a forefront tmg mint tűzfal
DESCRIPTION
A Forefront TMG mint tűzfal. Gál Tamás [email protected] IT üzemeltetési szakértő Microsoft Magyarország. Tartalom. - Áttekintés - NIS + IPS - ISP-Redundancy - Enhanced-NAT - E-mail Policy. Áttekintés - TMG szkenáriók. Az alap tűzfal képességek. Háromféle szűrés kombinációja - PowerPoint PPT PresentationTRANSCRIPT
A Forefront TMGmint tűzfal
Gál Tamá[email protected] üzemeltetési szakértőMicrosoft Magyarország
- Áttekintés- NIS + IPS- ISP-Redundancy- Enhanced-NAT- E-mail Policy
Tartalom
Áttekintés - TMG szkenáriókSecure Web
Gateway • Malware szűrés, HTTP/S szűrés, URL szűrés
Firewall • Multi-layer inspection, NIS, ISP-R, E-NAT, SIP
Remote Access
Gateway
• VPN (PPTP, L2TP, SSTP) + S2S VPN (IPSec is), DirectAccess, Biztonságos webes publikálás
Secure Email Relay • E-mail, spam- és vírusszűrés
Unified Threat
Management
• „Mindent egybe” megoldás kisebb szervezeteknek és telephelyeknek (firewall, proxy, VPN, publikálás, NIS, ISP-R, Cache, stb. egyetlen dobozban)
Az alap tűzfal képességekHáromféle szűrés kombinációja
Packet filter, Stateful, ApplicationHálózatkezelés
Multi networking, Route, NAT (full és half NAT is)Policy engine - bonyolult, de fontos és „szép”
Sorrend1: Network rules (benn az E-NAT is) > Firewall policy rules > Web chaining rules > ISP-RedundancySorrend2: Firewall policy rules > prioritási sorrendPolicy re-evaluation változások
- Áttekintés- NIS + IPS- ISP-Redundancy- Enhanced-NAT- E-mail Policy
Tartalom
NIS – A problémaA folt nélküli lyukak
Egy XP élete a neten javítások nélkül kb. 20 percA Windows OS-ek 2%-a teljesen up-to-date (becslés)A támadók mindig gyorsabbak0-day vulnerability, 0-day exploitA titkosítás és a csatornázás (xxx over HTTPS) még jobban komplikálja a helyzetet
A patch teszteléshez és telepítéshez idő kell
NIS – hogyan?Szignatúra alapú IPS
Érthetően gyorsabb így a védekezésA szignatúrák a MicrosoftMalware Protection Center-ből jönnek
Működése az MSR-től származó GAPA parser-en alapul*A TMG-ben - egyelőre - csak az MS protokollok és sérülékenységek támogatottak
*Generic Application-level Protocol Analyzer
A lyuk azonosítá
sa
Lyuk kutatás
Szignatúra
fejlesztés
Szignatúra
tesztelés
A szignatúra kiadása
4 óra
NIS – működés
A sérülékenységek és exploit-ok detektálásaA forgalom blokkolása Mindezt az Edge ponton
Háromféle NIS csomag létezikExploit, Vulnerability, Policy
Támogatott protokollok: HTTP, DNS, SMB, SMB2, NetBIOS, MSRPC, SMTP, POP3, IMAP, MIME
8
Sérülékenység
felfedezéseSzignatúra fejlesztés
NIS – működésKivételezés > tetszőleges hálózati objektumFrissítés: WSUS, MU
TMG Update Center (ingyenes)Aktiválás / deaktiválás
Fontos: nem fájl alapú védelemA vírusok ellen nem véd > EMP
NIS – egyebekA teljesítményigényt nehéz megmérni
Kb. 30% Naplózás, jelentések
Teljeskörű támogatásExtrák:
Protocol Anomalies PolicyAssociated Standard Protocol
FTMG-CLIENT172.16.20.11
FTMGDEMO1172.16.20.20131.107.10.1
FTMGEEDC172.16.20.10
www.netlogon.hu
FTMG-EXTWEB131.107.10.2
extweb.example.com
Internet
Demókörnyezet
Priv Internet2
NIS
demó
Egyéb IPS megoldásokIntrusion Detection
ISA 2000 óta változatlanDNS > alkalmazásszűrés
IP OptionsMi az extra a képen?
Flood MitigationGranuláris szabályzás, kivételekkel
- Áttekintés- NIS + IPS- ISP-Redundancy- Enhanced-NAT- E-mail Policy
Tartalom
ISP-Redundancy - típusokKét ISP kapcsolat esetén két lehetőség
FailoverHa nincs elsődleges vonal, kapcsol a másodlagosraHa újra lesz elsőgleges, visszakapcsol
Load Balancing (de Failover is)Ha él mindkét vonal, az arány állíthatóHa nem, minden a működőn dolgozikHa újra él mindkettő, újraelosztja a TMG
ISP-Redundancy - összetevőkA telepítés
„Veszünk két netet”Lefuttatjuk a varázslót
ISP átjáró, alhálózat, DNS szerver adatokLoad balancing > spéci szerverek dedikálása (DNS, SMTP)
ÁllapotvizsgálatA Dashboard-on egy külön státusz panellel
Routing EnforcementA TMG az ISP route-okat preferálja (a host routing helyett)
ISP-Redundancy - kapcsolat ellenőrzésA root DNS szervereket használja
TCP kapcsolat az 53-as porton, round robin, 60 mp*3 hiba után > failed5 perc szünetHa van sikeres válasz, még kettőt tesztelünk (3 perc)
Kézi szabályzás*http://blogs.technet.com/isablog/archive/2009/11/26/tmg-isp-redundancy-unleashed.aspx
ISP-Redundancy – a határokAz ISP-R célja a kifelé menő irány fenntartása
Azaz nem a publikálás (befelé irány) támogatásaDe megoldható a DNS probléma rendezésével
Összesen 2 kapcsolatot kezelNem protokoll szinten működikCsak NAT kapcsolat esetén működik
A TMG-n (LocalHost hálózat) nem tudjuk tesztelniAz E-NAT felülírja
ISP-R
demó
- Áttekintés- NIS + IPS- ISP-Redundancy- Enhanced-NAT- E-mail Policy
Tartalom
Enhanced NATSpeciális NAT, speciális célból
Az alapértelmezés: a TMG első ill. egyetlen külső IP címeSelected IP: tetszőleges IP vagy pl. NLB környezet > virtuális IPMultiple IPs: több IP használata > tömb > TMG példányonként különböző lehet
1 hálózati szabály > 1 NAT IPHasználat: pl. több SMTP szerver esetén
- Áttekintés- NIS + IPS- ISP-Redundancy- Enhanced-NAT- E-mail Policy
Tartalom
E-mail védelem - ISA Server 2006Egyszerű protokoll vizsgálat
Az SMTP parancsok érvényessége, hossza, stb.
SMTP ServerExternal Network SMTP Filter
E-mail védelem – TMG1. Exchange Edge Transport szerepkör
Ugyanazon a gépen (de külön licensszel)Spam filtering fül alatt vezéreljük
2. Forefront Protection 2010 for ExchangeEz a „hardcore” megoldás, teljes integrációvalAntimalware, Antispam, AntiphishingVírus and Content Filtering fül alatt vezéreljük
Az eredmény:Az Edge ponton - teljeskörű higiéniaNLB támogatás is
E-mail védelem – a konzol
- Áttekintés- NIS + IPS- ISP-Redundancy- Enhanced-NAT- E-mail Policy
Tartalom