illetve csak manulis mdszerrel vagy kls segtsggel volt lehetsg. Kzzel pl., lelkesen kszthettem n egy Porn nev URL csoportot, amelybe hosszas kutatssal (), bevihettem a megfelel webcmeket, de ez egy statikus, s finoman szlva sem tkletes mdszer. Lteztek emellett kicsit profibb,

~ 219 ~

A KAPUN TL
maszek mdszerek is, amikor egy szkripttel mr tbbfle s jelents mennyisg, msok ltal sszegyjttt URL-eket beimportlhattunk, majd a szablyokhoz hozz rendelhettnk, s gy a tilt szablyok mr jobban mkdtek. De ez mg mindig statikus mdszer volt, radsul rengeteg fals tallattal. gy aztn jobb hjn maradtak a 3rd party szoftverek, amelyekbl volt bven, jmagam is zemeltettem anno pl. a Websense tartalomszr szoftvert (amely azta a legnagyobb rivlisval a SurfControl-lal egyeslve egszen naggy nt), amely mr korrekt volt, automatikus, s dinamikus viszont kifejezetten drga, mg vllalati krnyezetben is. A TMG Beta3-tl viszont kaptunk egy beptett megoldst, amely vgre megoldotta a problmnkat s gy a cges vagy ppen iskolai/oktatsi szablyzatoknak megfelelen az URL Filtering (URL-F) tvol tudja tartani a bels felhasznlinkat a tiltott weboldalaktl. Nzzk meg, hogyan. 8.4.1 H O G Y A N M K D IK ? Az URL-F 79 beptett kategrival s 11 f csoporttal, illetve rettenetes mret, sok tzmilli URL-lel segti a clok behatrolst, amelyet a Microsoft Reputation Service (MRS) tart formban s tlt fel, s gy a TMG minden krs alkalmval a web service-n keresztl az MRS-tl tlti majd le. Az MRS ltrehozst a Microsoft a 2009-es RSA konferencin jelentette be, egyben jelezve, hogy a gyjtemny forrsa tbb beszllt partnertl rkezik majd. Ami mg rdekes, hogy a TMG az els Microsoft termk , amely hasznlja az MRS lehetsgeit. Az MRS egy felh alap kategorizl rendszer, ami a Microsoft adatcentereiben troldik, s amelyet a TMG online lekrdezsekkel r el. Mr hallom is a felszisszenst, hogy akkor internet nlkl nem mkdik ez a kpessg? Dehogynem. Az elrsi sebessg s a svszlessg optimalizls miatt a TMG gyorsttrazza mind az URLeket, mind a kategrikat. Termszetesen minden eltrolt objektum rendelkezik egy TTL rtkkel, amely alapjn rendszeresen frissteni kell, de ezen kvl a TMG csak ak kor nyl online az MRS-hez, ha egy krst abszolte nem tud kiszolglni a cache-ben trolt adatok alapjn80.

80

s termszetesen egy biztonsgos kapcsolaton keresztl teszi mindezt.

~ 220 ~

A WEB PROXY A TMG-BEN

Az URL-F hasznlata nagyon egyszer, mivel abszolte belesimul az engedlyez tzfal szablyokba. Gyakorlatilag a teendnk csak annyi, hogy engedlyezzk globlisan, majd a kvnt kategrit vagy egyszerre tbbet is, egy j tilt szablyba belehelyezzk. A szably clja mr ismert mdszerekkel lehet egy felhasznl vagy egy csoport, vagy hitelests nlkl pl. egy IP intervallum. Innentl a felhasznl a tiltott URL-eket nem ri el, s mivel az adatbzis dinamikusan frissl, ez az jonnan bekerlt cmekre is vonatkozik. Errl egy nmikpp testreszabhat HTML zenet formjban is tjkoztatjuk a felhasznlt. Egy tovbbi fontos elnynek szmt az URL szrshez kapcsold jelentsek s napl bejegyzsek is, amelyekkel egy kerek kpet kaphatunk a szervezetnk internet hasznlatrl, belertve azt is, hogy milyen oldalakat (s pontosan kik is?) szeretnnek megnzni a felhasznlk, ha nem lennnek tiltsok. De van mg egy kiaknzhat elny, amelyet az URL-F nyjt, s ez pedig a maguk a cmgyjtemnyek, amelyeket pl. a Malware Inspection vagy pl. a HTTPS Inspection alkalmazsa sorn is felhasznlhatunk korrekt kivtelezs apropjn. Vgezznk el egy rdekes vizsglatot, ez itt egy plda cm: www.microsoft.com/pathA/pathB Ez ugye simn felbonthat tbb rszre. - .com unknown - microsoft.com General business - www.microsoft.com unknown - www.microsoft.com/pathA - Phishing (not inherited) - www.microsoft.com/pathA/pathB - Portal A not inherited azt jelenti,hogy nem rkldik a subpath-ra (pathB), ergo a vgeredmny: - General business - Portal Mg nhny tipp s illetve informci a mkdssel kapcsolatban: - Loklisan fellrhatjuk, azaz kiegszthetjk a kategrikat az ltalunk hasznosnak vlt cmekkel. - Lekrdezhetek az adatbzisban szerepl cmek, ami egyrszt rdekes (sajnos magyar cmeknl nem mindig pontos, vagy ismert a valdi kategria), msrszt elzetesen fontos is lehet. - Kihasznlhatjuk az URL szrst a reklmok s hirdetsek (ad) blokkolsra is.

~ 221 ~

A KAPUN TL
Az URL szrs frisstse feliratkozs alap, az EMP-hez hasonlan egy licensz kell hozz az els 120 nap utn, de a kett kombinlva van a TMG -ben, ahogyan az a 8.12 brn lthat is. A TMG SP1-ben taln ez a terlet, ahol a legtbb pozitv vltozs trtnt. Errl majd a 13. fejezetben bvebben beszmolok.

8.4.2 A M IT A Z URL-F- B L L T U N K Kt klnbz helyen rjk el a TMG-ben az URL szrssel kapcsolatos belltsokat, ebbl az egyik a globlis, a msik pedig az adott tilt tzfalszablyon bell. Nzzk elszr a globlis belltsokat, amelyek kivtelesen nem a mr sokat emlegetett Web Access Policy keret fels rszbl, hanem az Action Pane\Tasks flbl rhet el. Az eleje nem bonyolult, egyszeren engedlyeznk, ami esetleg lnyeges lehet, hogy egszen az els szably elksztsig (vagy egy meglv mdostsig) a hatsa nem rvnyesl, ellenben a tesztelshez muszj bekapcsolni, st a vltozst vglegesteni is (Apply).

8.30 BRA

~ 222 ~

A WEB PROXY A TMG-BEN

Ez a tesztels az, ami elrhet a msodik, Category Query fl alatt. Nem fogja nagyon megdolgoztatni az agyunkat, de azrt azt is tudnunk kell, hogy mr ehhez is kell az rvnyes (vagy a trial) licensz. Ha viszont ezen a fln a Report to URL linket vlasztjuk, akkor az MRS Feedback and Error Reporting (https://www.microsoft.com/security/portal/mrs/default.aspx) oldalra jutunk el, ahol egy rlap formjban ugyangy lekrdezhetnk, illetve javasolhatunk is oldalakat a megfelel kategria megjellsvel. Bztatunk is mindenkit arra, hogy hasznljk ezt a lehetsget.

8.31 BRA

A kvetkez fl alatt (URL Category Override) viszont direktben vehetnk fel kiegsztseket egy-egy mr ltez kategriba.

~ 223 ~

A KAPUN TL

8.32 BRA

Taln itt rdemes megemlteni azt is, hogy az MRS adatbzis nem exkluzvan a TMG rszre van. A Microsoft kzptv stratgija szerint sok egyb termk is hasznlni fogja. Amirt ez fontos az az, hogy az MRS-ben mr most sokkal tbb van, mint amit a TMG hasznl s ezzel a klnbsggel mint gyakorl TMG zemeltetk tallkozni is fogunk. Ugyanis az MRS adatbzisban jelenleg egy URL akr t kategriba is tartozhat. Amikor a TMG elkldi a krst az MRS adatbzis fel, akkor az MRS helyesen megvlaszolja a krdst s visszakldi az sszes kategrit amibe az URL tartozik. Azonban a TMG, csak az els kategrit fogja felhasznlni. Teht ha egy oldal a Technical Information s a Hacking / Criminal Activities kategriba is tartozik s az elsszm kategria a Technical Information, akkor ebbl lehetnek rdekes mkdsek. Hiba tiltjuk a Hacking / Criminal Activities kategrit, a TMG szerint az adott oldal a Technical Information-be tartozik. Ilyenkor csak a local override segt. Illetve a TMG termkfejleszt csapat aktvan dolgozik ennek a kezelsn s vrhat hogy ez a viselkedsi md megvltozik. Addig is rdemes ezt szem eltt tartva tervezni s hibakeresni adott esetben a rendszernket. (A lektor megjegyzse.)

~ 224 ~

A WEB PROXY A TMG-BEN

Ami maradt az a licensz informcik megtekintse, de ehhez mr nincs kp, mert itt vltoztatsra amgy sincs lehetsg, a licensz kulcs bevitele az EMP-nl mr megismert mdon, azzal egytt trtnik. s most nzzk meg, hogy a szablyokba foglals hogyan zajlik. Egy URL szr szably ksztsnl az els klnbsg az, hogy tipikusan tilt (Deny) szably ksztnk. A msodik pedig az a protokoll HTTP/S kell, hogy legyen. A harmadik pedig az, hogy a clunk (To) az egy vagy tbb URL kategria lesz. s itt jnnek be a kpbe a csoportok. Ugyanis rendelkeznk 11 db elredefinilt csoporttal (URL Category Sets), amelyben mr elzetesen bevlogattk a 79 kategria sszefgg elemeit. Ezeken persze mi mr nem vltoztathatunk, de tetszleges szm j csoportot azrt ltrehozhatunk.

8.33 BRA

Ezek alapjn mr knnyedn elkszthet lesz egy-egy URL szrssel rendelkez szably, de van mg egy rsz, amely emltst rdemel, s ez pedig a felhasznl szmra az oldal helyett rkez hibazenetek konfigurlsa.

~ 225 ~

A KAPUN TL
Ehhez az adott szablyban menjnk az Action flre, majd a Denied URL Request Action szakaszba, majd Display Denial Notification To User alatti mezbe berhatjuk a szpsges informci zenetnket (lsd kvetkez bra). Ugyanitt clszer az Add denied request category to notification opcit is bejellni, ez amely hatsra a felhasznl ltni fogja, hogy mely kategriba tartozik az az oldal amit blokkolunk. 81

8.34 BRA

Ez az zenet ennl is jobban testreszabhat, pl. olyan HTML kdokkal, amelyeket az oldalak <body> rszben hasznlhatunk. Viszont pl. nyelvi varicik nem jtszanak, azaz maximum az a szveg lehet magyar nyelv, amelyet itt begpelnk. s most nzzk meg a vgeredmnyt, azaz azt a hibazenetet, amelyet a felhasznl kap ha netalntn rossz tra tved. (8.35 bra).
81

Az tirnytsra utal legals opci (Redirect web client) ltalnos a tilt szablyoknl, az URL szrshez nincs kze.

~ 226 ~

A WEB PROXY A TMG-BEN

8.35 BRA A VGEREDMNY

Nmi magyarzat a szmozshoz: 1. Az ltalunk a szablyban begpelt hibazenet, itt pl. brmifle formzs nlkl. 2. A kategria megnevestse (igen, a bittorent.com a Malicious kategriban van) 3. Ugyanaz a riportolsi lehetsg (MRS Feedback and Error Reporting), mint amelyrl a mr sz volt korbban. Ezzel egy igen-igen tartalmas rsz vgre rtnk, amely tele volt jdonsggal, valamint pl. a HTTP filter vagy a HTTPS Inpection kapcsn taln nmikpp nehezebben emszthet, m rendkvl fontos tartalommal is. Valamint ezzel szrevtlenl be is fejeztk azt a tbb, nagy fejezetbl ll rszt is, amelyekben elssorban a klienseink hozzfrst s vdelmt szablyoztuk. Ami most jn az pontosan a fordtottja lesz az eddigieknek: megvizsgljuk azt, hogy kvlrl kit s hogyan engednk hozz a bels hlzat erforrsaihoz.

~ 227 ~

A KAPUN TL

9 K IT

S HOGYAN ENGEDN K BE ?

Most sok-sok oldalon keresztl tipikusan arrl a folyamatrl lesz sz, amely sorn a TMG kiszolgl beptett eszkzeivel a vdett bels, vagy az elklntett Perimeter (DMZ) hlzat klnbz szervereinek szolgltatsait elrhetv tesszk az internet vagy egy msik hlzat fel. A tipikusan kifejezs nem vletlen, hiszen ugyanezzel a mdszerrel termszetesen a bels kiszolglkat is publiklhatjuk a bels hlzat gyfelei szmra is, csak nem ez a tipikus. Pedig nincs ennek tl sok akadlya, s igazn van rtelme is, hiszen mirt is van alaprtelmezs szerint mindenkinek aki csak fellp a hlzatunkra (akrcsak egyszer is, mondjuk a laptopjval egy msik cgtl egy trgyals sorn) jogosultsga a pldul a webszerverekhez, a SharePoint kiszolglkhoz, stb.? J krds, de most mgsem ez a lnyeg, egyelre maradunk a publikls hagyomnyos esetnl. Kt csoportba oszthatjuk a szerver publikls alanyait, elszr egy kicsit kevesebbet fogunk beszlni az egyszerbb, szimpla szerver publiklsrl, majd ezutn sokkal tbb sz esik majd a webszerver publiklsrl (HTTP/S). A klnbsg valban szmottev, egy Windows hlzatban rettent sok s fontos webszerverre pl szolgltats van, amelyeket rtelemszeren a hlzaton kvlrl is el szeretnnk rni. Melyek ezek? - Maga a webszerver (pldul az IIS), statikus vagy dinamikus oldalakkal s az egyb, akr specilis, webes clalkalmazsokkal egytt. - Az Exchange szerverek webszerverre pl szolgltatsai (pldul az OWA, az OA, az ECP s mg az ActiveSync). - SharePoint/MOSS kiszolglk

9.1 BRA S OK EXTRA OPCI WEBSZERVER PUBLIKL S

Knnyen belthat teht, hogy a webszerver publikls valban jelents terletet fed le egy Windows alap hlzat zemeltetsi feladatain bell, nem vletlen teht az hogy a TMG is jval tbb publiklsi lehetsggel, vlaszthat bvtmnnyel kecsegteti az

~ 228 ~

KIT S HOGYAN ENGEDNK BE?

zemeltetket. A felsorols helyett nzzk meg az elz brt az elrhet belltsokrl s szolgltatsokrl (ksbb persze rszletesen ki is veszzk ezeket). E feloszts szerint a msik csoportba tartozik a szimpla szerver publikls, amit a legknnyebben taln gy tudunk meghatrozni, hogy minden ami nem webszerver publikls. Persze az gy kzztett kiszolglk, szolgltatsok szma is lehet jelents a helyi ignyek fggvnyben, viszont a konfigurlsi lehetsgek szma mindenkppen kevesebb, ahogyan az albbi kpen ez szpen lthat is.

9.2 B RA K EVS EXTRA , DE SOKFLE TPUS SZIMPLA SZERVER PUBL IKLS

Mg kt fontos, s inkbb technikai klnbsg is van a kt tpus kztt. Elszr is a webszerver publikls kizrlagosan a web proxy filtertl fgg, mg a szerver publikls a maradk (nem webes, FTP, PPTP, streaming, stb.) alkalmazsfiltereket hasznlhatja csak. A msik alapvet klnbsg pedig az, hogy szimpla szerver publikl szablyok a bejv (incoming) rtelmezsben hasznljk a protokollokat, mg a hozzfrsi s web publikl tzfalszablyoknl ez a kimen (outbond) irnyt jelent.

9.1 A

SZIMPLA SZERVER PUBLIKLS

Tisztzzuk az elejn, csak n hasznlom a szimpla kifejezst, egybknt a terminolgia szerint szerver publiklsnak hvjuk ezt a tpust. Egy szerver publikl tzfalszably a kliens krsnek az adott protokollon trtn tovbbtst jelenti. A TMG egy IP:port prost (socket) rendel ssze a sajt kls lbtl a publiklt bels szerver szintn IP:port prosig. gy aztn ha kvlrl e portra rkezik egy krs, mr mehet is befel, a megfelel szerver megfelel portjra. Nos, ez egy jabb klnbsg a kt publiklsi tpus kztt: mg a webszervernl lehet hogy csak egy virtulis mappt publiklunk, addig itt a teljes portra irnyul forgalmat bekldjk. Mg egy tudnival: mg ha route-ols is van belltva a TMG s adott hlzat kztt, a szerver publikls sorn a mindig NAT-olva lesz, de ennek kt tpusa is van, amelyet majd szablyszinten definilhatunk (lsd ksbb: Requests for the published server).

~ 229 ~

A KAPUN TL

A bels erforrsok ilyetn mdon mkd publiklsa a TMG rszrl a kvetkez tmogatsban rszesl: - Tbbszrs protokoll hasznlat: Egyrszt rengeteg elredefinilt TCP s UDP protokoll elrhet (mg a webesnl sszesen 2 darab), msrszt mi magunk is kszthetnk (s sokszor muszj is) egyni protokollokat, amelyeket aztn majd egyszeren fel tudunk hasznlni a szerver publikl szablyokban. Egy a lnyeg: az irny mindig csak a bejv lehet (erre figyelmeztet is a TMG egybknt). - A alkalmazsi rtegben trtn szrs: Gyrilag 13 82 db alkalmazsszr hasznlhat a szerverpublikl szablyokban (nzznk vissza az 5.4 brra). Ezeket tbbsgben alig konfigurlhatjuk, nem is kell, egy POP filterben mr benne van az ismert POP3-mal kapcsolatos tmadsi formk elhrtsa. Mg msoknl, pl. az FTP filternl a hangslyt pl. az aktv illetve fkpp a bonyolultabb portokat s csatornkat varil passzv FTP elrs megsegtse van beptve a szrbe. - A titkosts tmogatsa: Itt arra gondolunk, hogy a szerver publiklsban hasznlhatjuk az egyes protokollok tikostott vltozatt is, pl. SMTPS, POP3, IMAPS, stb. A TMG kpes tovbbtani a tikostott adatforgalmat a kliens s a szerver kztt, de ezek esetben nincs Bridging, vagyis a tzfal szmra ez transzparens forgalom. - IP cm naplzs: Amikor publiklunk egy bels szervert, akkor elvileg ez a szerver naplzza pl. a hozzfordul kliens IP-jt. De ha mindez egy ISA vagy TMG mgtt trtnik, akkor a bels szerver (s a kliens is) mindig csak a kztes elemmel van kapcsolatban, azaz pl. a TMG szemlyesti meg mindkt fl szmra a msikat. pp ezrt egy bels szerver napljban ebben az esetben mindig csak az TMG IP-je jelenne meg, hiszen mindig ez a gp a kliens. De krhetjk, hogy ez ne gy legyen, a szerver publiklsban is van lehetsg az eredeti IP tovbbkldsre is a bels szerver fel. 9.1.1 E G Y P L D A : FTP S ZE R V E R K Z Z T T E L A feladat egyszer, a bels hln mr mkd IIS7.5 (pontosabban FTP 7.5, mivel egy ideje ugye kln is letlthet) publiklsa a nagyvilgba. Ehhez induljunk el a Firewall Policy\Tasks\Publish Non-Web Server Protocols pontbl.

82

Valjban 14 van a kpen, de a web proxy filtert nem szmoljuk ide.

~ 230 ~

KIT S HOGYAN ENGEDNK BE?

9.3 BRA B RMIT RHATUNK BELE , DE N A P UB : RSSZEL JELLM A PU BLIKL SZABLYOKAT

MINDIG

A kvetkez panelen a bels szerver IP cmt kell megadnunk, mst nem is tehetnk.

9.4 BRA A VLASZTK

~ 231 ~

A KAPUN TL
Ezutn viszont kicsit komplikltabb vlik a helyzet. Ki kell vlasztanunk az elredefinilt szervertpusok kzl a megfelelt, azaz a mi esetnkben az FTP Server -t. Ezutn megtekinthetjk ennek a tulajdonsgait, st itt a paramterek alatt a gyrilag definilt portot s (ha van) a megfelel alkalmazsszrt is.

9.5 BRA E LSDLEGES S MSODLA GOS PROTOKOLLOK S A SZR ( K )

Ha visszamegynk az elz brhoz akkor a Ports gomb is rdekes lehet, hiszen ez alatt tudjuk a bels s kls portokat varilni. Az brn nem vletlen az els port szm. Az FTP alapesetben a TCP 21-es porton figyel, de tegyk fel, hogy nekem ezen a TMG-n keresztl mr van egy FTP szerver publiklva, ami egy msik bels gpre mutat. Ezrt egy msik portot vlasztottam, ami egyben azt is jelenti, hogy a kls kliensnek is majd gy ezt kell beirni az FTP kliens programban. A bels port viszont vltozatlan, mivel ezen a bels szerveren nem fut msik FTP szerver szolgltats (ha ott is ms a port, mint az alaprtelmezett, akkor viszont itt is vltoztatni kell). Legalul mg a dinamikus forrs (vagy helyi) portokat is korltozhatnm, de most ezt nem tesszk.

~ 232 ~

KIT S HOGYAN ENGEDNK BE?

9.6 BRA P ORTVARIA

Hadd emltsek meg egy msik hasznos trkkt is ezzel kapcsolatban. Ha a bels gpeket (tipikusan a szervereket) szeretnm VPN nlkl RDP-vel elrni, akkor alapesetben a tzfalam RDP portjra be tudok menni, de tovbb rtelemszeren nem. Ellenben ha ksztek egy-egy RDP publikl szablyt a bels szerverek IPjvel, s egy msik, nem hasznlt TCP porttal (legyen mondjuk most a TCP10000), amit itt belltok a Firewall ports alatt, akkor kvlrl a tuzfalgep.cegnev.hu:10000-ra kapcsoldva a bels szervert rem el az RDP kliensemben. Persze ezzel nyitottam egy portot a tzfalban, ami nem biztos hogy kvnatos, viszont mkdik. Ha megint csak visszanznk a 9.4 brra, akkor azt ltjuk, hogy eddig kimaradt a New gomb, amely alatt viszont egy j portot ltrehozva egy specilis porton mkd szervert tudok majd publiklni.

~ 233 ~

A KAPUN TL
Most erre nincs szksg, az FTP Server neknk j, ergo menjnk tovbb. A kvetkez lpsben ki kell vlasztanunk, hogy mely hlzatokhoz s esetleg azon bell mely IPkhez legyen hozzrendelve a publikls.

9.7 BRA P ORTVARIA

A hrom lehetsg kzl a kt alsnak csak akkor van rtelme, ha tbb IP-nk van. Ha 1 db van, akkor viszont teljesen mindegy, hogy az els kett kzl melyiket vlasztjuk. Ellenben ha tbb IP-nk van, akkor mindenkppen komolyan fontoljuk meg hogy melyiket vlasztjuk a hrombl. Az els esetn mindegyiken mkdik majd, ami pl. egy nem megfelel DNS bellts esetn problms lesz. A kzps lehetsg az alaprtelmezett (NLB-nl is) IP vlasztsa, mg a harmadiknl konkrtan ki kell vlasztanunk egyet, de hogy mg jobban zavaros legyen, lehet tbbet is. Ha csak egy IP-nk van, akkor semmikpp ne variljunk, j lesz az els opci, vagy esetleg gy jrunk mint a szerz, aki egy publikus IP vltskor 2 rt konfigurlt, miutn beindtotta az SMTP szerver forgalmt egy korbbi idita miatt, aki beirklta az egyetlen publikus IP-t minden szablyba Nos, ha a Network Listener IP Addresses ablakban vlasztottunk, jelen esetben pl. az External hlzatot, akkor mr csak egy sszegz kperny jn s mr kszen is vagyunk. Ha rvnyestnk az FTP szervernk mr l is, kvlrl is. De van mg hrom

~ 234 ~

KIT S HOGYAN ENGEDNK BE?

dolog, amelyet meg szeretnk emlteni a mr ksz publikl szablyban a teljessg ignye miatt, viszont egyetlen brn bell.

9.8 BRA M ILYEN IP- T KLDJNK TOVBB ?

A Requests for the published server rsz az rdekes, s nemcsak a korbban emltett naplzs miatt. Ha itt meghagyjuk az alaprtelmezett als opcit, akkor a naplzs nem szenved majd csorbt, mert egyttal itt vlik el a korbban mr emltett mindig NAT-ols tja, egyrszrl az n. half-NAT tpusra (a forrs ,mindig az eredeti IP), s full NAT-ra (ez a TMG mdszere, amikor a routing topolgia is egyszerbb, mert a vlasz garantltan a TMG-nek fog visszamenni, teht akr lehet ms alaprtelmezett tjrja a publiklt kiszolglnak). A flek kzl a From tovbbi hely szerinti korltozst jelent, a Schedule pedig idzthetv teszi a publikl szerver elrhetsgt. s most trjnk t a nagyobb falatra, azaz a webszerver publiklsra.

9.2 A

W EBSZERVER PUBLIKLS

Amikor 2006 szeptemberben megjelent az ISA kiszolglk harmadik genercis kpviselje, az ISA Server 2006, akkor els rnzsre drasztikus vltozst nem lttunk az elz verzihoz kpest, de ha kicsit alaposabban megvizsgltuk, akkor azrt tbb

~ 235 ~

A KAPUN TL
fontos, hasznos s nagylptk jtst is felfedezhetnk. Az jdonsgok nagyon nagy szzalka a webszerver publikls tmakrt rintette, drasztikusan megnvelve a lehetsgeinket. A TMG-ben viszont ezen a terleten nagyon sok vltozs nem trtnt, gyhogy ez a rsz a mg ISA rendszergazdk szmra is teljesen relevns lesz. A kvetkez hrom szakasz els kt rszben sorra vesszk a lehetsgeket, majd a harmadikban egy SSL-el mkd webszerver publiklst fogunk vgrehajtani, lpsrllpsre. 9.2.1 E G Y N A G Y F A LAT : A W E B L IS T E NE R Ezt a tmakrt muszj kiemelni egy kln s szlesebb ttekintsre, mert annak ellenre, hogy csak egyetlen fl egy webszerver publiklsi szablyban azrt igen bonyolult s flelmetesen granulris. A web listener-rl mr tbbszr sz esett, legutoljra a proxy szerver s a HTTP filter kapcsn, idzzk csak fel: A harmadik eset a web listener-ek, amelyek a publikl tzfalszablyokban hasznlatosak (ez ugye a bejv forgalom a szervereink fel), ktelez jelleggel. Ekkor a krs tja szintn a Firewall szerviznl kezddik, s a web listener-eren keresztl a web proxy motorhoz vezet, s ugyangy az alkalmazsszrk hatsa is rvnyesl rajtuk.

~ 236 ~

KIT S HOGYAN ENGEDNK BE?

9.9 BRA A WEB LISTENER - EKET A F IREWALL P OLICY \ T OOLBOX \ W EB L ISTENERS ALATT TALL JUK

Szval ha szeretnnk kzztenni egy bels webszervert, akkor a feladat azzal kezddik, hogy le kell gyrtanunk egy megfelel flet hozz a TMG-n, azrt hogy meghallja ha majd valaki keresi. Ez az a komponens, amellyel a kls felhasznl elszr tallkozik, amikor mondjuk a vonatkoz publikl szably alapjn bngszni prblja a bels webszervernket. Ha mg nem nincs web listener-nk, akkor a publikl szably varzslsa kzben is ltrehozhatjuk ezt egy kln varzslval, de lehet a szablytl fggetlenl teljesen kln is. Mi most egy mr ksz listener belltsait nzzk vgig, ugyanis ebben mr minden lehetsget ltunk, mg a varzslnl csak a ltfontossgakat. Ha az elz brt megnzzk alaposan, akkor lthatjuk, hogy ezen bell az els fl (General) csak informlis, a msodik (Networks), arra a clra szolgl, hogy kivlasszuk azt a hlzatot, ahol ez a flnk figyelni fog (ez ms ismers lesz a szimpla szerver publiklsbl), de a harmadik, azaz a Connections mr jdonsg.

9.10 BRA A Z A DVANCED GOMB KINYITV A A JOBB ALS RSZBE N

~ 237 ~

A KAPUN TL
Itt elszr is definiljuk, hogy HTTP avagy HTTPS lesz majd a listener rvnyessgi terlete, illetve ha esetleg mindkett (ezt szinte sosem gy hasznljuk), akkor mi legyen az tirnytsi opcikkal. Az brn kiemelt halad belltsoknl mindkt lehetsg fontos, hiszen a kapcsolatok korltja illetve az idtllps is lnyeges lehet egy adott helyzetben (errl mr szintn volt sz korbban, igaz a proxy szerver kapcsn). Ezutn tjutunk a Certificates szakaszra, ami anno az ISA 2006-ban szintn sokat vltozott, s mondhatjuk igazn kellemes jdonsg volt. Korbban ugyanis a szksges tanstvny kivlasztsa brmilyen problma esetn egy kiss rmlom volt. Nem kaptunk semmilyen informcit a rendszerben lv tanstvnyok lehetsges problmirl, csak egy ronda, piros keresztes, legorombt zenet rkezett. Most viszont egy kln ablakban, ttekinthet mdon kapjuk az informcit, ergo knnyebb kitallni mi a problma ezen a ponton. A kvetkez bra tartalmt a Select Certificate gomb alatt talljuk.

9.11 BRA T ANSTVNY - KEZELS TMG MDRA ( A KP HINYOS , PR ADATOT KIRADROZTAM )

A megfelel tanstvny kivlasztsa a megfelel elkszletek utn nem lesz nehz, azonban ehhez gondoskodnunk kell arrl, hogy:

~ 238 ~

KIT S HOGYAN ENGEDNK BE?

Legyen egy megfelel kls (pl. Netlock, Verisign, stb.) vagy bels tanstvnykiadtl (ha egy sajt Windows szervert alkalmazunk tanstvnykiadknt) szrmaz tanstvny, amelynek a Common Name mezje ugyanaz legyen mint amellyel majd publiklni fogjuk, azaz amellyel majd elrhet lesz kvlrl.83 A TMG gp megfelel tanstvny troljban legyen (azaz a helyi szmtgp troljban). A tanstvny kiadjnak a tanstvnya szintn szerepeljen a helyi gp Trusted Root Certificate Authorities troljban. Csak olyan tanstvny jhet szba, amelyben a privt kulcs is benne van, azaz az elzetes exportnl vagy az ignylsnl erre oda kell figyelnnk. A CDP (CRL Distribution Point) s az AIA (Authority Information Access) mezk tartalma is lnyeges lehet84, mivel ezek az adott tanstvnykiad visszavonsi listjnak elrsi tjait tartalmazzk. Ha vsrolunk egy tanstvnyt, akkor ezzel nem lesz gond, ha sajtunk van, akkor viszont a pontos, s l elrsi t megadsra mg az els tanstvnyok ignylse eltt, azaz a CA indt konfigurlsa kzben kell nagyon odafigyelnnk.

Ha nemcsak egy kls IP-vel rendelkeznk, akkor ugyanitt akr IP-nknt kln-kln tanstvnyt is megadhatunk, de ehhez elzetesen a Networks fln is kln -kln meg kell adnunk az IP-ket. s most az amgy is bonyolult listener konfigon bell, egy ritka sszetett rszhez rtnk, jjjn az Authentication azaz a hitelests szakasz. Kezdsknt nzzk meg azt, hogy a webszerver hitelestsi procedra milyen f szakaszokra oszthat: - A kliens jogosultsgainak elfogadsa. - A jogosultsgok rvnyestse, amelyhez egy hitelests szolgltat szksges (pl. Active Directory, RADIUS, SecurID), - A hitelestsi adatok deleglsa egy a TMG mgtt mkd szerver (pl. egy SharePoint) kzremkdsvel. Az els kt komponenst az adott listener segtsgvel konfigurljuk, mg a harmadikat majd a vonatkoz publikl szablyban (lsd a 9.2.3 alfejezetben). Ez egyttal azt is jelenti, hogy ugyanazt a listener-t termszetesen hasznlhatjuk majd tbb publikl
83

s persze pldul egy Exchange publikls esetn mindenkppen oda kell figyelni az adott tanstvny alternatv neveinek tartalmra is, azaz amikor egy SAN (Subject Alternate Name) tanstvnyt kell hasznlnunk, akkor a megfelel plusz neveknek is benn kell lennie a tanstvnyban. 84 Pldnak okrt a TMG is ellenrzheti ezeket, lsd HTTPS Inspection.

~ 239 ~

A KAPUN TL
szablyhoz is (lsd a 9.9 brt), st esetenknt vltoz deleglsi tpusokkal is. Ezek utn viszont tekintsk t csoportokba szedve az sszes, a TMG-ben megtallhat hitelestsi technolgit s mdszert. 1) Nincs hitelests 2) HTML rlap alap kliens hitelestsi metdus a) Windows (Active Directory) b) LDAP (Active Directory) c) RADIUS d) RADIUS OTP e) RSA SecureID 3) HTTP alap kliens hitelestsi metdus a) Basic b) Digest / wDigest c) Integrated 4) SSL kliens tanstvnyon alapul hitelests

9.12 BRA A HITELESTSI METDUS OK

~ 240 ~

KIT S HOGYAN ENGEDNK BE?

Ezek kzl a Nincs hitelests nem vicc, nem mindig van szksg hitelestsre, viszont a 3.85 s a 4. pont mdszereit a web proxy hitelestsnl mr kivesztk86, ergo jjjn a kakukktojs, azaz a msodik metdus. Az rlap alap hitelests (Forms-Based Authentication) Egyre tbb olyan webes alkalmazs, szolgltats jelenik az intranet/internet/extranet hlzatokban, amelyet miatt biztonsgos, rszletesen szablyozhat s testreszabhat hitelestsi formkat kell(ene) alkalmazni. Az intranet sz nem elrs, tnyleg komolyan el kell gondolkoznunk azon, hogy a bels felhasznlk valamint a vezetkes vagy vezetk nlkli alkalmi kapcsoldk (szlltk, vendgek, gyfelek, a laptopokkal, dpa-kkal, stb.) azonosts s hitelests nlkl rhessk-e el a bels hlzat eleddig semmilyen mdon nem korltozott erforrsait (webszerverek, portlok, stb.). Az ilyen tpus ignyek megjelense miatt a TMG-ben gyakorlatilag brmilyen webszerver publiklsnl hasznlhatjuk az FB A-t, hrom f csoportba osztva: - Jelsz rlap: felhasznlnv/jelsz, az Active Directory, az LDAP, s a RADIUS jogosultsgok ellenrzsre. - Passcode rlap: felhasznlnv/passcode, a SecureID s a RADIUS hitelestsnl. - Passcode/jelsz rlap: felhasznlnv/passcode a hitelestsre S felhasznlnv/jelsz a delegls cljbl. Az rlapos hitelests tovbbi jdonsgai kzl az egyik legfontosabb a jelszkezels. Ez azt jelenti, hogy jra van87 lehetsgnk a felhasznlk szmra megengedni, hogy akr tvolbl is megvltoztassk a jelszavukat, valamint azt is elrhetjk, hogy az ltalunk belltott idhatron bell a jelszvltoztats szksgessgrl rtestst (s ennek apropjn rgvest egy jelszvltoztat rlapot is) kapjanak. A kt opci nem szksgszeren jr egytt, szerencsre kln-kln is szablyozhatak. Tovbbi megjegyzsek s tudnivalk az rlap alap hitelestsrl - A TMG (s az ISA is) kpes ezt a hitelestsi formt a mobil kliensek szmra is nyjtani, persze csak akkor ha a mobil eszkzrl berkez krs User -Agent fejlce alapjn megfelelen detektlta a klienst. Az ide tartoz rlapok az TMG teleptsi mappjnak Templates\CookieAuthTemplates\ISA mappjban tallhatak meg.
85

Itt maximum azt rdemes mg megjegyezni, hogy ha ezt a mdszer vlasztjuk, akkor az Advanced alatt a Allow client authentication over HTTP pipt mindenkppen be kell be kell kattintani. 86 Az SSL kliens hitelestsnl van fallback, azaz tartalk megolds, mghozz tbb is: a Basic, a Digest s az Integrated. 87 Mert volt rgebben is, pl. az Exchange-nl.

~ 241 ~

A KAPUN TL

9.13 BRA E GY SZIMPLA WEBOLDALHOZ TARTOZ HITELESTS JELSZ VLTOZTATSI KRSSEL

Kzvetlenl ide tartozik az is, hogy a szimpla HTML rlapok is teljesen testreszabhatak, a teleptsi mappa CookieAuthTemplates\HTML knyvtrban tallunk meg ehhez mindent, pl. az sszes szveges rszt a Strings.txt-ben. A TMG 26 klnfle nyelven kpes ezeket az rlapokat megjelenteni, szintn egy vizsglat, azaz a bngsz nyelvi belltsai alapjn. Termszetesen ettl eltr belltst is megtehetnk a publikl szablyon bell (Listener/Properties/Forms), azaz elkpzelhet olyan fellls is, hogy ms lesz az rlap s ms a bngsz nyelve.

A multifaktoros hitelestsrl Teljesen egyrtelm, hogy a hitelestsi folyamatnak igazn biztonsgosnak kell lennie, de hogyan lehet mg jobban fokozni a biztonsgossgot? Ersebb titkost kulcsokkal, bonyolult, gyakran vltoz jelszavakkal, publikus s privt krnyezetben eltr mdon mkd krnyezeti belltsokkal? Igen-igen, de mgsem csak gy. Ha viszont msfell kzeltnk s a tbbszrs hitelestst, vagyis az n. multifaktoros mdszert alkalmazzuk, akkor valsznleg nagyobbat lpnk elre. Mirl van sz?

~ 242 ~

KIT S HOGYAN ENGEDNK BE?

Pldul az elszr az ISA Server 2004-ben bemutatkoz multifaktoros hitelestsrl, amely a felhasznlt ketts hitelestsre knyszertheti, azaz egy user/password kombinci S egy hardver eszkz vagy egy tanstvny bemutatsra. A lehetsges varicik szerint a felhasznlnak rendelkeznie kell: - Egy tanstvnnyal. - Vagy egy egyszeri jelszt/kdot (One-Time Password, OTP) generl szoftveres modullal/hardver eszkzzel. - Vagy egy SecurID eszkzzel, amely minden szksges esetben (hossz rvnyessgi idben, pl. 2-3 vig) egy n. passcode-ot (nagyon rvid lejrat szmkombinci) kpes generlni.

9.14 BRA P ASSCODE S PASSWORD , UGYANAZZAL A USERREL

Jelenleg valsznleg az els a tipikus plda, amikor is a felhasznl rendelkezik egy smartcard-on elhelyezett szemlyes tanstvnnyal.

~ 243 ~

A KAPUN TL
A multifaktoros hitelests alkalmazshoz tartozik mg kt gondolat: - Az rlapos hitelests simn egytt hasznlhat ezzel a mdszerrel (lsd 9.14 bra). - Az OTP az ISA 2004-ben maximum az SecurID megoldshoz volt alkalmazhat, az ISA 2006-tl kezdve viszont a RADIUS hitelestsnl is tmogatott. A jogosultsgok trolsa A TMG kpes trolni a Basic s az rlap alap hitelestsnl hasznlt felhasznli adatokat. Ha krjk ezt a lehetsget (alaprtelmezsben tiltva van), akkor a TMG egy TCP session-ben egyszer, a legels HTTP krs alkalmval kveteli meg csak majd ezeket az adatokat, s utna csak x idnknt, az x rtke pl. a kvetkez brn 300 mp . Ezt a mdszert az Integrated (az AD s az LDAP fle egyarnt) s a RADIUS hitelests md is tmogatja.

9.15 BRA A KZPS (C LIENT C REDENTIALS C ACHING ) RSZ A LNYEG

88

88

Ha az brval ellenttben egy olyan listener-rl lenne sz, amelyben SSL kliens hitelests is van, akkor tovbbi flek llnnak rendelkezsre (Client Certificate Trust List; Client Certificate Restrictions), s gy tovbbi restrikcikat is bevezethetnnk a tanstvny elfogadsval kapcsolatban.

~ 244 ~

KIT S HOGYAN ENGEDNK BE?

Kzben az rlapos hitelests apropjn szpen csendben tvezetnk a Forms flre is, hiszen ezt illetve ennek a paramtereit itt lltjuk be.

9.16 BRA M I LEGYEN AZ RLAPON ?

Ha egyni rlapot szeretnnk, akkor a TMG sablonjai alapjn elksztett rlapunk helyt, azaz egy mappt kell megadnunk a panel tetejn. A kzps rszben (Display the HTML form in this language) lltjuk be, hogy milyen nyelv legyen az rlap. Alapesetben meghagyjuk a felhasznl bngszjben tallhat nyelvi belltst (Match user browser settings), de kierszakolhatunk egy eltr nyelvet is s ez ktelezen fellrja majd a bngsz belltsait. Legalul pedig a korbban mr emltett jelszkezels rszletei ltszanak. Kicsit el van dugva, de ennek ellenre nagyon fontos az Advanced gomb tartalma is, ahol a cookie kezels rszleteit lltjuk, azaz pl. azt, hogy mikor lehessen egyltaln perzisztens, azaz lland stiket hasznlni. Ezek ugye szenzitv tartamak is lehetnek, ergo ha a felhasznl egy publikus helyen (pl. egy internet kvz) lp nem, akkor nem okos dolog, ha eltrolsra kerlnek. J, hogy szba jtt, ugyanis pontosan a belpst emlegetve lpnk t a kvetkez rszbe, azaz hogy meddig ljen egy felhasznli session. Ennek ideje lehet korltlan, vagy fgghet attl, hogy a felhasznl milyen

~ 245 ~

A KAPUN TL
biztonsgi belltst vlaszt az rlap nyitlapjn. Nzznk vissza egy tetszleges rlapos brra (pl. 9.14), azt fogjuk ltni, hogy mindig van egy Public or Shared s egy Private opci, amelyek belltsai, pl. itt az idtartamokban (vagy az elbb a cookie knl) eltrnek. Azonban ez a lehetsg, csak akkor r valamit, ha a felhasznl tudatosan vlaszt, azaz tisztban van vele, hogy egy nyilvnos helyen nem a Private opci a nyer.

9.17 BRA T OVBBI RLAP OPCIK ( A NON - BROWSER KLIENSEK PL . A PDA- K LEHETNEK )

A web listener belltsainak utols szakasza az SSO-val kapcsolatos. Mivel egyre n a publiklt szolgltatsok szma, knnyen elkpzelhet, hogy egy szervezeten bell tbb klnbz erforrst is szeretnnk megmutatni a kls felhasznlknak. Ez rendben is lenne, de azonnal addik egy problma is ennek kapcsn, mgpedig az jra bejelentkezsek szksgessge. Ezzel el is rtnk az SSO (Single Sign-On, egyszeri belps) mdszer alkalmazshoz, amelynek a lehet legtbb esetben clszer egytt hasznlni a klnbz hitelestsi megoldsokkal (de csak az rlaposnl mkdik), mert klnben elssorban a felhasznlk szmra - nagyon frasztv vlhat egy-egy belpsi folyamat. Ha itt berjuk a tartomnyunk kvlrl elrhet DNS nvtert (.netlogon.hu), akkor a felhasznl amikor pl. az OWA-bl egy e-mailben kattint egy hivatkozsra, amely egy

~ 246 ~

KIT S HOGYAN ENGEDNK BE?

bels Sharepoint oldalra mutat, akkor nem kell majd jra belpnie a Sharepoint-ba, hanem a TMG belp majd felhasznl helyett a httrban.

9.18 BRA A Z SSO ENGEDLYEZSE

9.2.2 T O V B B I W E B S ZE R V E R P U B L IK L S I O PC I K Itt s most mr nem trekszem a teljessg ignynek maximlis kielgtsre, hanem csak az rdekesebbeket illetve a fontosabbak emelem ki. A hrom sornyi flbl egyet, azaz a Listener-t mr alaposan kivgeztk, s ksbb az Exchange publiklsnl egysmsra egybknt is fny derl majd.

9.19 BRA I SMTLS GYANN T : A KLNBZ FLEKEN A WEBSZERVER PUBLIK LS FINOMHANGOLSI

LEHETSGEI RHETEK EL

~ 247 ~

A KAPUN TL

Bridging A Bridging fl az, ahol a web- illetve egyttal az FTP szerver 89 porttirnytsi lehetsgei tallhatak. Itt akkor fogunk srn jrni, ha trtnetesen a TMG kiszolgln helyeztk el a webszervert is - ami nem a legbiztonsgosabb szkenri, de pldul egyetlen szerver esetn (lsd korbbi SBS verzik) nincs tl sok vlasztsi lehetsg.

9.20 BRA TIRNYTS

Ez esetben teht a webszerver szeretn a hagyomnyos HTTP portot magnak tudni, de errl a szndkrl az TMG villmgyorsan le fogja beszlni. Mkd IIS esetn a vrhat konfliktusra mr a telept is figyelmeztet, mert a TMG-nek kerek-perec, hatatlanul szksge van a 80-as portra. Teljesen logikus, hogy mirt, a kls (de a bels gyfeleknek is) a TMG kell, hogy legyen az egyes szm kapcsolat, ezrt a 80-as porton a web listenerek kell figyelnie, hogy aztn mr tovbbadhassa a krsket s vlaszokat a webszerver illetve az gyfl fel. A megolds nem a kiss nehzkes a

89

FTP szerver? Azon mr tl vagyunk, nem? Nos, itt bellthatjuk azt is, hogy a HTTP/S krsek FTP krsekknt tovbbtdjanak a webszerver fel.

~ 248 ~

KIT S HOGYAN ENGEDNK BE?

http://www.ceg.hu:8181 formula, azaz egy alternatv port hasznlata, hanem az tirnyts. Az gyfl bngszje a 80-as porton kzelt, a TMG elkapja, s a Bridging fln belltott tetszleges porta tovbbtja a krst. Ehhez mr csak a webszerver tulajdonsgainl kell ugyanezt a portot belltani. Termszetesen ha nincs webszerver a TMG szerveren (ne is legyen), akkor erre nincs szksg, mert ekkor egy msik gp, a bels szerver 80-as portjt hasznljuk (de ha nem, akkor ugyangy tirnythatunk), nem zavarva az TMG listener-jt. To Rvid s vels neve van ennek a flnek, nem is sejtetve, hogy egszen fontos dolgok rejtznek mgtte. Ktelezen itt a publiklt webhely nevt, esetleg alatta a bels nevt vagy IP cmt (ha nem egyez) kell megadnunk. Ha SSL-t hasznlunk ez csak olyan nv lehet, amely a tanstvnyon is szerepel, ms esetekben viszont elkpzelhet hogy a TMG nem tudja feloldani az adott nevet, ezrt kell a msodik mez pl. az IP cmmel.

9.20 BRA H ROM LNYEGES DOLOG IS HELYET KAPOTT EZEN A PANELEN

~ 249 ~

A KAPUN TL
A Forward the original host header instead of the actual one opci pl. az OWA publiklsnl hasznos, annyira, hogy az Exchange publikl varzsl automatikusan be is kattintja. Ennl a pontnl a krds az, hogy az TMG tovbbtsa-e az eredeti host header informcit vagy kicserlje? Alaprtelmezsben kicserli a mr emltett msodik mez tartalmra, mert ez a biztos megolds, viszont nem felttlenl j neknk, pontosabban az adott alkalmazsnak. A kvetkez opci (Proxy requests to published site) viszont a szimpla webszerverek esetn is l s szmt. Az alapfellls szerint a bels webszerver minden kvlrl rkez krs esetn csak a kzvett felet, az TMG-t ltja (mivel a fejlcben az TMG kicserli a forrs IP-t), azaz gyakorlatilag csak a TMG bels hlzati krtyjnak IP cmvel szembesl. Ez egyszerv teszi a webszerver vlaszt, hiszen a cm ismers alhlzaton van, benne van a routing tblban, kzvetlenl elrhet, sszesen annyi dolga van, hogy egy ARP krst kld, s ha megjn a vlasz, mehet a forgalom. Ha viszont az als opcit vlasztjuk, akkor annyi a klnbsg, hogy a webszerver egy idegen IP-vel tallkozik, amelyrl nem lesz informci a routing tblban, ezrt az ARP krst az alaprtelmezett tjrnak kldi el, oldja meg az a problmt. Mivel ltalban a TMG bels lba az alaprtelmezett tjr (ebben az esetben muszj is, hogy az legyen), megjn a vlasz s indul a forgalom. Ha valaki ezt mr harmadszor is elolvasta, biztosan azt fogja krdezni, hogy minek bonyoltani a dolgot az als opcival??? Hiszen a folyamat tbb idbe kerl valamint plusz terhelssel is jr. Van rtelme, ha ms nem az, hogy az IIS naplban nem egyetlen IP cm kerl be (a TMG bels lba), s vezeti majd a naplbl kpzett statisztikt toronymagasan, hanem a valdi kliensek cmei. Az els opci viszont akkor ktelez, ha nincs lehetsgnk arra, hogy a TMG legyen az alaprtelmezett tjr (azaz valamilyen okbl nem lehet SNAT kliens a bels webszerver), hiszen ekkor a webszerver s a TMG kztti kapcsolat e nlkl is tretlen lesz. Egy az letbl mertett plda, azaz mirt fontos mg az eredeti IP cm: sok helyen a TMG mgtt lev web kiszolglk valamilyen terhelselosztsi megoldssal rendelkeznek. Legtbb esetben ez kis haznkban a Windows Network Load Balancing. A WNLB affinits belltsainak eredmnyeknt egy kliens mindig ugyanahhoz a WNLB taghoz megy, amg azzal a taggal nem trtnik valami hiba. Ha minden bejv krsnk 1, legfeljebb 2 IP cmtl szrmazik, akkor a TMG mgtt lev WNLB-t akr le is kapcsolhatjuk, mert az sszes kliens krs ugyanahhoz a WNLB taghoz fog rkezni. (A lektor megjegyzse.)

~ 250 ~

KIT S HOGYAN ENGEDNK BE?

Hitelests-delegls Egyre tbb esetben fordul el az a helyzet, hogy a hlzatokat elvlaszt elemnek, azaz a tzfalnak kell az elsdleges ellenrzst elvgeznie, azrt is, hogy a bels hlzatban mkd kiszolglt ne terheljk, s ne kockztassuk az llapott, pldul egy prblgats kedv, az OWA-ba jogosultsg nlkl belpni hajt internetes vendg miatt. Maradva a pldnl: sokkal jobb ha a TMG egy Exchange szervernek hazudja be magt, s mr a hatrvonalon visszautastja a jogosulatlan elrst, mintha minden hitelestsi csomagot elzetes vizsglat nlkl, nyomban tovbbtana az Exchange szervernek. Ezrt van az, hogy egy - a TMG kiszolgln keresztli - hitelestsi folyamatban csak a jogosultsgok rvnyestse utn kvetkezik jogosultsgi adatok vgleges ellenrzse, amelyet delegl a TMG a megfelel bels szerver fel. Viszont itt is van fontos vltozs, mert mg az ISA Server 2004-ben csak a Basic hitelestsnl lt ez a lehetsg, a 2006-os verzitl kezdve gyakorlatilag minden egyes hitelestsi metdusnl alkalmazhat. St, a publikl szablyoknl a kvetkez lehetsgeink vannak mg ezeken kvl is: - Nincs delegls s a kliens nem hitelesthet kzvetlenl (biztonsgi okokbl akr ki is kapcsolhat a komplett delegls) - Nincs delegls, de a kliens hitelesthet kzvetlenl (a TMG nem avatkozik be) - A Basic hitelests deleglsa - Az NTLM hitelests deleglsa - A Negotiate (megegyezses) mdszer, azaz NTLM/Kerberos hitelests delegls - Kiknyszertett Kerberos delegls 90 (pl. ha kliens tanstvnyon alapul hitelestsre vgyunk) - A SecurID hitelests deleglsa

90

Minimum Windows Server 2003-as tartomnyi mkdsi szint szksges hozz.

~ 251 ~

A KAPUN TL

9.21 BRA M IVEL EZ EGY S ECUR ID- S HITELESTSSEL OPERL PUBLIKLS , EZT IS DELEGLHATJUK

Link Translation A Link Translation, szintn nem keveset fejldtt a kezdetek, azaz az ISA 2004 ta. Ez a szolgltats arra a clra van beptve a publikl szablyokba, hogy az adott website oldalain bell elhelyezett hivatkozsok mindig pontosak legyenek. Mivel a kls gyfelek szmra a TMG az egyetlen kapcsolat, ezrt ennek a szolgltatsnak az ISA kiszolgln kell mkdnie. Konkrtan ez azt jelenti, hogy a TMG korriglja a felhasznl fel pl. a HTML kdban rvid nvvel (http://kiszolgalo/kep.gif) megnevezett hivatkozsokat, az FQDN nvre (http://www.kiszolglo.hu/kep.gif). Ez az alapszint, automatikusan bekapcsolt mvelet, de emellett mi magunk is felvehetnk tbb hasonl szablyt is.

~ 252 ~

KIT S HOGYAN ENGEDNK BE?

9.21 BRA L INK T RANSLATION EGYSZER S NAGYSZER

Mirt van erre szksg? Pldnak okrt vegynk egy olyan webalkalmazst, amelyben tbb helyen is rgztve van a kiszolgl korbbi neve, de azta sajnos ezt a szervert mr tneveztk. Ekkor csak felvesznk egy j s loklis szablyt a rgi s az ezt lecserlend j nvvel, s a TMG megteszi a vltoztatst. Egyszer s nagyszer szolgltats ez, ami az ISA 2006-tl kezdve annyival bvlt, hogy az elnevezsekhez extra karakterkszleteket is rendelhetnk (az UTF-8 mellett). St, az sszes hozzrendelst s ezek rszleteit megtekinthetjk egy kln weblapon a Mappings gombra kattintva. 9.2.3 E G Y M S IK P L D A : W E B S ZE R V E R SSL- E L Immr j nhny alapfogalommal tisztban vagyunk, jjjn teht a gyakorlat. A feladat egy SSL-el mkd, de minden msban szimpla webszerver kzzttele, majd nhny extra opci belltsa. A webszerver a bels hlzatban van s egy IIS-rl van sz, teht egyszeren hasznljuk a beptett varzslt a TMG MMC-bl. 1. Az els lps a Firewall Policy nzetben a feladatok (Tasks) kzl kivlasztani a Publish a Web Site pontot, de a kvetkez brn lthat mdon is elrjk.

~ 253 ~

A KAPUN TL

9.22 BRA L INK T RANSLATION EGYSZER S NAGYSZER

2. Az dvzl kperny s a szably elnevezse kvetkezik.

9.23 BRA A DJUNK RTELMES NEVET A SZABLYNAK , S KNNYEBB LESZ 6 HNAP MLVA RTELMEZ NI

3. Az engedlyezs kivlasztsa utn el kell dntennk, hogy milyen tpus webszerver publiklsrl van sz.

~ 254 ~

KIT S HOGYAN ENGEDNK BE?

9.24 BRA V LASSZUK KI A WEBSZER VER TPUST

4. Az els eset egy egyszer website (jelen esetben ez kell neknk), vagy ppen egy olyan specilis load balancer szerver publiklsa, ami egy webszerver farm (kett vagy tbb webszerver, amelyen ugyanaz a website vagy alkalmazs fut) eltt helyezkedik el. Az ajnls szerint ha ez utbbi publiklsa a clunk, akkor clszer inkbb a msodik pontot vlasztanunk. Ha teht trtnetesen egy webszerver farm fellltsa s publiklsa a feladat, akkor a TMG MMC-bl lesz lehetsgnk nhny specilis terhelselosztsi tulajdonsg hangolsra is a publikls mellett. A harmadik vlasztsi lehetsg akkor segt bennnket, ha tbb website publiklsa a feladat, egyetlen varzslval. 5. Ha tovbblpnk akkor el kell dntennk, hogy hasznlunk-e ktelezen titkostst (SSL) a webszerver elrsre. Mi most igen, ehhez teljestennk kell majd ksbb nhny kritriumot, de egyelre mg csak vlasztunk, ms teendnk nincs.

~ 255 ~

A KAPUN TL

9.25 BRA M I AZ SSL- T VLASZTJUK

6. A kvetkez lpsben nevezzk meg a bels szervert a bels nevn, s ha szksges a NetBIOS neve, vagy az IP cme is megadhat. Itt egybknt nmikpp elregondolva az SSL miatt - arra is kell figyelnnk, hogy a tanstvnyban szerepl webszerver nvnek (vagy egy SAN tpusnl valamelyik alternatv nvnek) s ennek a nvnek meg kell egyeznie.

~ 256 ~

KIT S HOGYAN ENGEDNK BE?

9.26 BRA B ELS NEVEK MEGADSA

7. Az elrsi t megadsa opcionlis, mert alapesetben elg az elz szervernv, de lehetsges behatrolni mappa szinten az adott website tartalmnak elrst. s itt adhatjuk meg a korbban mr kitrgyalt host header tovbbtst.

~ 257 ~

A KAPUN TL
9.27 BR A A GYKR A CL VAGY BE LJEBB MEGYNK

8. Mg mindig az elnevezsen rgdunk, hiszen a kvetkez panelen jhet a publikus nv s az elrsi t rgztse. Ebbl is ltszik, hogy az a nvads abszolt rugalmas, hiszen btran lehetsges egy a 23. szinten lv mappa tartalmt egy szimpla URL-el helyettesteni. Az www.netlogon.huAccept request for mez viszont szintn emltst rdeml, ugyanis ha a This domain name (type below) lehetsget vlasztjuk, akkor a TMG csak az ltalunk megadott nvre irnyul krst dolgozza fel, azaz ha brmilyen ms (ha l, ha nem) nvvel, vagy IP-vel prblkozunk, akkor azt megtagadja majd.

9.28 BRA K VLRL HOGYAN LEHET MAJD ELRNI ?

9. A kvetkez lps a mr sokat emlegetett listener ltrehozsa, vagy ppen kivlasztsa ha mr rendelkeznk egy megfelelvel. Itt ez most rszleteiben kimarad, mivel a 9.2.1-ben mindent elmondtam mr errl, de annyit azrt tudnunk kell, hogy ennl a publiklsnl mi a Nincs hitelestst vlasztjuk, valamint a megfelel tanstvnyra is szksgnk volt.

~ 258 ~

KIT S HOGYAN ENGEDNK BE?

9.29 BRA H A MEGVAN A LISTENER MEHETNK IS TOVBB

10. Ezutn a hitelests-delegls lps kvetkezik, amelyrl mr szintn esett sz, viszont a mi esetnkben most nincs szksg erre, mivel ugye hitelests sincs. 11. Egy specilis felllsban akr mg felhasznlk s csoportjaik szerint is szrhetnnk az elrsre, de egy publikus website esetn (mg ha SSL-el is mkdik) erre nem lesz szksg, gy meghagyjuk az alapbelltst a kvetkez lpsben, s az sszegz, ellenrz ablak utn vgeztnk is a webszerver publiklssal. 12. Nos, innentl elvileg mkdik a webszervernk HTTPS-el mkd kls elrse, de azrt mg nem vgeztnk, prbljunk ki egy remek dolgot, azaz az integrlt tesztelst, a publikl szably bal als sarkban lv Test Rule gombbal. Ez rengeteget segthet, mivel az esetleg hibazenet(ek)bl rgtn kitallhatjuk, hogy mit szrtunk el.

~ 259 ~

A KAPUN TL

9.29 BRA M KDIK !

9.3 S PECILIS

PUBLIKLS : AZ

E XCHANGE S ERVER

Ez a tmakr is hatalmas. Elssorban azrt, mert rengeteg fle forgatknyv szerint hasznlhatjuk kvlrl is az Exchange szerver szolgltatsait, msrszt azrt, mert az sidk ta nagyon szoros kapcsolat van e kt nagy kiszolgl kztt. Kezdjk azzal, hogy egy rvid ttekintst adunk az Exchange szerverek szerepkreirl.
9.1 TBLZAT E XCHANGE SZERVER SZEREP KRK

Szerepkr Mailbox Server Client Access Server

Lers Back-end kiszolgl, amely a postafikokat s a nyilvnos mappkat trolja. OWA s ActiveSync, POP3 s IMAP valamint pl. az Autodiscover s egyb webes szolgltatsok tmogatsa. A PBX (Private Branch eXchange) rendszerekhez kapcsolhat szerepkrt, amellyel telefonon

Unified Messaging Server

~ 260 ~

KIT S HOGYAN ENGEDNK BE?

keresztl frhetnk hozz a postaldnkhoz, s pl. hangvezrlssel irnythatunk kattintgats helyett. Hub Transport Server Edge Transport Server A levelek tovbbtst vgzi ( ez egy klasszikus SMTP szerver) az Exchange organizcin bell. A Perimeter (DMZ) hlzatban elhelyezett levl tovbbt szerver, amely a bels Hub Transporttal egyttmkdve fogadja s kldi az emailjeinket (SMTP-vel szintn).

Ha csak a publiklst tekintjk (s elssorban az Exchange 2010 + TMG prosra fkuszlunk), akkor nagyjbl ngy eltr terletre oszthatjuk fel az Exchange szerverrel vgzend feladatainkat, persze nem egyenl rszben: 1. Az SMTP szerver publiklsa (kt mdszerrel is) 2. SMTP, vrus s spam vdelem (Exchange Edge / FPE Server) 3. A klasszikus e-mail protokollok (POP3, IMAP) publiklsa 4. Webes kliensek (OWA, OA, ECP, ActiveSync) publiklsa 9.3.1 A Z SMTP S ZE R V E R P U B L IK L S Ez egy egyszer szkenri, a kevs komforttal s innovcival - de a legkevesebb munkval is. Vegynk egy szolid, egyszer krnyezetet alapul, Perimeter, Edge Server s minden ms extra nlkl, azaz az egyetlen Exchange szervernk a bels hlzatban SNAT kliensknt tengeti htkznapjait, s szeretnnk ha a TMG-n keresztl SMTP szerverknt mkdne. Az egyb mkdsi feltteleket (pl. az MX, PTR esetleg az SPF rekord) mr mind megteremtettk, st az Exchange-ben is konfigurltuk mr a megfelel konnektorokat. Ezek utn pl. a Firewall Policy pontra a jobb gombbal kattintva, egy j publikl szablyknt vlasszuk a Mail Server Publishing Rule-t a rgi jl bevlt ISA szerveres mdszer szerint.

~ 261 ~

A KAPUN TL

9.30 BRA I TT MG BRMI LEHET

A varzsl kvetkez ablaka az amelyben elvlik majd a kvetkez fejezet tmjtl a jelenlegi, ugyanis most mi a szerverek kztti kommunikcit akarjuk ersteni, ezrt ezt vlasszuk.

~ 262 ~

KIT S HOGYAN ENGEDNK BE?

9.31 BRA

A kvetkez lpsben finomtunk, azaz vlaszthatunk, hogy SMTP, SMTPS, illetve NNTP szerver publiklst hajtunk.

~ 263 ~

A KAPUN TL
9.32 BRA H AGYJUK AZ ISMERS M DSZERT

Most jn a meglepets, ugyanis ha kivlasztjuk az SMTP-t, akkor egy felhvs formjban tudatja velnk a TMG, hogy van mr ennl jabb mdszer is, hagyjuk ezt. Nos hagyjuk is, de azrt ha mgis folytatnnk, akkor jelzem, hogy ezutn mr csak az Exchange Hub Transport kiszolgl IP-jt kell megadni, valamint azt a hlzatot kell kivlasztani ahol figyelnie kell majd az SMTP listener-nek - ez tipikusan az External lesz. Na de akkor trjnk r az ajnlott megoldsra, de eltte szeretnm jelezni, hogy az ajnls oka a TMG rszrl egy teljesen ms hozzllst jelent majd. 9.3.2 SMTP V D E LE M , V R U S - S S P AM S Z R S Az ISA 2004-ben szerepelt egy rdekes komponens, amely neve SMTP Message Screener volt, s egy msodik SMTP szerver beillesztsvel kpes volt az ISA s az Exchange szerverek kztti forgalomban, az e-mailek fejlcben s trzsben a vrusokat s a kretlen leveleket kiszrni, ltalunk bevitt sztringek s szignatrk alapjn. Teljesen jl mkdtt, sok egyb dolgot is lehetett benne lltani, viszont minden szrnival elemet csak manulisan lehetett bevinni, s minden ilyen alkalommal ktelez volt az SMTP szerver restart. Ez gy 2010-ben mr nem tnik azrt nagy szmnak, de mr korbban sem volt az: a Microsoft az ISA 2006-bl ki is vette ezt a komponenst, s a mr Exchange 2003-ban is hasznlhat, az Exchange szerverr telepthet Intelligent Message Filter mellett tette le a vokst. Aztn az Exchange 2007-ben mr egy igen kellemes komponenst kaptunk a spamek szrsre - beptve az Exchange-be. Egsz pontosan egy kln szerepkrrel (Edge) mkd szerverrel a Perimeter hlzatban, SMTP gateway-knt kivlan mkdhetett a spamszrs (plusz a Connection/Content/Sender/Recipient filtering, a Sender ID s pl. a Sender Reputation), s a hozztartoz adatbzisok pedig egyszeren frisslhettek pl. a Microsoft Update szerverekrl vagy egy WSUS-on keresztl is. Ha magasabb elvrsaink voltak, akkor hasznlhattunk egy nagyobb tuds eszkzt, pl. a Forefront Protection For Exchange Server-t. A TMG sznrelpsvel a vltozs a spam, vrus s SMTP vdelem trgykrben egsz jelents, mivel az Exchange Edge szerepkr s/vagy a Forefront Protection For Exchange Server 2010 immr magra a TMG gpre telepthet, s helyben mkdik91. Ez egyszerbb, olcsbb s gyorsabb feldolgozst jelent, valamint nemcsak helyben mkdik, helyben is konfigurljuk. Ez egyben az SMTP szerver egy jfajta publiklst
91

J lett volna ez mr korbban is, csakhogy az ISA-bl csak 32 bites volt, az Exchange 2007-bl meg csak 64 bites.

~ 264 ~

KIT S HOGYAN ENGEDNK BE?

is lehetv teszi, s ezt a TMG-ben egy n. E-Mail Policy varzslval hozzuk ltre. Nzzk meg akkor, hogy hogyan trtnik mindez.

9.33 BRA I TT KEZDDIK MINDEN

Az elz brn is lthat E-Mail Policy pontra kattintva egy res kpernykpet kapunk, viszont a kzps keret fejlcben ott virt a Configure E-Mail Policy varzsl indt linkje, amellyel az SMTP route-okat fogunk ltrehozni a TMG s a levelezszervernk (vagy szervereink) kztt.

~ 265 ~

A KAPUN TL

9.34 BRA V ARZSOLJUNK KAPCSOLA TOKAT

Ha elindtjuk, rgtn kapunk egy figyelmeztetst, amely arrl szl, hogy ez az egsz vdelem csak s kizrlag akkor mkdik, ha minimum egy Exchange Edge szerepkr mr megtallhat a TMG-n, illetve akkor is, ha ez kiegszl a FPE2010-el (amelynek 120 napos vltozata megtallhat a telept mdin). s ami mg fontos, az Edge s/ vagy az FP2010 teleptsre elbb kell sort kertennk mint a TMG-re. St, az FPE-t csak az Exchange Edge utn tehetjk fel. s persze tisztzzuk: az Exchange Edge megkveteli a sajt licenszt, gy ahogyan az FPE is pnzbe kerl majd 120 nap utn. St az FPE-t viszont rdemes feltenni a tbbi Exchange szervernkre is, hiszen a TMG-n lv pldny csak az tmen forgalom ellenrzsre hasznlhat. Az FPE 2010-rl rengeteget megtudhatunk a Szirtes Istvn kollgm ltal ksztett kitn screencastokbl: http://www.microsoft.com/hun/technet/article/?id=a8985983-6e4d-4267-bc3bcc2b50e7d5e6

~ 266 ~

KIT S HOGYAN ENGEDNK BE?

Ez egybknt nem azt jelenti, hogy az SMTP publikls nem mkdik, megy az, csak a vdelem nem elrhet. Szval lpjnk tovbb, s tekintsk meg a varzsl els paneljt.

9.35 BRA A Z ELS LPSEK

Adjuk meg amit kr, azaz a Hub Transport szerver nevt s IP cmt, illetve azt a domaint, amelybe sznt e-maileket elfogadhatja a TMG. Ezutn jhet a mr sokadszor ltott bellts (mr nem is ksztek hozz kpet, lassan fejbl lerajzolhatja brki), amikor is kivlasztjuk, hogy mely hlzat az, amelyiken a TMG az Exchange Hub Transport-tal kommunikl (tipikusan az Internal, ugye). A kvetkez lps majdnem ugyanez, de mgsem. Itt is hlzatot vlasztunk, azonban azt amelyen az Internetre vagyunk ktve. De emellett mg meg kell adnunk azt az FQDN nevet is, amelyen majd az SMTP szervernk vlaszol a HELO vagy az EHLO parancsokra. Ez ugye egyttal az a nv is, amelyre egy reverse DNS feloldssal vlaszknt a kls IP-nket kapjuk.

~ 267 ~

A KAPUN TL

9.36 BRA A KLS FL BELLTSA

Ez volt a java, most mr a knyelmesebb dolgok jnnek. Elsknt is, a vdelem sszetettsgt hatrozhatjuk meg.

~ 268 ~

KIT S HOGYAN ENGEDNK BE?

9.37 BRA H ROMBL MENNYI ? M OST CSAK KETT .

Itt azonnal bekapcsolhatjuk a spam s a vrus/tartalom szrst92, valamint az EdgeSync kapcsoldst a bels Exchange Hub Transport szerver fel. Ezzel egy teljesen automatikus s biztonsgos (klcsns TLS) replikcis kapcsolatot hozunk ltre, s gy a Transport szerveren fogjuk konfigurlni az Edge szervernk lehetsgeit, pl. a route olssal vagy az elfogadhat e-mail tartomnyokkal kapcsolatban. Ellenben j ha tudjuk, hogy amit itt bellthatunk, azt ksbb brmikor megvltoztathatjuk, ezrt most az EdgeSync belvsre nem kertnk sort. Ezzel egybknt kszen is vagyunk, csak az sszegzs jn (s a System Policyban szerepl SMTP szably automatikus lestse), s a vgeredmny, amely gy nz ki a TMG-ben:

92

De az Exchange Edge nmagban mg nem ad a keznkbe egy vrusirtt, csak az FPE-vel egytt: http://technet.microsoft.com/en-us/library/aa997658.aspx#Filters

~ 269 ~

A KAPUN TL

9.38 BRA K SZ

9.39 BRA A KPESSG EK TMRTETT SSZEHASONLTSA

Egybirnt mg nincs vge, egyrszt egy az Action Pane-ben lthat paranccsal (Enable Connectivity for EdgeSync Traffic), majd utna egy .xml fjl legyrtsval s ennek a Hub Transporton trtn beimportlsval sszehozhatjuk a korbban emltett replikcit. Msrszt brmelyik SMTP route nevre kattintva behozhatjuk annak tulajdonsgait, ahol megint csak kismilli opcit tallunk, ngy klnbz fln keresztl.

~ 270 ~

KIT S HOGYAN ENGEDNK BE?

9.40 BRA A Z SMTP ROUTE - OK IS KONFIGURLHAT AK

s akkor a spam s vrus szrs belltsairl nem is beszltnk, ezeket a kzps keret fejlcben talljuk a Spam Filtering s a Vrus s Content Filtering flek alatt. Itt s most nem is fogunk, ez inkbb Exchange Server tananyag, nzzk meg a kvetkez brt: teljes tkrkpe a kzismert Exchange szakasznak.

9.41 BRA M INTHA EZT MR LTTUK VOLNA VALAHOL

~ 271 ~

A KAPUN TL

Ezzel ennek a fejezetnek vge is szakad, ellenben lpjnk vissza most idben egy kicsit, s folytassuk valami olyannal, amelyre a fiatalabb versenyzk mr nem is emkezhetnek. 9.3.3 A K LAS S Z IK U S E - M A I L P R O T O K O LLO K P UB LI K L S A POP3, IMAP, NNTP, mind mind velnk van az 1970-es vek eleje ta, de ma mr (induljunk ki abbl hogy Exchange-nk van) szerencsre a httrbe szorultak. A szerencsre arra vonatkozik, hogy ezekkel a protokollokkal s a rjuk pl kliensekkel szinte csak a baj van, nem elgg biztonsgosak (persze van mindegyikbl S-es, azaz SSL-el hasznlhat vltozat is, POP3S, IMAPS), kis tudsak s kevss praktikusak, klnsen ha az implementcis kulcsszavak kztt a vllalati s a csoportmunka is szerepel93. De azrt, van mikor muszj hasznlnunk ezeket a protokollokat is egy bels mail szerver kedvrt (ami persze lehet egy Exchange is) miatt. A TMG ahogyan az ISA szerverek is, ezekre a helyzetekre is fel van ksztve, nosza publikljunk ht klasszikus protokollokat. Ehhez pontosan gy indulunk, mint az SMTP szervernl (9.31 bra), csak a msodik lpsnl vlik el az utunk, azaz itt majd a Client Access: RPC, IMAP, POP3, SMTP opcit vlasztjuk. Ha ez megvan, akkor vlogatunk.

93

s nem vletlen, hanem jelzsrtk az is, hogy pl. az Exchange 2007-tl kezdve a telepts utn a POP3 s az IMAP szervzek alapesetben nincsenek is engedlyezve.

~ 272 ~

KIT S HOGYAN ENGEDNK BE?

9.42 BRA A KLASSZIKUS PROTOKOLL OK KIVLASZTSA ( AZ O UTLOOK RPC IS AZ , DE HASZNLNI VPN NLKL TILOS )

A baloldali oszlop s a jobboldali oszlop kztt az SSL tmogats a klnbsg, illetve az Outlook (RPC). Ez utbbit mostanra mr valsznleg sokan elfelejtettk, de ez nem is olyan nagy baj. Pr mondatot azrt megr: nagyjbl az ISA 2000 Feature Pack 1tl kezdve ksrletezett a Microsoft a MAPI kapcsolatok (Exchange vs. Outlook a bels hln) kiterjesztsvel a nagyvilgon, azaz az Interneten keresztl. Ez az elejn kiss krlmnyes volt (az RPC UUID-k alapjn trtnt) s rengeteg pl. dinamikus portot kellett hozz kitrni a tzfalban. Mindez a remekl mkd RPC over HTTPS (ma mr Outlook Anywhere) eltt volt, ezrt nem nagy baj, ha mr elfelejtettk. Ha bejelljk a szksges protokollokat, akkor a kvetkez lpsben mr csak meg kell adnunk pl. a bels POP3 szerver IP-jt (ami lehet egy Exchange is) meg a megfelel hlzatot, ahova figyel majd a TMG, s vgeztnk is. Ezutn a TMG automatikusan elkszti a szksges tzfalszablyokat - pont annyit, amennyi protokollt kijelltnk - s mr mkdik is a bels POP3 szerver. Ha lehetsges, ne kapcsoljuk ki a passzol alkalmazsfiltereket (POP3, SMTP), mert hasznosak, de ms okossggal nem nagyon szolglhatunk, mert nincs is, ez ilyen egyszer.

~ 273 ~

A KAPUN TL

Illetve egy kicsit kapcsold dolog azrt mgis eszembe jutott: elfordulhat az a rendkvl szlssges helyzet is, hogy a klienseink szmra az SMTP-t is engedlyeznnk kell egy tzfalszabllyal (mert pl. a levelezsnk kiszolglst nem mi oldjuk meg helyben, hanem mindezt rbzzuk a szolgltatnkra). Ekkor ha tzfal klienst hasznlunk s SMTP-t is adunk a klienseknek, s ezt egy Outlook-kal hasznljk, akkor a tzfal kliens kzponti belltsai kztt (Network\Configure Forefront TMG Client Settings) keressk meg az Outlook paramtert s lltsuk a Disable rtket 0-ra. Amg ezt nem tesszk meg, az Outlook nem fog leveleket kldeni, hiba kapott lehetsget az SMTP hasznlatra.

9.3.4 A W E B E S K L IE N S E K Elrkeztnk egy komolyabb, npszerbb s nagyon fontos rszhez. s itt mr webszerver publiklsrl van sz, s nem is akrmilyenekrl. A kliensek tpusa alapjn jabb hrom csoportra oszthatjuk tovbb a publikl szablyokat. Sz eshet egyrszt a PDA-k, Smartphone-ok s egyb ktyk csoportjra vonatkoz elrsrl, valamint a webes levelezst megold Outlook Web Access-t rint publiklsrl. A harmadik krben az asztali Outlook-ot rint lehetsgekrl kell beszlnnk, a maximlisan ajnlott RPC over HTTP/S-rl vagy ahogyan mr egy ideje hvjuk: az Outlook Anywhere-rl. Egy fontos dokumentum a webes kliensek mretezsrl: White Paper: Outlook Anywhere Scalability with Outlook 2007, Outlook 2003, and Exchange 2007 http://technet.microsoft.com/en-us/library/cc540453(EXCHG.80).aspx Ezekhez a megoldsokhoz egy teljesen kln publikl varzsl ll a rendelkezsre, amelyet pldul a Firewall Policy helyi menjbl, vagy a Tasks rszbl is elrhetnk, a neve: Publish Exchange Web Client Access. Szaladjunk t ezen most, egyelre egy OWA publikls apropjn.

~ 274 ~

KIT S HOGYAN ENGEDNK BE?

9.43 BRA M OST EGY OWA ELRST FOGUNK VARZSOLNI

Ezutn jn a lnyeg, el kell dntennk, hogy az Exchange 2000-tl a 2010-ig mely szervert vlasztjuk, azaz melyik szolgltatsait szeretnnk hasznlni. Mindent nem lehet egyszerre, pl. egy Exchange 2010 esetn, az OWA, az OA, s az AS az hrom klnbz szablyt, azaz hromszori nekifutst jelent majd ezzel a varzslval. Viszont mindhromnl vlaszthatjuk majd ugyanazt a listenert (ugyanazzal a helyesen elksztett tanstvnnyal, lsd pl. SAN) s az rlapos hitelestst is, de ezt azrt beszljk meg, mert felvet egy-kt krdst. Ahogyan mr sz volt rla, az rlap alap hitelests egy nagyon sokrt, sok extrt felvonultat mdszer. Hasznlhatjuk immr multifaktoros hitelestsre, kontrolllhatjuk a csatolsok hasznlatt, felajnlhatunk a felhasznlknak ktfle megjelentst (basic s premium), alkalmazhat az SSO, s bepthet egy biztonsgos jelsz vltoztatsi lehetsg is. A mobil klienseknl klnsen jl jhet, hogy teljesen testreszabhatjuk a felletet, s ezt teljesen automatikusan a fejlc tartalmtl fggen kaphatjk meg a kijelzre. Kierszakolhatunk a bngsz belltsaitl fggetlen nyelvi tmogatst (26

~ 275 ~

A KAPUN TL
fle nyelvbl vlasztva), a cookie-kkal kapcsolatban is kapunk jpr lehetsget, s ha bevllaljuk, akr gyorsttrazhatjuk is a jelszavakat. Ezek mind-mind olyan megoldsok, amelyeket brmelyik Exchange kliens publiklsnl jl jnnek. Az Outlook Anywhere esetn viszont ez a fajta kliens hitelestsi metdus csak rszben lesz tkletes, mivel egy rlap kitltse egy Outlook esetn rtelmezhetetlen, viszont ha mgis ezt az utat vlasztjuk, akkor a TMG automatikusan vlt a Basic hitelestsre, ami mr j megoldsnak szmt. gy egy csapssal hrom legyet is letnk. Nos, ennyi kitr utn kanyarodjunk vissza s elszr vlasszuk az OWA-t a varzslbl.

9.44 BRA 4 GENERCI BL VLOGATUNK

A listener-rel s az rlapos hitelestssel kicsit elreszaladtunk egybknt, mivel a varzslban ezek utn mg a webszerver tpust kell megadnunk (egyszer webszerver, load balancer vagy farm) majd pedig el kell dntennk, hogy hasznlunk-e ktelezen titkostst (SSL) a webszerver elrsre, ami nyilvn ersen megfontoland minden Exchange elrs esetn.

~ 276 ~

KIT S HOGYAN ENGEDNK BE?

Az SSL alkalmazsra az TMG s a bels webszerver kztt ktfajta, manulis vlaszthat mdszernk volt az ISA 2004-ben (Tunneling s Bridging, azaz szimpla tovbbts ellenrzs nlkl illetve a szrses mdszer), s nem maradt egy sem az ISA 2006-ban, de ez kivtelesen elrelpsnek szmt. Tudniillik ennek az opcinak a belltsa automatikuss vlt, s minden esetben - teht az OWA-val is, - mkdik a szrs, ha krjk a tikostst.94

9.45 BRA A Z ISA 2006- TL KEZDVE VLASSZUK AZ SSL- T S MEGKAPJUK VELE AUTOMATIKUSAN A LEGJOBB
MDSZERT

Az SSL Bridging (ne keverjk ssze a webszerver publikl szablyban lthat Bridging fllel) megrtshez tudnunk kell, hogy ez gyakorlatilag a HTTPS Inspection elzmnye, amellyel viszont a TMG eltt csak a sajt publiklt webszervereinkkel operlhattunk. Egy SSL alap OWA forgalom esetn a felhasznl bngszjt futtat gp s a TMG kztt felpl egy SSL kapcsolat s egy ettl fggetlen egy msodik SSL kapcsolat is a TMG s a publiklt Exchange CAS kiszolgl kztt. A bngsz s TMG kapcsolatban a bngsz lesz az SSL kliens a TMG kiszolgl pedig az SSL szerver. A TMG kiszolgl s az Exchange kapcsolatban pedig a TMG kiszolgl lesz az SSL
94

s az igazn szp a dologban az, hogy a minimum ISA 2006 + a rgi-rgi Exchange 2003 SP2 esetn ez az ActiveSync-kel is mkdtt, tanstvny alap hitelestssel. De az mr rgi trtnet.

~ 277 ~

A KAPUN TL
kliens s az Exchange kiszolgl az SSL szerver. Ezutn a publikl szably tpustl fggen jra titkost (vagy nem, azaz adott esetben http-knt kldi tovbb) s csak ezutn kapja meg az Exchange szerver a krst. Ha minden rendben van most is, akkor mehet a csomag a tvoli kliens fel (termszetesen anlkl, hogy ez ebbl brmit szlelne). Nos, ezek utn trjnk vissza a varzslra, de mr csak azrt, hogy megllaptsuk, hogy innentl nincs j opci, minden a norml (az elz rszben ismertetett) webszerver publiklshoz hasonlan megy vgbe. A vgeredmny pedig a sima SSL webszerver publikl szablyhoz nagyon hasonl lesz, 1-2 eltrssel. Az egyik eltrs a kvetkez brn lthat.

9.46 BRA A VIRTULIS MAPPK AZ OWA PUBLIKL SZABLYBAN

Az Outlook Anywhere s az ActiveSync publikls lpsei teljesen hasonlak, ergo tovbbi kifejtst nem nagyon ignyelnek. Ellenben a tesztels ezeknl itt is sokat segthet, pldul abban, hogy kiszrjk a listener-nk s az Exchange alatt fut IIS hitelestsi metdusainak pontosabban ezek deleglsnak eltr belltsait. A

~ 278 ~

KIT S HOGYAN ENGEDNK BE?

kvetkez brn az Outlook Anywhere publikl szably tesztelse (s persze gy az ehhez passzol virtulis mappk is) lthat.

9.47 BRA D IREKT RONTOTTAM EL AZ IIS- BEN A HITELESTST , S JL LTSZIK A PROBL MA

s vgl ez Exchange webes kliensek fejezet lezrsakpp a kvetkez tblzat szolidan sszefoglalja az Exchange 2000-tl kezdve az sszes elrhet Exchange szolgltatst illetve ezek ktelezen publikland virtulis mappit. Igazbl csak az ellenrzs miatt van ennek rtelme, hiszen a TMG pontosan tudja, hogy mely verzinl s szolgltatsnl mely virtulis mappkat kell belepakolni a publikl szablyba.

~ 279 ~

A KAPUN TL
9.2 TBLZAT M INDEN AMI SZEM SZJN AK INGERE

Outlook Web Access

Exchange 2000 /public/* /exchweb/* /exchange/*

Exchange 2003 /public/* /exchweb/* /exchange/*

Exchange 2007 /owa/* /public/* /exchange/* /exchweb/* /rpc/* Not Supported /Microsoft-ServerActiveSync/*

Exchange 2010 /owa/* /public/* /exchange/* /exchweb/* /ecp/* /rpc/* Not Supported

RPC over HTTPS (OA) Outlook Mobile Access Exchange Active Sync RPC over HTTP with Publish additional folders on the Exchange Server for Outlook 2007 clients selected

/rpc/* Not Supported /MicrosoftServerActiveSync/* Not Supported

/rpc/* /OMA/* /MicrosoftServerActiveSync/* Not Supported

/MicrosoftServerActiveSync/* /unifiedmessaging/* /rpc/* /rpc/* /OAB/* /OAB/* /ews/* /ews/* /AutoDiscover/* /AutoDiscover/*

Nos, ezzel vgre rtnk ennek a monstre nagy fejezetnek. 52 oldal, 47 bra, s 2 tblzat ksrte a publikls tmakrt. Ezek utn ismt csak azzal fogunk foglalkozni, hogy kit s hogyan engednk be, de egszen ms krlmnyek kztt.

~ 280 ~

TVOLI ELRS: VPN S NEM VPN

10 T VOLI

ELRS :

VPN

S NEM

VPN

Bevezetskppen hadd keskedjek idegen tollakkal. A szerzi jogok megsrtse nlkl, hadd kzljek egy rszletet egy rgi-rgi inetpubos s MVP kollgm Petrnyi Jzsef legjabb hlzatos knyvbl (a forrs linket lsd ksbb). El sem hiszed, de megint csatornzni fogunk. Azrt ejtsnk eltte pr szt arrl, hogy mit is rtnk Virtual Private Network, azaz VPN alatt. Ht, alapveten azt, amit az angol nv is sugall. Van egy vdett (private) hlzatunk s van ezen kvl a vad kls vilg. A vdett hlzatunkban mindenki bart, a social engineering mvelit mr a ports fbe lvi a bejratnl, szval itt tnyleg magunk kztt vagyunk, sokkal lazbbak lehetnk. De jaj, embereink idnknt knytelenek kimerszkedni a nagyvilgba. termsze tesen a laptopjaikkal meg a mindenfle ktyikkel egytt. Mondtam mr, hogy neknk borzaszt perverz embereink vannak? Kpesek arra, hogy egy fraszt nap utn a tvoli szllodbl is szeretnnek a bels hlzat lmelegben lubickolni egy cseppet. Nem is beszlve azokrl az embereinkrl, akik akr munkaidn kvl, akr azon bell a knyelmes otthonukbl szeretnnek dolgozni. Nyilvn felmerl az igny, hogyan lehetne a bels biztonsgos hlzat hatrait gy kihzni, hogy tvoli pontokra is elrjen. gy, hogy a kt pont kztt a kiszmthatatlan kzeg, az internet jelenti az tviteli kzeget. Finoman szlva is eltr stlust kpviselnk, ha az rsrl van sz , de a problma vzolsban viszont nincs klnbsg. Adott egy bels hlzat, amelyet akr teljes egszben el kell rnnk a klsbl. Elfordulhat, hogy csak egyetlen gprl, s az is, hogy kt hlzatot kell sszektnnk. s immr az is, hogy nem hasznlhatjuk a klasszikus VPN protokollokat (PPTP, L2TP), hanem valami jabbra, egy tzfalbartabb megoldsra van szksgnk. St, a legeslegjabb s a mostansg a legelkpesztbb technolgit, az szrevtlen VPN-t, a DirectAccess-t akarjuk hasznlni. Nos, minden esetben segthet rajtunk a TMG. Az ISA Server is, de csak egy darabig tartja a lpst, ugyanis ezen a terleten ismt sok jdonsggal szmolhatunk.

10.1 H OGYAN FARAGJUNK VPN SZERVERT

TMG- BL ?

A TMG (s az ISA) nem a VPN szerver. Az alap VPN szerver tudst az opercis rendszer adja. Ez elssorban akkor lesz majd fontos, ha nem mkdik rendesen, ilyenkor az RRAS szervernket kell srn nzegetnnk. A TMG a VPN szerepkrhz

~ 281 ~

A KAPUN TL
egyrszt a komplex kezelfelletet adja (szl s telephelyek kztti kapcsolatoknl is), msrszt a sajt jsgait, azaz pl. a specilis hlzatokat (VPN Clients, Quarantined VPN Clients) s a hlzatok kezelsben rejl rengeteg lehetsget (pl. egy VPN kliensre vonatkoz hozzfrsi tzfalszablyok), valamint a tzfal s a web proxy ltal nyjtott mr eddig is sokszor emltett szolgltatsokat. Mondok egy egyszer pldt: az ISA Server 2004 ta a stateful inspection, a hromujjas kzfogssal a VPN kliensekre is mkdik. Kezdjnk el konkretizlni s a VPN kliensek tpusainak illetve a VPN szerverek mkdsnek ttekintse nlkl (ezeket a fenti linken megtalljuk am PPTP-tl kezdve az SSTP-n t egszen a legjabb a Windows 7-ben debtl IKEv2 kliensig) tekintsk meg, hogy a TMG-bl hogyan faragunk gyorsan s egyszeren egy VPN szervert. Akrmilyen VPN kliens fogadsra kszlnk, elszr a kzs VPN szerver belltsokat kell rendbe raknunk. Ezt a szakaszt a TMG-ben a baloldali keret egy dediklt pontjban rhetjk el, amely neve: Remote Access Policy (VPN). Ha erre kattintunk, akkor a kzps keretbe megrkezik egy sznes-szagos 6 lpses konfigurlsi tmutat, amit most hagyjunk (mr csak azrt is mert nagyjbl 1 panel sszes opcija van ide kivezetve), e helyett krjk a helyi ment ezen a ponton s nzznk be a Configure VPN Properties pont al.

10.1 BRA B ALRA , JOBBRA S KZPEN MINDENHOL VPN VAN

A mr unalmas Access Networks fl alatt azokat a hlzatokat pipljuk be, ahonnan lesz majd lehetsg a VPN hasznlatra (elgg egyrtelmen az External vezet itt, de

~ 282 ~

TVOLI ELRS: VPN S NEM VPN

azrt nem mindig van egyedl). A kvetkez azaz az Address Assignment fl mr tbb mindent megenged.

10.2 BRA H OGYAN S KITL KAP MAJD IP- T A KLIENS ?

Az nyilvnval, hogy a VPN kliens egy megfelel a bels hlzatba belt IP nlkl nem sokat r, dehogy ahhoz pl. a klnbz nvfeloldsi mechanizmusok is biztosan megfelelen mkdjenek, itt bele kell piszklnunk kicsit a konfigurciba. Elszr is ha van DHCP szervernk, akkor akr kijellhetjk arra a feladatra, hogy a VPN klienseknek is ossza ki a jl megrdemelt IP konfigurcit95. De a statikus cmzs lehetsge is elttnk ll, ekkor kt dologra kell nagyon oda figyelnnk: 1. Semmilyen a TMG-ben mr szerepl IP tartomnyt nem hasznlhatunk, ergo vlasszunk ki egy szomszdost, s az tvlasztst a TMG majd elintzi. 2. Minimum annyi cm s mg 1 db kell, mint amennyi darab VPN klienst engedlyeznk majd ksbb. A DHCP hasznlat elnye az egyszersg, nincs gond a route-olssal, s az elrssel, Ilyenkor a VPN kliensek teljes mellszlessggel a bels hlzat IP tartomnynak tagjai
95

De nem mindig, ha az Enterprise verzit s gy pl. tmbket hasznlunk, akkor nem.

~ 283 ~

A KAPUN TL
lesznek, a TMG pedig egy ARP proxyknt mkdik ezen kliensek szempontjbl, pl. abbl az apropbl amikor is a bels hlzat gpei ARP krsekkel bombzzk majd a VPN klienseket. A msik eset akkor l, ha pl. nincs DHCP szervernk, vagy ppen nem hasznlhat erre a clra. A Use the following network to obtain DHCP, DNS, and WINS services pont alatt kzlhetjk a TMG-vel, hogy melyik hlzati interfsz fel tolja tovbb a DHCP krst, (ez ugye tipikusan az Internal lesz), aztn ezt az Advanced gomb alatt tovbb finomthatjuk, azaz az alternatv DNS s WINS szerverek cmeit itt vehetjk fel. Az Authentication fl is ktelez pont a ltogatsunkkor, br az alaprtelmezs is megfelel, gy ha nem nylunk hozz, akkor is rendben lesznk.

10.3 BRA A HITELESTSI METDUS OK

ITT IS JELEN VAN NAK

Itt ugyanis a kapcsoldskor szksges hitelestsi metdusok kztt vlasztunk. Norml, azaz nem multifaktoros hitelests esetn az MS-CHAPv2 megfelel, az EAP akkor lesz a bartunk, ha smartcard-os vagy egyb tanstvnyos megoldst terveznk a klienseink szmra. Ennl lejjebb viszont en adjuk, br a kompatibilits miatt (Apple, Linux, Unix) szksg lehet a CHAP, vagy a legrosszabb esetben a PAP metdusra, tudunk kell, hogy ezek ma mr abszolt nem megfelelek biztonsgi szempontbl, s ezrt abszolt mdon hanyagolandak is.

~ 284 ~

TVOLI ELRS: VPN S NEM VPN

Ami mg itt szerepel, az az Allow custom IPSec policy for L2TP connection. Erre akkor lesz szksg, ha egy olyan L2TP/IPSec VPN szervert krelunk, amely nem a megszokott mdon tanstvnyokkal mkdik, hanem egy lnyegesen alacsonyabb biztonsgi szinten, egy elre megosztott jelszval. Nos, ez gpeljk be itt. A kvetkez lpsben egy ltalban nem mindennapos mdon oldjuk meg a kliensek hitelestst. Amellett, hogy a RADIUS nvteret hasznlhatjuk a webes publiklsnl s a web proxy hitelestsnl is, a VPN felhasznlk szmra is rendelkezsre ll. Ha ez a megkvnt fellls, s nem a megszokott, az Active Directory-ban leledz adatok alapjn szeretnnk a hitelestst lebonyoltani, akkor ennek az engedlyezshez be kell lltani a RADIUS szerverek cmt s portjt a RADIUS Servers gomb alatt (ez ugye Windows OS esetn egy bels IAS, vagy mostansg mr NPS szerver lesz, amelyek egy teljesen RFC kompatibilis RADIUS szervereknek szmtanak), s ilyenkor a TMG-nk egy RADIUS kliensknt szpen tovbbtja is a berkez autentikcis csomagokat, aztn fogadja a visszajv utastsokat, s ennek megfelelen engedi vagy tiltja a VPN kliens csatlakozsi krelmt.

10.4 BRA H A EZT A MDSZER VLA SZTJUK , MST NEM LEHET !

~ 285 ~

A KAPUN TL
Van azrt mg tbb ms elnye is a RADIUS-nak a hitelests lebonyoltsn kvl, mgpedig a szmlzs (azaz az Accounting), azaz a rendszerben eltlttt id mrse, valamint pl. a User Mapping, amelyrl hamarosan sz lesz. Ezen hitelestsi metdusokrl a kvetkez oldalon tovbbi rszleteket is megtudunk (http://technet.microsoft.com/en-us/library/cc785072(WS.10).aspx), de Petrnyi Jzsef klnbz TCP/IP knyveiben is rengeteg helyen (s szemlletesebben is mint itt) elfordulnak - belertve a RADIUS-os rszeket is. Petrnyi Jzsef: TCP/IP alapok, 1. ktet v2.0 http://www.microsoft.com/hun/technet/article/?id=3effd5d3-139c-471a-adeba71a6885562f Petrnyi Jzsef: TCP/IP Alapok, 2. ktet v1.0 http://download.microsoft.com/download/5/8/8/5886EEB0-BFB5-4854-9D17AAEDE66825D3/tcpip_v2/tcpipalapok-1-v20.pdf De mg mindig nem mkdik a TMG VPN szerverknt, ehhez mg egy adag belltson tl kell esnnk, mghozz a kliensekkel kapcsolatos kzvetlen belltsokon.

10.5 BRA E Z E GYSZER MINT A 6- OS CSAVAR

~ 286 ~

TVOLI ELRS: VPN S NEM VPN

Ezt a faszerkezetben ugyanonnan indtjuk mint az elbb a globlis belltsokat, azaz a Remote Access Policy (VPN) keretbl, de nem ennek a helyi menjbl, hanem az Action Pane Configure VPN Client Access pontja all. Az elz bra tansga szerint az els szakasz valban nem bonyolult, azt viszont tudnunk kell, hogy ha pl. 50-et rok be a kliensek szmhoz, akkor az 50 db PPTP, L2TP, SSTP s 5 db IKEv2 VPN portot jelent majd, ha 500-at, akkor 3x500-at plusz ugyangy 5 IKEv2-t (mr persze ha WS08 R2-rl van sz, mert ha csak WS08-rl, akkor a legutbbi VPN tpus nincs is). Mindezt itt nem, ellenben az RRAS-ban megtekinthetjk.

10.6 BRA RRAS S A VPN PORTOK

Mg valamit a szmokrl: tudtuk azt pl., hogy a Standard verzij Windows szerver OS-ekben van egy fels limit a bejv VPN kapcsolatokra? Van bizony, s ez pedig konkrtan 250, s ez akkor is l, ha a TMG-vel bonyoltjuk a VPN-t. Az Enterprise-ban mr nincs ilyen korlt.

~ 287 ~

A KAPUN TL
Na de prbljunk meg nem nagyon eltrni a tmtl. A Groups fl jn, ami szintn nem rlt bonyolult, itt adjuk meg azokat a csoportokat vagy szlssges esetben felhasznli fikokat, akik jogosultak VPN kapcsolatot sszehozni.

10.7 BRA RRAS S A VPN PORTOK

Tipikusan ez egy AD csoport96, amely tagsgi ellenrzse knny lesz, hiszen a TMG is bent van a tartomnyban. Persze felvehetjk a TMG helyi felhasznli adatbzisbl a megfelel fikokat is, de ez a kevsb praktikus mdszer. m van mg egy fontos tudnival az AD-s csoport esetn: az ADUC-ban az adott felhasznl tulajdonsglapjn a Dial-infl alatt, a Network Access Permission szakaszban mindenkppen a Control access through NPS Network Policy gombnak kell bekattintva lennie. Nagyon azrt ne aggdjunk emiatt a Windows Server 2003-as erd mkdsi szinttl ez az alaprtelmezs, de ha nem, akkor ez legyen (vagy persze az Allow Access is megfelel). Most jn a szmunkra megfelel VPN protokollok kivlasztsa, itt egy jdonsggal rgtn szembeslhetnk az ISA 2006-hoz kpest, ugyanis lett egy SSTP opci is.

96

a kvetkez brn is az, csak a domain nevt kiradiroztam

~ 288 ~

TVOLI ELRS: VPN S NEM VPN

10.8 BRA PPTP/L2TP/SSTP?

St, nemcsak egy vlasztsi lehetsg, hanem a tervezett hasznlat esetn azonnal egy HTTPS listener-t is hozz kell rendelnnk. Mghozz egy olyat, amelyben egy megfelel tanstvny van, amely egyik legfontosabb tulajdonsga - a szoksos kritriumokon kvl - a CRL informcik helyes s pontos lelhelye kell hogy legyen97. Ugyanis az SSTP kapcsolat felplse sorn ez az egyik kritikus pont ez az ellenrzs. Egybknt a TMG eltt az ISA-val egy akkor mr ltez SSTP szerver publiklsa (ez ugye a WS08 <> Vista SP1 verzik ta mkdhet) nem volt ppen egy egyszer folyamat. Ha ebben a knyszerhelyzetben vagyunk, akkor ez a segtsg jl fog jnni: Publishing a Windows Server 2008 SSL VPN Server Using ISA 2006 Firewalls http://www.isaserver.org/tutorials/Publishing-Windows-Server-2008-SSL-VPNServer-Using-ISA-2006-Firewalls-Part1.html Most viszont az, gyakorlatilag itt az engedlyezsen illetve a listener megadsn kvl mssal nincs dolgunk (ti. a System Policy-ban az SSTP szably ekkor automatikusan

97

A megfelel hitelestsi metdus viszont ebben a listenerben a No Authentication.

~ 289 ~

A KAPUN TL
lesedik). s ez rvendetes vltozs, mert gy knnyedn kihasznlhatjuk az SSTP elnyeit. A SSTP konfigurci egybknt kt nagy komponensre pl: az RRAS-ra s a HTTP.SYS-re, a TMG pedig a kvetkezkppen hasznlja ezeket: - RRAS: elfogadja az SSTP kapcsolatokat s pl. definilja - a mr ltott mdon - az ilyen tpus kapcsolatok szmt. - HTTP.SYS: a TCP 6601-s porton figyel, azaz a TMG egy SSL termintorknt mkdve tovbbtja a 443-as portra rkez forgalmat a 127.0.0.1-re s az emltett 6601-es portra.98

10.9 BRA SSTP TIRNYTS

Csakhogy kicsit mg lssunk, itt egybknt mg a Path fl tartalma is rdekes, ti. ez egy rdekes URL lesz, konkrtan ez: /sra_{BA195980-CD49-458b-9E23-

98

s ezt mind kivlan lekvethetjk a 10.9-es brn is lthat 46. szm SSTP System Policy szablyban

~ 290 ~

TVOLI ELRS: VPN S NEM VPN

C84EE0ADCD75}/.99 s ez az, amely egy SSTP krsbe becsomagolva rkezik a VPN klienstl, s erre indul be TMG ezen System Policy szablya az tirnytssal. rdekes dologra bukkanhatunk r a User Mapping fl alatt. Ha spci RADIUS vagy EAP kliensekrl van sz, s ha engedlyezzk s elksztjk, akkor egy nem tartomnyi fikkal megszemlyesthetnk egy tartomnyit annak minden elnyvel egytt. Azaz megszemlyestjk a VPN kapcsolatot felpt felhasznlt s gy a VPN kapcsolaton is szrhetnk anlkl, hogy tovbbi azonostst kellene vgezni a felhasznlnak.

10.10 BRA TJRS A NVTEREK KZTT : EZ A U SER M APPING

Ehhez az AD-ban ltre kell hoznunk egy pl. a RADIUS nvtrbl kzeled fik nevvel s jelszavval azonosat, itt be kell lnnk a tartomnyunk nevt s kszen is vagyunk, mkdik az tjrs. Cool, nem? Aztn egy kicsi idutazsban is lehet rsznk, ugyanis az utols fln a VPN karantn mra mr kiss letnt vilgba jutunk el. Ha ezt hasznltuk, akkor lehetsgnk volt r
99

Tbbek kztt ennek a specilis URL rezervcinak a jellemzit is megnzhetjk a netsh http show urlacl paranccsal.

~ 291 ~

A KAPUN TL
hogy a VPN klienst bizonyos vizsglatok (pl. van-e AV szoftver a gpen, be van-e kapcsolva a tzfal, s stb.) al vessk mg a kapcsolds kzben, de mg a bels hlzat elrse eltt. Aztn vagy beengedtk, vagy elkldtk a VPN Quarantine hlzatba, hogy sszeszedje magt, vagy egyszeren lebontottuk. Mindezt mr az ISA 2004 eltt is kiprblhattunk, hiszen a Windows Server 2003 a Resource Kit Tools-sal s az RRAS-sal felturbzva knlt egy megoldst.

10.11 BRA EZEN MR TL VAGYUNK EGY KICSIT

m az ISA 2004-gyel egy egyszerbb, az ISA konzolba beptett mdszerhez jutottunk (s ez maradt meg vltozs nlkl a TMG-ben is), ami azrt gy is rengeteg elkszletet s feladatot jelentett valamint komoly programozi tudst felttelezett, s kzel sem volt egy tkletes megolds. gy aztn amikor a NAP (Network Access Protection) beksznttt a Windows Server 2008-cal, akkor ezt egy pillanat alatt el is felejtettk. De azrt itt megvan mg, st figyelmeztet is az engedlyezs utn rgtn arra, hogy kliens oldalon is van m elkszlet, a szimpla VPN klienssel nem fog menni a kapcsolds, akkor sem ha minden felttel egybknt adott ehhez, szval csak vatosan kapcsolgassuk be.

~ 292 ~

TVOLI ELRS: VPN S NEM VPN

A farags vget rt, a TMG most mr kszen ll a VPN kapcsolatok fogadsra, mrmint akkor ha a felhasznlknl is be van lltva egy-egy VPN kapcsolat. Ha ezt manulisan indtjk, megkapjk a helyes IP konfigurcit, mkdni fog a nvfelolds, kialakul a gpk s a TMG segtsgvel egy virtulis magnhlzat s ezzel vge is. Egyltaln nem fognak elrni semmilyen protokollal, semmilyen erforrst a bels hln. Mirt nem? A vlaszhoz kanyarodjunk vissza az 5. fejezethez. Van szmukra hlzati szably? Igen van, alapesetben, azaz a TMG teleptse utn ltrejn egy NAT tpus szably az Internal s a VPN hlzat kztt (ahov ugye automatikusan bekerlnek a csatlakozs utn), de ez mg kevs. Egy vagy tbb kln hozzfrsi tzfalszablyt is ltre kell hoznunk, attl fggen, hogy mit, mikor, milyen felttelek mellett engednk meg ezeknek a felhasznlknak. s ez a szp ebben az egszben, s ez az egyik dolog, amit az RRAS-ban nem, vagy csak nehzkesen tudunk sszekalaplni, mg a TMG-ben ezen tzfalszablyok rugalmassgt a vgletekig kiaknzhatjuk a VPN felhasznlk esetn is.

10.2 S ITE - TO -S ITE VPN

rthet, hogy nemcsak szl VPN kapcsolatokra vgyunk, remek dolog lenne, ha komplett hlzatokat kthetnk ssze, valamely VPN protokollal, gondoljunk bele, mennyire nagyszeren alkalmazhat lenne ez a telephelyek/kzpont viszonylatban, az interneten vagy ms nyilvnos vagy ppen nem nyilvnos hlzatokon keresztl is.. Valban remek dolog, s az ISA-val s TMG-vel egyarnt kivlan mkdik is ez a kvnsg Site-to-Site VPN nven, mr sok-sok ve. Mghozz nem is kell hozz felttlenl mindkt oldalon egy-egy TMG mint VPN tjr, hanem akr egy megfelel hardver eszkzzel (VPN router) is kpes sszeftylni a TMG, tipikusan gy, hogy a kisebb rtk, kevesebb felgyeletet ignyl clhardver eszkzk a telephelyeken kerlnek teleptsre, mg a TMG a kzpontban. De nem Microsoft ltal ksztett szoftveres VPN szerverekkel is kialakthat ez a fajta kapcsolat. Hromfle100 VPN protokollt hasznlhatunk ha egy S2S kapcsolatot szeretnnk krelni: - PPTP - L2TP over IPSec - IPSec tunnel mode

100

Az SSTP-t nem lehetsges e clbl hasznlni.

~ 293 ~

A KAPUN TL
A harmadik a kakkuktojs, egyrszt azrt mert ezt a szl VPN-eknl nem hasznljuk, msrszt azrt mert a hardveres VPN routerek esetn legjobban ezt preferljuk. Persze sok ms jellemz s krlmny is befolysolhatja, hogy vgl mely tpus mellett dntnk, nos ebben segthet a kvetkez sszefoglal tblzat.
10.1 TBLZAT S2S VPN PROTOKOLLOK

Protokoll IPSec tunnel mode L2TP over IPSec

Mikor hasznlhat? Kls VPN szerver (hardveres/szoftveres) Msik TMG-hez vagy ISA 2000/2004/2006hoz kapcsoldva vagy akr egy Windows RRAS-hoz

Biztonsgi Megjegyzsek szint Magas101 Kls (nem Microsoft) VPN szerverhez gy kapcsoldhatunk. Magas RRAS lesz ez minden esetben, csak valamikor a TMG-n vagy az ISAkon keresztl. Megfelelen biztonsgos, fkpp ha nem elre megosztott kulccsal, hanem tanstvnyokkal hasznljuk. Ez egyben a htrnya is, ami miatt kzepesen bonyolult a kiptse (az elz mg sszetettebb is lehet). Ez is RRAS, de nem IPSec, mint az elz, ezrt kevsb biztonsgos, viszont nagyon egyszer sszekalaplni.

PPTP

Msik TMG-hez vagy ISA 2000/2004/2006hoz kapcsoldva vagy akr egy Windows RRAS-hoz

Mrskelt

Teht a most kvetkez rszben az lesz a feladatunk, hogy egy telephelyi hardveres VPN routert illetve a TMG-t egy lland, azaz igny szerint felpl (on-demand) IPSec VPN kapcsolattal kssk ssze. A TMG-vel kezdnk.

101

Egy megfelelen kivlaszott IKE auth mentn magas. Egy pre-shared key esetn nem az.

~ 294 ~

TVOLI ELRS: VPN S NEM VPN

10.12 BRA M G RES

Vagy a mr ismers VPN elgazs msodik flnek (Remote Sites) kzps keretbl, vagy az Action pane Create VPN Site-to-Site Connection pontja all indul a varzsls.

10.13 BRA E Z MG CSAK EGY NV

A msodik lpsben rgvest el kell dntennk, hogy mely VPN protokollokat hasznljuk majd.

~ 295 ~

A KAPUN TL

10.14 BRA N EKNK AZ IPS EC - RE VAN S ZKSGNK

10.15 BRA A TVOLI S A HELYI T JR CMEI

A kvetkez lps a hitelestsi metdus meghatrozsa, mi most mivel ez egy teszt megolds, vlaszthatjuk az elre megosztott jelszt, egybknt nem ez az ajnlott.

~ 296 ~

TVOLI ELRS: VPN S NEM VPN

10.16 BRA E Z CSAK TESZT LESZ

10.17 BRA A Z TJR MELLETT A MSIK HLZAT BELS IP TARTOMNYRA IS SZK SG VAN

~ 297 ~

A KAPUN TL

10.18 BRA A KR AZONNAL ELKSZLHET EGY HLZATI SZABLY A KT HLZAT KZTT

10.19 BRA S T , TZFALSZABLYOKAT IS KRELHATUNK IZIBE

~ 298 ~

TVOLI ELRS: VPN S NEM VPN

Ezutn mr csak az sszegz kperny jn, s az egyik oldal mr kszen is van. Most nzzk meg a specilis IPSec belltsokat, azrt hogy a hardveres oldalt mr knnyebb legyen sszerakni.

10.20 BRA E Z MR NEM AZ ALAPBELLTS

Vagy fordtva, azaz adott esetben a TMG IPSec belltsait kell mdostani, hogy aztn egymsra talljon a kt eszkz. ppen ezrt az elz brn pontosan ezrt mr nem az alapbellts ltszik (radsul a Phase2 fl alatt sem), hanem egy olyan konfigurci, amelyet a msik oldalon egy Draytek Vigor 2910-es dual WAN-os, VPN routerrel meg tudtam etetni.

~ 299 ~

A KAPUN TL

10.21 BRA GY NZ KI A MSIK OLDAL BELLTSAINAK EGY RSZE

Ha viszont sikerlt az IPSec belltsokat kzs nevezre hozni, akkor a TMG-ben krhetnk egy rszletes sszegzst ezekrl.

~ 300 ~

TVOLI ELRS: VPN S NEM VPN

10.22 BRA A Z SSZEGZ STATISZTIKA ( EGY DARABJA )

Egy ksz IPSec S2S kapcsolatot nem vlthatunk t pitty-putty mondjuk PPTP-re, ehhez egy j varzslsra lesz szksg. Ha PPTP-vel szeretnnk sszehozni pl. kt TMG-t, akkor taln a legfontosabb klnbsg a protokoll tpusn kvl az, hogy szksge lesz egy felhasznli fikokra (egy olyanra, aminek van dial-in joga) mindkt oldalon (a kapcsolat beindtshoz), amelyeknek radsul meg kell egyeznik az ltalunk helyben krelt hlzat nevvel (lsd 10.13-es bra). Nem kell, hogy ez a fik rendszergazda jogosultsggal brjon, csak ezek a kvetelmnyek. St mg a varzsls kzben sem lesz ennek a fiknak a hinybl baj, a kapcsolat viszont biztosan nem mkdik majd addig, amg nem krelunk egy ilyen fikot - mindkt oldalon. Az L2TP kapcsolatoknl a fiknv gyben teljesen ugyanez a helyzet, itt mg a klnbsg az is rtelemszeren, hogy a megfelel biztonsgi szint rdekben egy megfelel tanstvnyra is szksgnk lesz.

~ 301 ~

A KAPUN TL
Ezek utn viszont tetszleges S2S kapcsolatunk lehet a TMG-ben, leszmtva az elzekben emltett licensz klnbsget. Ami mg szmthat, az nyilvnvalan a Internet fel men vonalunk svszlessge, hiszen brmilyen csodafegyver a keznkben a VPN, azrt egy htrnya biztosan lesz: erforrsba kerl (a kulcssz a Capacity Planning, 3.1 fejezet).

10.3 A

NAGY DURRANS :

D IRECT A CCESS

TMOGATS

10.3.1 D IR E C T A C C E S S A L AP O K 102 A 2007-es RSA konferencin beszlt Bill Gates elszr arrl a vzirl, hogy VPN vagy brmilyen ms tvelrsi mdszer nlkl is el kellene tudnunk rni biztonsgosan a bels hlzatunk erforrsait, instant mdon, azaz brmilyen manulis teend nlkl, gyakorlatilag teljesen automatikusan. Ez remekl hangzott az elkpzels szintjn, hiszen akr rendszergazda vagyok, akr felhasznl, ezzel az elrssel csak a problma van. A VPN bonyolult (is tud lenni, fkpp, ha szimpla felhasznlk vagyunk), ha komolyan vesszk kell a Smartcard\PKI, sokszor egy automatikus default gateway tirnytssal is jr (a split tunnel-t nem szeretik ltalban a cges krnyezetben), vannak olyan hlzatok (pl. hotelek, vagy egyb szigor cges hlzatok), ahonnan nem hasznlhat, vagy csak PPTP, s sorolhatnm mg a problmkat. Szumma szummrum: nem igazi az lmny. A DirectAccess azaz a Windows Server 2008 R2-vel s a Windows 7-tel megvalstott kzvetlen elrs viszont az. Most mr rutinos DA felhasznl vagyok, a Microsoftnl mr tbb mint 1,5 ve hasznlom s mondhatom, hogy fgg lettem Mivel jmagam rendkvl sokat vagyok tvol az irodtl, a tvoli elrs az els pillanattl kezdve fontos volt. Anno minden gpemhez beszereztem a smartcard olvast (a Dell Tablet PC-hez nem volt egyszer), mindenhol hasznltam a CMAK-kal csomagolt IT Connection Manager-t az sszes kritriummal egytt (a rszletek nem publikusak). Mkdik, de mindez csak knlds a DA-hoz kpest. Ugyanis most mr semmit nem kell trcszni, semmit nem kell elindtani (kritriumok persze ugyangy vannak, hiszen pl. a NAP itt is van, st BitLocker -rel kombinlva is), csak indtom a bngszt s berom az intranetes szerver nevt, vagy pl. a fjlszervert a Start/Run-ba. Nincs hossz ellenrzs, terjedelmes karantn vizsglat, csak egy internet kapcsolat kell.

102

Tisztzzuk: ezek csak alapok, ennyibl nyilvn nem tudunk komplett DA-t pteni, itt csak egy rvid ttekintst kapunk majd s persze a TMG fgg rszeket.

~ 302 ~

TVOLI ELRS: VPN S NEM VPN

Radsul, mivel mr a belps eltt led, a cges krnyezetben ktelez frisstsek s hzirendek letltse sem csak a VPN kapcsolat utn indulhat, hanem ettl fggetlenl, azaz brmikor, ha van a gpnek net elrse. Persze nem arrl van sz, hogy az sszes "internetes" forgalom "befel" megy (de ezt is lehet, ha szksges), a norml forgalom tovbbra is az ISP-nken keresztl zajlik, csak az a klnbsg, hogy mivel rgvest kapcsolatban lehetnk pl. a cgnk Perimeter hlzatban lv DA szerveren keresztl a bels WSUS/SCE-vel/SCCM-el, stb, nem kell ehhez megvrni a klasszikus VPN csatlakozst. Ez j az zemeltetknek, s vgl is j nekem is, mint felhasznlnak.

10.23 BRA E GY ( MAJDNEM ) TELJES DA INFRASTUKTRA

Mindeme "csoda" alapja tbb hlzati technolgia egyttes alkalmazsa, gymint IPSec (hitelests s titkosts) illetve az IPv6, a ktirny kapcsolat felptshez, idelis esetben tkletes point-to-point security kialaktsa a NAT, a NAT-T s az egyb NAT problmk nlkl. Viszont ha mg nincs teljes IPv6 infrastruktrnk103, akkor az ISATAP-ra, a Teredo-ra, a 6to4-re is szksgnk lehet az IPv4/v6 talaktshoz szerver illetve kliens oldalon104. Kis segtsg ezek rtelmezshez: - Teredo: NAT Traversal

103

Alaprtelmezs szerint a Vista, WS08, Windows 7, WS08 R2 OS-ekben natv mdon implementlva van, a hlzati hardver eszkzk persze mg egy kln krdst kpeznek. 104 Vagy egy NAT-PT (RFC 2766) kpes Layer2/3 hlzati eszkz, azaz switch vagy router (mivel az R2 ezt nem nyjtja), vagy egy Forefront UAG 2010, ami szintn kpes a teljes talaktst elvgezni.

~ 303 ~

A KAPUN TL
IPv4 tunneling: ISATAP (IPv6 talakts), 6to4 (publikus IPv4 cmekhez), Teredo (privt IP cmekhez) Split DNS s a DA hasznlat "kvetse": Name Resolution Policy Table Az NRPT-hez mg egy mondat, mivel ez egy rdekes jdonsg, amely a Windows 7-ben debtl. Az NRPT elsdleges clja az, hogy szeparlni tudjuk a kliens oldalon a Internet/Intranet forgalmat, teht abban az esetben, ha a kliens az interneten lg, az els DNS inf keress helye a NRPT lesz - s ha egy DA-n keresztli, bels hlzati nv/cm elrsrl van sz, akkor ott kell lennie ebben a tblban a mi megfelel DNS szervernknek (Csoporthzirend > Name Resolution Policy) s mr indulhat is a titkostott DNS lekrdezs vagy mehet titkosts nlkl is - pl. az l DA kapcsolaton keresztl. Plusz, itt van mg neknk egy j, jelen pillanatban mg szabvnyosts alatt ll, a Microsoft ltal fejlesztett protokoll, az IP-HTTPS. Csak a Windows 7 illetve a WS08 R2 esetn, a proxy vagy tzfal mgtt elhelyezett hostok kpesek az IPv6 csomagokat IPv4 alap HTTPS session-okbe "gymszlni". Ezzel mg akadnak teljestmny gondok, a Microsoft keresi is a megoldst, ppen ezrt ez csak a tartalk forgatknyv, arra az esetre ha a kliens szimpla IPv6 alapon (illetve a fentebb emltett talaktsi megoldsokkal) nem tud kapcsoldni. No s persze a klnbz hitelestsi protokollok is szksgesek, ezek kzl jelen pillanatban elssorban a Smartcard, azaz egy multifaktoros hitelests a kvnalom. A gpnek rtelemszeren muszj tartomnyi tagnak kell lennie, illetve j tudni azt is, hogy az zemeltetk megszabhatjk a bels erforrsok elrst, azaz adhatnak elvileg korltlan hozzfrst, vagy csak bizonyos szerverek/gpek elrst, nagyjbl ahogyan pl. egy Remote Desktop Gateway-nl. E rvid ttekints utn mg egy dologba gondoljunk bele: azok a klienseink, akik hasznljk a DA-t, azon kvl, hogy a bels hlzatba csont nlkl belelthatnak, egymssal is kommuniklhatnak majd, amelyet elssorban a klnbz P2P alkalmazsokkal fognak tudni igazn sszehozni, de a lista szlesthet. Ezek kztt vannak/lesznek olyanok, amelyeknl nincs szksg plusz lpsekre a biztonsgos kommunikcihoz, a tbbi esetben (pl. Remote Assistance, Remote Desktop, File/Printer Sharing, stb.) viszont - neknk zemeltetknek gyakorlatilag IPSec transzport szablyokkal kell majd engedlyeznnk alkalmazsonknt kln-kln vagy ppen mindent megengedve, vagy adott esetben tiltani a kapcsolds lehetsgt.

~ 304 ~

TVOLI ELRS: VPN S NEM VPN

Mindezek utn nzzk meg a DA telepts tbbsgben szoftver, de nmikpp hardver kvetelmnyeit is: - Active Directory (minimum egy Windows 2008 vagy jabb DC), st ha smartcardot akarunk hasznlni, akkor csak R2-es AD jhet szba. - PKI infrastruktra (AD CS), EKU-s kiszolgl tanstvny, autoenrollment, illetve olyan CRL publikls, amely elrhet kvlrl, azaz a netrl is. - Egy dediklt WS08 R2 DirectAccess kiszolgl (nem DC) kt hlzati krtyval (intranet/internet), st a klsn kt statikus, publikus s szomszdos IPv4 cmmel. - IIS7, ami lehet a DA szerveren is, vagy ms kintrl elrhet kiszolgln, a lnyeg, hogy a DA kliensek szmra biztostani kell az n. "Network Location Server" szerepet, amely segtsgvel kiderl, hogy a DA kliens az intraneten vagy az interneten van ppen. - Csak a tartomnyi fikkal rendelkez Windows 7 kliensek hasznlhatjk a DA-t. - AD biztonsgi csoport a DA-t hasznlni hajt kliens gpfikok szmra. - Illetve a korbban ismertetett szoftveres IPv4 <> IPv6 talaktsi technikk, vagy a NAT-PT hardver. 10.3.2 DA V S . TMG Nos, minden szp s j, a DA egy remek tallmny, de ezek utn jhet a krds, hogyan fogjuk sszehozni mindezt a TMG-vel amely elvileg nem is tmogatja az IPv6os szkenrikat, pl. egy RDP elrst sem tudok vele, illetve rajta keresztl elkszteni? Ht gy, hogy a DirectAccess kivtel, a TMG fel van ksztve erre, csupn pr trkkt kell bevetnnk, ahhoz hogy mkdjn. Ez egyik legfontosabb tudnival, az hogy a DirectAccess-t mg a TMG teleptse eltt fel kell raknunk a gpre, s tkletesen be is kell konfigurlnunk, minden rszletvel egyetemben. Szerintem egy nagyion j segtsg ehhez a Test Lab Guide: Demonstrate DirectAccess. http://www.microsoft.com/downloads/details.aspx?displaylang=en&FamilyID=8 d47ed5f-d217-4d84-b698-f39360d82fac Ez egy step-by-step tpus dokumentum, amelynek egy korai vltozatbl ptettem fel annak idejn n is az els tesztrendszeremet.

~ 305 ~

A KAPUN TL

10.24 BRA PP A DA MMC- BEN TEVKENYKEDNK

Ezutn egy .reg fjl segtsgvel (amelyet be kell importlnunk a registry-be), a TMG ltal majdan letiltand IPv6-os tranzcis technikk feloldst elre elvgezhetjk. A .reg fjl tartalma a kvetkez kell hogy legyen: -----------------------------------------------------------------------------------------------------------Windows Registry Editor Version 5.00 [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\RAT\Stingray\Debug\ISACTRL] "CTRL_SKIP_DISABLE_IPV6_PROTOCOLS"=dword:00000001 -----------------------------------------------------------------------------------------------------------Ezt kvetheti a TMG norml teleptse. Ha ez rendben lemegy, akkor mr csak egy szkript lefuttatsra lesz szksg, ami a kvetkezkppen nz ki: ----------------------------------set o = createobject("fpc.root") set arr = o.Arrays.Item(1) set policy = arr.ArrayPolicy set IPV6Settings = policy.IPv6Settings IPV6Settings.DirectAccessEnabled = vbTrue arr.save -----------------------------------

~ 306 ~

TVOLI ELRS: VPN S NEM VPN

s ezzel el is kszltnk, a TMG leszinkronizlja a konfigurcijt, s egyttal mr DA szerverknt is mkdik. Ezt rszben leellenrizhetjk a System Policy-ban is, ahol 4851-ig felsorakozott szablyok mind a TMG s a DA kapcsolatval foglalkoznak. Mg 1-2 apr adalk a tmhoz105,amelyek kzl az els a tervezs apropjn fontos. Ugyanis a Microsoft rszrl az ajnls nem ez a forgatknyv a DirectAccess bevezetshez, hanem a Forefront Unified Access Gateway 2010 (UAG)106, amely egy sokkal nagyobb gy ebben az esetben, sokkal tkletesebb s granulrisabb megolds a tvoli elrsre s a klnbz tranczis knyszerhelyzetekre. Egy msik krds arra vonatkozik, hogy csak s kizrlag a TMG teleptse eltt lehet-e felpakolni a DirectAccess szerepkrt? Igen, ez lenne az ajnlott, de ha nagyon muszj, akkor a net stop fweng paranccsal le tudjuk lni a Forefront TMG drivert107, majd jhet a DA telepts, s utna a net start wspsrv-vel a TMG indtsa. A .reg fjlra s a szkriptre persze ekkor is szksg van. J tudni azt is, hogy egy DA szervert lehet-e a TMG mg tenni, illetve hogy az is, hogy a TMG el, azaz az internet s a TMG kz lehet-e tenni ezt a szervert? Mindkettt lehet. A korbban emltett tmutat tartalmaz egy Firewall Exception szakaszt, amely alapjn kiderl, hogy a TMG mgtt elhelyezett DA szerver esetn milyen portokat kell kinyitni. A msik esetben a vlasz azrt mr nem ilyen egyrtelm: a TMG gyri IPv6 inkompatibilitsa miatt ez csak akkor mkdhet, ha a bels hln csak s kizrlag az ISATAP-ot hasznlja minden kliens s szerver. Nos, ezzel a kellemesen alakul tmj befejez rsszel a tvoli elrs fejezet vgre is rtnk, s most ezzel a lendlettel egy sszetett rszre ugrunk, amely viszont nem a kpessgek tovbbi tallzst, hanem az eddigiekkel kapcsolatos ellenrzseket s vizsgldsokat szerepelteti majd.

105

A forrs ezen krdsek s vlaszok esetn a kvetkez: http://blogs.technet.com/b/isablog/archive/2009/09/23/forefront-tmg-and-windows-7directaccess.aspx 106 http://www.microsoft.com/uag 107 Ilyenkor persze minden vdelem megsznik, ergo ezt offline llapotban tegyk meg a TMG-vel.

~ 307 ~

A KAPUN TL

11 E LLENRIZZNK

S JAV TSUNK

Nem nagyon hiszem, hogy a nyeretlen ktveseken kvl van olyan zemeltet, aki ne tudn, hogy ugyan a munka fontos rsze a tervezs, a bevezets, a kpessgek elsajttsa, de az rdg a rszletekben rejtzik, s ezek a rszletek ezutn jnnek . Egsz pontosan hogyan mkdik? Mirt ezt csinlja? Mirt nem gy csinlja? Mirt csinlja ezt csak nlunk? Hol is tudnm ezt lekvetni? s mg fokozhatnnk. A mr emlegetett koszos htkznapok vilgban ezrt is kulcsfontossg, hogy kpben legynk e fejezet tmakreivel kapcsolatban is.

11.1 N APLZS
Naplzni teht muszj. Egy tzfal esetben kritikusan muszj. Muszj, mert tudnunk kell, hogy milyen vltozsok trtnnek, milyen felhasznli aktivits zajlik, milyen tmadsi ksrleteket hrt el a TMG, s minden ms, azaz brmilyen ms trtnst is rszleteiben kell megismernnk, mert az rdg nem alszik. Sokszor hibakeressi cllal hasznljuk fel a naplkat, mskor csak dokumentlni szeretnnk az adott konfigurlsi folyamatot, s megint mskor a kiszolglnk egszsgi llapotnak az ellenrzse a cl. Jelentseket s statisztikkat is ksztennk kell a naplfjlok alapjn, illetve rteslnnk kell a rendszer elemeinek aktulis llapotrl is, gy, hogy kzben ezek is dokumentlva legyenek termszetesen. Szval nincs itt krds, naplzunk s ksz. De hova, mit s mennyit? Mindjrt kiderl. Ahhoz, hogy elkezdjk a belltsokat vlasszuk a baloldali faszerkezetbl a Logs And Reports pontot, majd az Action Pane alatt vlasszuk elszr a hrombl a Configure Firewall Logging linket.

11.1 BRA A NAPLZS KONFIGURLSA ITT KEZDDIK

~ 308 ~

ELLENRIZZNK S JAVTSUNK
A tzfal illetve a web proxy napl belltsai szinten semmiben sem trnek el, elg az egyiket most jl megnznnk. A Log fln kivlan ltszik, hogy hrom f mdszernk lehet a naplzsra, a trols tpustl fggen.

11.2 BRA A LAPESETBEN EGY HELYI SQL E XPRESS - BE DOLGOZIK

rdekes mdon legalul kapcsoljuk be-, vagy ki a naplzst (Enable logging for this service), viszont utna rgtn hrom lehetsgnk is akad. - Az els az alaprtelmezs, ma SQL Express-nek hvjk (ez mr a 2008-as vltozat), rgebben MSDE nven futott (aztn lett WMSDE, de az annak az ISA hoz mr nem volt kze volt). Helyben fut (csak helyben futhat), s minden halad mdszer (pl. az realtime napl) esetn is alkalmazhat. A telept konfigurlja s alaprtelmezett policy szerint csak a Shared Memory protokollal rhet el, sem a Named Pipes, sem a TCP/IP protokollokkal nem108. - A kzps tpus a nagy SQL Database hasznlata, amely funkcionlisan elvileg nem ad tbbet mint az els mdszer, m egyrszt nem helyben van, msrszt s valsznleg kapacits problmkat sem vet fel109.
108

A System Policy alaprtelmezs szerint a tvoli SQL kapcsolatokat tiltja. Abbl a felttelezsbl kiindulva, hogy egy nll SQL szerver alatt valsznleg tbb hely van, mint az SQL Express-t hasznl TMG esetn.
109

~ 309 ~

A KAPUN TL
A fjl tpus naplzs elgg szegnyes mdszer, tbb korlttal, az elnye gyakorlatilag a kis helyfoglals s erforrs-takarkossg, valamint a kompatibilits (tallkoztam mr olyan 3rd party naplelemz s statisztika kszt alkalmazssal, ami csak ezt a tpust ismerte). Mivel elesnk jpr elnytl, ez a tpus nem szokott favorit lenni.

Mindegyik mdszernek vannak elnyei s htrnyai, pl. ha az erforrsok kihasznlst nzem, a helyi SQL sokkal izmosabb ignyekkel br, mint a msik kett. A tvoli SQL-be naplzs adott esetben akr jelents hlzati forgalmat is kpes generlni, lasstva a feldolgozst, ami a torlds miatt megint csak lasst, s erforrst is ignybe vesz, s mg sorolhatnnk. ppen ezrt, az, pl. hogy mit naplzunk, ez mekkora terhelssel jr, mekkora kapacitst ignyel, azt alaposan meg kell terveznnk s meg is kell figyelnnk menetkzben, folyamatosan is. Szmtalan olyan szituci ismert, amikor rejtlyesnek tn problmk (pl. net lassuls, ideiglenes elrsi hibk, stb.) megoldsa a naplzs korrektebb belltsa lett. Valamint az ehhez a tmhoz (is) rzkenyen hozztartoz hardver elemek (diszk, CPU, RAM) mretezse sem egy elhanyagolhat rsz. Nos ennyi kitr utn folytassuk az ismerkedst. Ha az elz brnak alapjn, ugyanitt belemegynk pl. az els tpus tovbbi lehetsgeibe, akkor mr kiss mr mlesztve trul elnk tbb lehetsg is.

~ 310 ~

ELLENRIZZNK S JAVTSUNK

11.3 BRA N APL OPCIK

Elszr is, akr naplnknt (kett van ugye, a tzfal s a web proxy), kln-kln az alaprtelmezstl (%ProgramFiles%\Microsoft Forefront Threat Management Gateway\Logs) eltr helyen is trolhatjuk a naplllomnyokat (Store the log file in), aztn a Log file storage limits alatt elszr a naplk maximlis helyignyt llthatjuk be, illetve azt is egyttal a biztonsg kedvrt, hogy minimum mennyi hely maradjon az adott diszken (Maintan free disk space (MB)). Aztn el kell dntennk, hogy hogyan tudjuk betartatni a korltokat a TMG-vel. Trljee a rgieket, ha elfogyni kzl a hely (Deleting older log files as necessary), vagy ne legyenek j naplfljok, ha elfogy a hely (Discarding new log entries). Ez utbbi azrt veszlyes dolog, hiszen ilyenkor egyltaln nincs naplzs, s utlag sem tudjuk sehogy sem megszerezni ezeket adatokat. Vgl napokban kell megadnunk azt az rtket, amelyeknl rgebbi naplfjlok biztosan nem lesznek meg a lemezen (akkor sem ha van hely).

~ 311 ~

A KAPUN TL
Ha a fjlformtum naplzst vlasztjuk, akkor csupn kett klnbsget vesznk szre az opciknl az SQL Express-hez kpest. Egyrszt ktfle formtum is a rendelkezsre ll (a klasszikus W3C, illetve az TMG sajtja), plusz ha beljebb megynk az Options gomb al, akkor mivel fjl formtumrl van sz, krhetnk tmrtst. Termszetesen az SQL Database vlaszts esetn teljesen ms helyzet ll el, hiszen ekkor a lnyeg a kapcsolat fellltsa s pl. a hitelests meghatrozsa, a tbbi dolog, pl. a napl mrete majd az SQL-tl fgg.

11.4 BRA C L A NAGY SQL

Ha viszont a innen visszalpnk egyet, akkor egy msik flet is kiszrhatunk, ami a Fields nevet viseli, s amely alatt piplssal azokat a mezket jelli meg a TMG, amelyek tartalma bekerlhet a naplfjlokba.

~ 312 ~

ELLENRIZZNK S JAVTSUNK

11.5 BRA M I LEGYEN A NAPLKBAN ?

Itt aztn mg az ISA 2006 rendszergazdk is tallnak majd sok j meznevet, nyilvn elssorban a TMG-be bekerlt j szolgltatsok miatt. Az els brn ebben a fejezetben lthatunk mg egy harmadik linket, ami eddig nem volt az ISA szerverekben. Ez a Configure Log Queue, amely tipikusan egy akkor hasznlatos, kisegt jelleg megolds, ha valamirt a TMG nem kpes megfelel sebessggel feldolgozni, azaz pl. formattlni a berkez, a naplkba sznt adatokat. gy gyakorlatilag az a hely amit itt megadunk (az alaprtelmezs a szoksos mappa), egy pufferknt szolgl majd.

~ 313 ~

A KAPUN TL

11.6 BRA E GY ABSZOLT JDONSG : A L OG Q UEUE

Az a helyzet, hogy amit most szeretnk csak rviden bemutatni, az csak kicsit egy kapcsoldik a naplzshoz, de azrt fontos, fkpp tbb felhasznls krnyezetben. A Change Tracking-rl beszlek, amely naplz, de nem akrmit, hanem a TMG-t tgetk tevkenysgt. Az ISA 2006 SP1-ben jelent meg, s a TMG-ben mr automatikusan be van kapcsolva (a Troubleshooting pont alatt a msodik flnl talljuk). Ennek segtsgvel a TMG minden egyes konfigurlsrl bejegyzseket kszt, amelyeket adott esetben (ha engedlyezzk a belltsai kztt) mg egyni megjegyzsekkel is ellthatunk, st kereshetnk is benne. 110

110

Az Enterprise kiadssal a teljes krnyezetben, pldul mindent tmbt tekintve is hasznlhatjuk.

~ 314 ~

ELLENRIZZNK S JAVTSUNK

11.7 BRA A C HANGE T RACKING MINDENT MOZGST LT

11.2 R IASZTSOK
A TMG szervereken a naplknl egy lnyegesen proaktvabb mdszernk is ltezik a funkcionalits s a biztonsgi llapot nyomon kvetsre illetve adott esetben az automatikus beavatkozsra. Nem is lehetnk meg e nlkl, hiszen a helyzet az, hogy idben tudnunk kell azt pl. hogy esetleg megll egy TMG szerviz, vagy pl. azt, le fog jrni egy tanstvny, vagy akr azt, hogy egy behatolsi ksrlet trtnik ppen. A szmos, gyrilag mr definilt riaszts 111 ezeket a clokat valstja meg, de termszetesen mi magunk is gyrthatunk majd egy-egy riasztst, nincs akadlya ennek.

111

Mr az ISA 2000-ben is voltak riasztsok, amelyek ksbb bvltek is, de most a TMG-ben rengeteg jat tallhatunk.

~ 315 ~

A KAPUN TL
11.8 BRA C SAK ELVETTEM A NETET A VIRTULIS GPTL

Ha egy riaszts megszletik, akkor annak termszetes kvetkezmnyeknt valamit csinl majd a TMG. A valami helybe belekpzelhetnk egy szkript indtst, egy program futtatst, egy e-mail kldst, illetve alaprtelmezs szerint egy bejegyzst az Esemnynaplba. De slyosabb kvetkezmnyek is bellthatak, pl. egy szerviz indtsa vagy lelltsa, illetve az n. lockdown md kiknyszertse. Az elz brn az Action pane kzepn hrom utastst is lthatunk. A Reset Selected Alerts trl egy vagy tbb bejegyzst, az Acknowledge Selected Alerts nem trl, csak a riaszts sttuszt lltja mondhatjuk gy, hogy ismert-re112. A harmadikkal indul a nirvna, a Configure Alert Definitons nyitja meg ugyanis a mr mkd riasztsok listjt s ezen keresztl majd a belltsaikat is.

11.9 BRA K B . 260 RIASZTS LL RENDELKEZSRE

112

Ennek is akkor lehet rtelme, ha pl. tbben kezeljk az adott szervert. Tudunk rla, de azt akarjuk, hogy minden zemeltet tudja.

~ 316 ~

ELLENRIZZNK S JAVTSUNK
Vlasszunk ki egyet egy alaposabb vizsglatra, n most a Definition Updates Checking Failed nevt szrtam ki, amely neve magrt beszl, ez egy engedlyezett riaszts, teht permanensen mkdik a telepts ta.

11.9 BRA LTALNOS INFK - A C ATEGORY S A S EVERITY AKKOR LESZ FONTOS , HA MI IS GYRTUNK RIASZ TST

~ 317 ~

A KAPUN TL

11.10 BRA A TRIGGER FELTTELEI

Az Events fl alatt mr izgalmasabb dolgok jnnek, ezen a panelen tbbek kztt a szablyozhat a riaszts indtsa (Number of times the event should occur before the alert is triggered): - Number of occurrences: Hnyszor kell megtrtnnie a riasztst kivlt esemnynek, hogy valban riaszts legyen belle? - Number of events per second: Hnyszor kell megtrtnnie msodpercenknt a riasztst kivlt esemnynek, hogy valban riaszts legyen belle? Az Each subsequent time the thereholds are met, trigger the alert rsz opcii: - Immediately: Ha bekvetkezik a kivlt ok, azonnal mehet a riaszts. - Only if the alert was manually reset: Csak akkor mehet a riaszts, ha mr kzzel lenullztuk (ez gy gyakorlatilag a tjkoztats rgztsnek minsl). - If time since last execution is more than: Csak akkor mehet a riaszts ha minimum a bejegyzett rtknek megfelel msodperc eltelik (ez ugye a defincifrisstsek hibja kapcsn 24 ra). Ez itt nyilvn egy jelents idintervallum, de ennl a szitucinl nem gond.

~ 318 ~

ELLENRIZZNK S JAVTSUNK
Ami mg htravan, az maga az akci, azaz mi trtnjen a riaszts velejrjaknt?

11.11 BRA

VLASSZUNK AKCIT !

Kldhetnk e-mailt, futtathatunk, akr specilis fikkal egy alkalmazst, a Report to Windows event log, alaprtelmezs, s llthatunk le valamint indthatunk el szervizeket. A szerviz lelltsnl a Firewall service illetve a Job Scheduler szerviz lelltsa jhet mg szba. Az elbbi esetn egybknt a TMG egy specilis Lockdown mdba kerl. Ilyenkor gyakorlatilag lezr mindent, kivve pldul a Forefront TMG Array Administrator csoport tagjai szmra a tvoli elrs lehetsgt vagy pldul a ping-et, illetve a DHCP-kliensknt val mkdst. A Local Host hlzatbl a kimen krsek mkdhetnek, illetve az erre adott vlaszokat is befogadja a TMG (pl. egy DNS krs s vlasz). De pl. a VPN, vagy brmilyen ms bejv forgalom engedlyezse megsznik, a hlzati konfigurcit csak a szerviz jraindtsa utn lehet menteni, s pl. jabb riasztsok sem szletnek. Ezen alfejezet befejezsknt mg azt hadd mondjam el, hogy ha egy ennl magasabb szint monitorozsra van szksg, akkor jhetnek a kifejezetten nagyvllalati krnyezetben hasznlatos System Center termkek, hiszen a TMG

~ 319 ~

A KAPUN TL
teljesen kompatibilis ezekkel, a megfelel menedzsment csomag, pl. az SCOMhoz rendelkezsre llnak. Microsoft Forefront Threat Management Gateway (TMG) 2010 Management Pack for Operations Manager 2007 http://www.microsoft.com/downloads/details.aspx?FamilyID=5BFCE6BE-B68148BF-BDA9-A93D005820DD&amp;displaylang=ru&displaylang=en

11.3A

LEGJOBB
113

B ART AINK :

S ESSION M ON ITOR

REALTIME

NAPL

A felhasznli vagy szmtgp session-ok 114 megfigyelse, illetve adott esetben megszntetse alap feladat az TMG zemeltet szmra. A TMG konzolban a Monitoring\Sessions alatt vals kpet kapunk az aktulis kapcsoldsokrl, ezek tpusairl (SNAT, vagy Web proxy, vagy Firewall Client), a kliens IP-jrl, hlzatrl, ha hitelestett, akkor ezekrl az adatokrl, a host nevrl, az adott alkalmazs nevrl, valamint pl. arrl, hogy ez a kapcsolat VPN-e?

11.12 BRA PRGS VAN

113 114

Jelzem jra, n hvom gy, nem tudom mi a neve, ha van egyltaln. A session helyett sosem tudtam egy frappns magyar szt rni.

~ 320 ~

ELLENRIZZNK S JAVTSUNK
Egyszval nagyon inf megrkezik ide, de ez a rsz elssorban a megfigyels terepe, sok teendnk itt nem lehet. Az Action pane pontjai alapjn szrhetnk kicsit, szneteltethetjk s lellthatjuk a monitorozst, illetve pl. kilhetjk a felhasznl session-kt (ami csak az adott folyamat vgt jelenti majd, nem vgleg tiltjuk le). Ami viszont az igazn nagy segtsg pl. a hibakeressben, az a faszerkezetben kiss lentebb, a Logs and Reports szakaszban tallhat a Logging fl alatt. Ez a realtime (de lehet offline is) napl, ahol tengersok jellemz alapjn szrhetnk.

11.13 BRA E Z CSAK A JGHEGY CS CSA

Nzzk meg pldul a kvetkez brt, amelyet gy hoztam ssze, hogy a Logging alatt az Action Pane-ben szerepl (de az brn nem ltsz) Edit Filter paranccsal sszevlogattam a szrsi szempontokat.

~ 321 ~

A KAPUN TL

11.14 BRA A SZRS EREDMNYE

1. 2. 3. 4. 5. 6.

Ktfle naplra is szrnk. Az elmlt 1 ra trtnseibl vlogatunk. Egy adott forrs IP rdekel bennnket. s egy adott cl IP fel men forgalom. Meghatrozott porton. Zlddel jelenek meg a valamely szably ltal engedlyezet forgalmak, piros lenne a tiltott, s ha jl megnzzk a vzszintes grdt svot, akkor az is kiderl ebbl, hogy 7. Tovbbi rszletek kibontva. Itt ltszik a szrke csk alatt a vonatkoz szably neve. Ez risi segtsg tud lenni, hiszen egybl kiderl hogy melyik az amelyik engedlyezi mondjuk a hozzfrst, vagy ppen tiltja. Ktdimenzis formban nem tudom ennl jobban bemutatni a lehetsgeket, pedig mg bven lenne mit, de javaslom, hogy trjnk be ide rendszeresen, menetkzben rengeteget tanulhatunk a forgalom ilyetn elemzsvel. Zrskppen mg egy dolog: ugyanebben az ablakban (Logging) jobbra, az Action Pane\Related Tasks alatt kiegszt mveleteket is vgezhetnk a szrs kapcsn, mint pl. a sznezs belltsa, vagy szrfelttelek mentse s betltse, az eredmnyek msolsa a vglapra, vagy ppen az IPv6-os forgalom elrejtse.

~ 322 ~

ELLENRIZZNK S JAVTSUNK

11.15 BRA M G SZNEZHETNK IS

11.4 E GY

JABB BART : A

C ONNECTIVITY V ERIFICATION

Az ISA Server 2004 ta velnk van ez a kiss meglep, de hasznos szolgltats. A Local Host gptl kiindulva ellenrizhetnk kapcsolatokat, brmely hlzaton (teht az Interneten is) pl. szerverekhez ennek a szolgltatsnak a segtsgvel. Egy tovbbi fontos pozitvuma pedig ennek a szolgltatsnak az, hogy egyszeren bellthatjuk, hogy generljon riasztsokat egy-egy kapcsolat elvesztsekor, illetve az jra kapcsoldsakor is. Tbbfle metdus is a rendelkezsnkre ll, a Monitoring harmadik fle alatt: - Ping: A TMG egy ICMP ECHO_REQUEST-et kld s egy ICMP ECHO_REPLY-t vr el cserbe. - TCP connect: A TMG egy ltalunk bellthat TCP porton (pl. TCP21 egy FTP szerver esetn) prbl kapcsoldni az adott kiszolglhoz. - HTTP request: Ha ezt vlasztjuk, egy HTTP krst kld a TMG s vr a vlaszra (nyilvn ez lesz a j metdus egy webszerver esetn).

~ 323 ~

A KAPUN TL
A Timeout szakaszban bellthatjuk mg azt is, hogy mennyi idnknt trtnjen meg ez az ellenrzs milliszekundumban, valamint, hogy legyen-e riaszts (Trigger an alert if the server response is not within the specified timeout). Aztn ehhez a riasztshoz az Alerts szakaszban mr knny lesz pl. egy e-mail kldst hozzrendelni115. A frisstsi idkz (Refresh Rate) viszont egy msik opci, amire szksgnk lehet, ellenben ez nincs kint a GUI-n. Az alaprtelmezse 30 mp, de egybknt maximum 1440 mp-re, azaz 24 percre hzhat fel, szkripttel: http://technet.microsoft.com/en-us/library/cc302480.aspx

11.16 BRA M KDIK , VAGY NEM ?

A HTTP/S krsek esetn a System Policy 19-es szablya engedlyezi a forgalmat - automatikusan, ha hasznljuk. A web farm publiklsnl is ltezik, de integrltan, azaz pl. a varzslba ptve is tallkozhatunk vele.

115

De a gyri riasztsok nevt lerom, mert ezt viszont nem knny megtallni: No Connectivity illetve Connectivity Restored.

~ 324 ~

ELLENRIZZNK S JAVTSUNK 11.5 J

BARTOKBL SO SEM ELG : A

BPA

A BPA jelentse a Best Practice Analyzer, s szerencsre j rgta ltezik ez az ingyenesen letlthet eszkz a Microsoft szervereihez, eleinte csak Sharepoint-hoz s Exchange-hez, de aztn az ISA kiszolglkhoz is megjelentek sorra a megfelel verzik, st a Windows Server 2008 R2 ta immr nem egy kln letlthet vltozatban, hanem pl. a Server Managerbe beptve is tallkozhatunk a BPA tudsval. A TMG BPA 8.0.1-es vltozata jelenleg a legfrissebb, innen le is szedhetjk: http://www.microsoft.com/downloads/details.aspx?displaylang=en&FamilyID=8 aa01cb0-da96-46d9-a50a-b245e47e6b8b116 De mit is csinl? sszehasonlt. Egy idelis, optimlis konfigurcit ahhoz, amit mi kalapltunk ssze. Ezenkvl felismer mg jpr jelensget a termk mkdsvel kapcsolatban, s a kzlnivaljt hrom kategriba osztva hibk, figyelmezetsek, vagy egyszeren csak informcis csomagok formjban s sszestve meg is jelenti.. Ha errl a cuccrl van sz, akkor n kt dolgot szoktam kiemelni elnyknt. - Ha kezdk vagyunk (mindenki gy indul), akkor a tippek, illetve a konfigban per pillanat lv hibk, vagy hinyossgok listzsa egy remek terep a tanulshoz (arrl nem is beszlve, hogy problmkat oldunk meg ) - Ha mr rutinos versenyzk vagyunk, akkor ellenrzsre, 2 v mlva az adott konfig jbli tvizsglsra is tkletesen alkalmas az eszkz. Az hogy a 63. szablyban kikapcsoltam-e az FTP upload tilts opcit, az rnzsre nem nyilvnval, de a BPA futtatsa utn rgtn kiderl, hogy radsul az 52.-ben s a 20-asban is ugyanezt ezt tettem. A hasznlat pofonegyszer, letltjk s teleptjk, majd elindtjuk. Nem rt ha megkrjk arra, hogy mindig frisstsen (ugyanis ez egy olyan eszkz, amely tudsanyagt rendszeresen frisstik a berkez problmk, s hibajelensgek, lersok alapjn).

116

De az ISA 2006 SP1-tl a baloldai faszerkezetben, a "Troubleshooting" all is elrjk ezt a linket.

~ 325 ~

A KAPUN TL

11.17 BRA A BPA FIGYELMEZTET S JAVA SOL

gy teht ha valami rejtlyes gond van a TMG-vel, s ha az Esemnynapl vagy a TMG naplk nem adnak elg segtsget akkor segthet a BPA. De van egy alternatv felhasznlsi terlete is, amikor is valaki msnak szeretnnk megmutatni - nagyon rszletesen, de egy csomagban problmt. Ugyanis az mr emlegetett szimpla "egszsgi" llapotvizsglat illetve BPA2Visio (Visio-ba importls) mellett az TMG BPA-nak van egy n. Data Packager zemmdja is (kln a Start menbl kell indtani), ahol nagyon rszletes belltsokkal s pl. problma-szkt sablonokkal is bvthetjk a vizsglatot. Radsul menetkzben - ha krjk - a Network Monitort is feltelepti s hasznlja is.

~ 326 ~

ELLENRIZZNK S JAVTSUNK

11.18 BRA M KDIK A D ATA P ACKAGER

Ehhez kvessk az itt szerepl, igaz mg az ISA-ra vonatkoz rszletes, kpernykpekkel illusztrlt bemutatt (a msodik link az igazi, az els viszont a szimpla BPA hasznlatban segt.) Using ISABPA For Proactive And Reactive Work On ISA Server - Part 1 http://blogs.technet.com/yuridiogenes/archive/2009/03/13/using-isabpa-forproactively-and-reactively-work-with-isa-server-part-1-of-2.aspx Using ISABPA For Proactive And Reactive Work On ISA Server - Part 2 http://blogs.technet.com/yuridiogenes/archive/2009/05/07/using-isabpa-forproactive-and-reactive-work-with-isa-server-part-2-of-2.aspx

~ 327 ~

A KAPUN TL

12 A

RADS : AZ

SP1

A TMG RTM megjelensi dtuma 2009. november kzepre tehet. Eme knyv els adagjnak elksztsekor (2010 februrjban) mg csak csendes susogst lehetett hallani az els szervizcsomagrl, de azrt lnk susogst, rvid hatridkkel. Aztn Forefront MVP mivoltombl fakadan, prilisban mr kaptam egy pldny, amit gyorsan feldobtam a Hyper-V-s gpemre, s nagyon megrltem a csomagnak, mert mr akkor ltszott, hogy nemcsak a hotfixek s a patch-ek sszegyrsrl van sz117, hanem - br mg csak egy flv telt el az RTM ta- kapunk is jdonsgokat. Aztn jtt egy jabb, majd egy mg jabb bta, s 2010. jnius kzpre publikusan is megjelent az SP1. s gyakorlatilag nem kerlt ki belle semmi a btkhoz kpest, nzzk teht most sorban vgig, hogy mit kapunk, ha felteleptjk.

Microsoft Forefront Threat Management Gateway (TMG) 2010 Service Pack 1 http://www.microsoft.com/downloads/details.aspx?FamilyID=f0fd5770-73604916-a5be-a88a0fd76c7c&displaylang=en

12.1 B RANCH C ACHE , RODC, S HAREPOINT 2010

Az els kt kpessg kihasznlsa fkpp a telephelyi krnyezetben rdekes s fontos. Ha pl. mr egybknt is van egy TMG-nk a telephelyen (s ugye ez Windows Server 2008 R2 alatt fut), akkor rlni fogunk, hiszen az SP1 teleptse utn a TMG konzolbl engedlyezhetjk a BranchCache hosted cache zemmdban trtn mkdst. Radsul itt a GUI-n, a TMG konzolbl gyakorlatilag minden belltst elvgezhetnk, amelyet pl. a netsh-val tennnk meg egybknt. A BranchCache-rl rengeteg rtunk s eladtunk mr, de a lenti linken, komplett elads s dem screencastokat is megtekinthetnk errl az jdonsgrl: http://www.microsoft.com/hun/technet/article/?id=aef89148-1f12-4ee3-8f338b0df92471b8

117

Azrt vannak ilyenek is benne, egsz pontosan 22 db. http://technet.microsoft.com/en-us/library/ff686708.aspx

~ 328 ~

A RADS: AZ SP1

12.1 BRA B RANCH C ACHE KONFIGURLS

Egy msik rdekes dolog a Windows Server 2008-cal rkezett RODC kpessg (ReadOnly DC, azaz a csak olvashat tartomnyvezrl) egybegyrsa a TMG-vel. Ez megint csak egy kifejezetten a telephelyekre fkuszl kpessg, amelyet immr telepthetnk a TMG gpre is, pontosabban fordtva, az eddigi receptek szerint elbb a RODC, majd aztn jhet a TMG. A klasszikus tartomnyvezrlk tovbbra sem kpesek (s tegyk a szvnkre a keznket: abszolte nem is okos dolog, s nem is ajnlott) ugyanazon a gpen futni, mint a TMG, telepts kzben szp kerek hibazenet kapunk majd, ha ezzel prblkozunk, s mivel az TMG RTM mg ilyen, ezrt ha a szndkunk hatrozott RODC gyben, akkor ssze kell ragasztanunk (slipstream) az eredeti telept anyagot az SP1-gyel. Ennek lpseit, illetve a RODC/TMG telepts gyakorlati rszleteit megtalljuk ezen a TechNet oldalon: http://technet.microsoft.com/en-us/library/ff808305.aspx

~ 329 ~

A KAPUN TL
s vgl az SP1-gyel az idkzben megjelent Sharepoint 2010 publiklsa is egyszerbb vlt, az immr integrlt publikls varzsl segtsgvel.

12.2 URL

SZRS VLTO ZSOK

Tegyk fel, hogy gy rezzk (pl. a felhasznlink sznni nem akar nyomsa alapjn), hogy rengeteg tves blokkolst eredmnyez az URL szrs bevezetse. Mivel lgyszvek vagyunk (brrrr), ezrt rlnk annak a lehetsgnek, amellyel az SP1 kecsegtet: a felhasznlk manulisan fellbrlhatjk a szrst!

12.2 BRA U SER O VERRIDE

Ezt persze elszr engedlyeznnk kell (szablyonknt), s ekkor mg azt is megadhatjuk (de mi s nem k), hogy mennyi ideig legyen rvnyes a felolds, ha egyltaln szksges ez. Kivlan mkdik ez az jdonsg, a kvetkez kpen meg is lehet tekinteni, hogy milyen formban jelenik meg a bngszben, illetve az azutn kvetkezben azt is, hogy a naplbl azrt nyomon kvethet, hogy ki s mikor l ezzel a lehetsggel.

~ 330 ~

A RADS: AZ SP1

12.3 BRA A GYEREKEM PORNT AKAR NZNI , S N R BZOM A DNTST

12.4 BRA S DNTTT ( DE AZRT A LOGBL MINDEN LTSZIK - AZ O VERRIDEN R ULE OSZLOPBAN LTHAT A LNYEG )

~ 331 ~

A KAPUN TL
Egyetlen furcsasgot vettem csak szre, amikor bezemeltem ezt a lehetsget, egszen addig nem engedte rvnyesteni a megvltozott szablyt a TMG, amg a HTTPS-t ki nem szedtem a szablybl, mert ezzel nem mkdik egytt az User Override s ez by design. Ugyanis egy cookie alap azonosts trtnik s az IE7/8 pldul nem engedi azt, hogy a https adatfolyamba belepiszkljunk ilyen formban.

12.3 JDONSGOK

A JELENTS EKNL

A kvetkez szakasz gyakorlatilag csak egy kpes beszmol, hiszen itt ez a lnyeg. Egyrszrl vizulisan megjult a jelentsek kinzete, msrszt krhetnk egy n. User Activity reportot is, az Action Pane\Tasks\Create User Activity Report Job pont alatt (ilyen kpem sajnos nincs).

12.5 BRA S ZINES - SZAGOS ( MR ALAPOSAN RFRT A VLTOZS )

~ 332 ~

A RADS: AZ SP1

12.6 BRA URL KATEGRIK SZERINT I S

12.7 BRA A U SER O VERRIDE - DAL KAPCSOLATOS ELZ TEVKENYSGEM IS SZPEN LTSZIK

~ 333 ~

A KAPUN TL

12.8 BRA J DOLOG A CACHE , AZ TUTI

Ezzel az SP1-es jdonsgok felsorolsnak vge is szakadt, ahogyan a knyv fejezetei is elfogytak, egy kivtelvel, ami egy rvid zrsz lesz csak csupn.

~ 334 ~

ZRSZ

13 Z RSZ
A Mi maradt ki? krdsre tisztn elttem van a vlasz. Nem esett sz igazbl a terhelselosztsrl, viszonylag kevs tartalom kerl bele a migrcis fejezetbe, kimaradt a Sharepoint publikls, illetve az Enterprise kiads specilis tudsrl s szpsgeirl egyltaln nem emlkeztem meg. Az elejn mg egy teljes fejezetet beterveztem a Forefront Unified Access Gateway 2010 (UAG) szerverrl is, legalbbis a klnbsgekrl s a hasonlsgokrl az UAG vs. TMG viszonylatban, de ez sem sikerlt vgl sszehozni. Nhny helyen (mg) mlyebben is bele lehetett volna menni az anyagba, de ht gy is kb. 100 oldallal tbb lett, mint amire szmtottam. Nos, ez mr csak gy megy, radsul ki tudja mit hoz a jv (mrmint, iz a tvoli jv ), de azrt beidznm az rkrvny megllaptst (taln egy Murphy trvny is egyttal): Befejezetlen dokumentum nincs, csak olyan, amelynek meguntuk a mdostst. Uff. Ksznm a trelmet.

Cegld, 2010. szeptember

Gl Tams v-tagal@microsoft.com MCP, MCSA, MCSE, MCTS, MCITP SA/EA, MCT, MVP IT zemeltetsi szakrt Microsoft Magyarorszg http://www.technetklub.hu

~ 335 ~