A Forefront TMGmint tűzfal

Gál Tamásv-tagal@microsoft.comIT üzemeltetési szakértőMicrosoft Magyarország

- Áttekintés- NIS + IPS- ISP-Redundancy- Enhanced-NAT- E-mail Policy

Tartalom

Áttekintés - TMG szkenáriókSecure Web

Gateway • Malware szűrés, HTTP/S szűrés, URL szűrés

Firewall • Multi-layer inspection, NIS, ISP-R, E-NAT, SIP

Remote Access

Gateway

• VPN (PPTP, L2TP, SSTP) + S2S VPN (IPSec is), DirectAccess, Biztonságos webes publikálás

Secure Email Relay • E-mail, spam- és vírusszűrés

Unified Threat

Management

• „Mindent egybe” megoldás kisebb szervezeteknek és telephelyeknek (firewall, proxy, VPN, publikálás, NIS, ISP-R, Cache, stb. egyetlen dobozban)

Az alap tűzfal képességekHáromféle szűrés kombinációja

Packet filter, Stateful, ApplicationHálózatkezelés

Multi networking, Route, NAT (full és half NAT is)Policy engine - bonyolult, de fontos és „szép”

Sorrend1: Network rules (benn az E-NAT is) > Firewall policy rules > Web chaining rules > ISP-RedundancySorrend2: Firewall policy rules > prioritási sorrendPolicy re-evaluation változások

- Áttekintés- NIS + IPS- ISP-Redundancy- Enhanced-NAT- E-mail Policy

Tartalom

NIS – A problémaA folt nélküli lyukak

Egy XP élete a neten javítások nélkül kb. 20 percA Windows OS-ek 2%-a teljesen up-to-date (becslés)A támadók mindig gyorsabbak0-day vulnerability, 0-day exploitA titkosítás és a csatornázás (xxx over HTTPS) még jobban komplikálja a helyzetet

A patch teszteléshez és telepítéshez idő kell

NIS – hogyan?Szignatúra alapú IPS

Érthetően gyorsabb így a védekezésA szignatúrák a MicrosoftMalware Protection Center-ből jönnek

Működése az MSR-től származó GAPA parser-en alapul*A TMG-ben - egyelőre - csak az MS protokollok és sérülékenységek támogatottak

*Generic Application-level Protocol Analyzer

A lyuk azonosítá

sa

Lyuk kutatás

Szignatúra

fejlesztés

Szignatúra

tesztelés

A szignatúra kiadása

4 óra

NIS – működés

A sérülékenységek és exploit-ok detektálásaA forgalom blokkolása Mindezt az Edge ponton

Háromféle NIS csomag létezikExploit, Vulnerability, Policy

Támogatott protokollok: HTTP, DNS, SMB, SMB2, NetBIOS, MSRPC, SMTP, POP3, IMAP, MIME

8

Sérülékenység

felfedezéseSzignatúra fejlesztés

NIS – működésKivételezés > tetszőleges hálózati objektumFrissítés: WSUS, MU

TMG Update Center (ingyenes)Aktiválás / deaktiválás

Fontos: nem fájl alapú védelemA vírusok ellen nem véd > EMP

NIS – egyebekA teljesítményigényt nehéz megmérni

Kb. 30% Naplózás, jelentések

Teljeskörű támogatásExtrák:

Protocol Anomalies PolicyAssociated Standard Protocol

FTMG-CLIENT172.16.20.11

FTMGDEMO1172.16.20.20131.107.10.1

FTMGEEDC172.16.20.10

www.netlogon.hu

FTMG-EXTWEB131.107.10.2

extweb.example.com

Internet

Demókörnyezet

Priv Internet2

NIS

demó

Egyéb IPS megoldásokIntrusion Detection

ISA 2000 óta változatlanDNS > alkalmazásszűrés

IP OptionsMi az extra a képen?

Flood MitigationGranuláris szabályzás, kivételekkel

- Áttekintés- NIS + IPS- ISP-Redundancy- Enhanced-NAT- E-mail Policy

Tartalom

ISP-Redundancy - típusokKét ISP kapcsolat esetén két lehetőség

FailoverHa nincs elsődleges vonal, kapcsol a másodlagosraHa újra lesz elsőgleges, visszakapcsol

Load Balancing (de Failover is)Ha él mindkét vonal, az arány állíthatóHa nem, minden a működőn dolgozikHa újra él mindkettő, újraelosztja a TMG

ISP-Redundancy - összetevőkA telepítés

„Veszünk két netet”Lefuttatjuk a varázslót

ISP átjáró, alhálózat, DNS szerver adatokLoad balancing > spéci szerverek dedikálása (DNS, SMTP)

ÁllapotvizsgálatA Dashboard-on egy külön státusz panellel

Routing EnforcementA TMG az ISP route-okat preferálja (a host routing helyett)

ISP-Redundancy - kapcsolat ellenőrzésA root DNS szervereket használja

TCP kapcsolat az 53-as porton, round robin, 60 mp*3 hiba után > failed5 perc szünetHa van sikeres válasz, még kettőt tesztelünk (3 perc)

Kézi szabályzás*http://blogs.technet.com/isablog/archive/2009/11/26/tmg-isp-redundancy-unleashed.aspx

ISP-Redundancy – a határokAz ISP-R célja a kifelé menő irány fenntartása

Azaz nem a publikálás (befelé irány) támogatásaDe megoldható a DNS probléma rendezésével

Összesen 2 kapcsolatot kezelNem protokoll szinten működikCsak NAT kapcsolat esetén működik

A TMG-n (LocalHost hálózat) nem tudjuk tesztelniAz E-NAT felülírja

ISP-R

demó

- Áttekintés- NIS + IPS- ISP-Redundancy- Enhanced-NAT- E-mail Policy

Tartalom

Enhanced NATSpeciális NAT, speciális célból

Az alapértelmezés: a TMG első ill. egyetlen külső IP címeSelected IP: tetszőleges IP vagy pl. NLB környezet > virtuális IPMultiple IPs: több IP használata > tömb > TMG példányonként különböző lehet

1 hálózati szabály > 1 NAT IPHasználat: pl. több SMTP szerver esetén

- Áttekintés- NIS + IPS- ISP-Redundancy- Enhanced-NAT- E-mail Policy

Tartalom

E-mail védelem - ISA Server 2006Egyszerű protokoll vizsgálat

Az SMTP parancsok érvényessége, hossza, stb.

SMTP ServerExternal Network SMTP Filter

E-mail védelem – TMG1. Exchange Edge Transport szerepkör

Ugyanazon a gépen (de külön licensszel)Spam filtering fül alatt vezéreljük

2. Forefront Protection 2010 for ExchangeEz a „hardcore” megoldás, teljes integrációvalAntimalware, Antispam, AntiphishingVírus and Content Filtering fül alatt vezéreljük

Az eredmény:Az Edge ponton - teljeskörű higiéniaNLB támogatás is

E-mail védelem – a konzol

- Áttekintés- NIS + IPS- ISP-Redundancy- Enhanced-NAT- E-mail Policy

Tartalom