9 Ekim 2012 Salı

Threat Management Gateway 2010

Forefront Threat Management Gateway 2010 (TMG), çalışanların zararlı yazılım ve diğer tehditler konusunda endişelenmeden Internet'i iş için güvenli ve verimli kullanmasını sağlayarak işletmelere yardımcı olur. URL filtreleme, zararlı yazılım önleme denetleme, yetkisiz giriş önleme, uygulama proxy ve HTTP /HTTPS denetleme dahil, birleşik, yönetmesi kolay bir ağ geçidinde entegre edilmiş birden fazla sürekli güncellenen koruma katmanı sağlar ve Web güvenliği maliyeti ve karmaşıklığını azaltır.

Forefront TMG, kuruluşların birden fazla Web güvenliği satıcısından gelen saygınlık bilgilerine ve Internet Explorer 8 kullanıcılarını zararlı yazılım ve kimlik avcılığı sitelerine karşı koruyan teknolojiye dayanarak tehlikeli sitelere erişimi engelleyerek yüksek düzeyde hassas Web güvenliği uygulamasını sağlar.

TMG SÜRÜMLERİ
TMG, ölçeğe göre iki ayrı sürüm olarak pazara sürülmüştür:  
-TMG Standard Edition
-TMG Enterprise Edition

Standart sürüm, küçük şirketler için firewall ve Web caching hizmetleri sağlar.
Enterprise sürüm ise, standart sürümün özelliklerinin yanı sıra, özellikle daha fazla Internet trafiğini yönetmek ve performans sağlamak için geliştirilmiş bir üründür.

 Forefront Threat Management Gateway, dört temel hususta farklıdır:

·         Güvenli Web Ağ Geçidi: Forefront Threat Management Gateway 2010, Web antivirüs/zararlı yazılım önleme ve URL filtrelemeyi entegre ederek şirket içi kullanıcıları Web tabanlı saldırılara karşı korumak için kullanılabilir. HTTPS denetlemeyle bu korumaları SSL şifreli trafikte bile sağlayabilir.
·         Gelişmiş Uygulama Katmanı Savunması: Forefront Threat Management Gateway 2010, Microsoft ürünleri ve protokollerinde bulunan güvenlik açıklarına karşı koruma sağlayan Ağ Denetleme Sistemini içermektedir.
·         Gelişmiş Bağlantı: Forefront Threat Management Gateway 2010, e-posta sunucularının Birebir NAT tabanında yayınlanmak üzere atanması özelliğiyle NAT senaryolarına desteğini geliştirir. Ayrıca Forefront Threat Management Gateway 2010, SIP trafiğini algılar ve güvenlik duvarını geçmek için bir yöntem sağlar.
·         Basitleştirilmiş Yönetim: Forefront Threat Management Gateway 2010, uygulamayı ve sürekli yapılandırmayı basitleştirmek amacıyla sihirbazları geliştirmiştir.

TMG 2010 İle Gelen Yeni Özellikler

1)       FIREWALL   a) Voip Traversal (SIP): TMG 2010' un SIP Application Filter komponenti aşağıdaki işlemlerden sorumludur:
i) SIP/SDP (Session Initiation Protocol/Session Description Protocol) mesajlarının NAT translasyonu (NAT traversal of SIP).
ii) Audio/Video trafiği için olan Secondary Connection' ların açılıp/kapatılması işlemi (Stateful Inspection)
iii) NAT' lanmış SIP client' ların publish edilmesi
SIP Application Filter desteği vasıtası ile TMG 2010' un IM/audio/video trafiği için IP Phone'lar ile SIP Server/PBX Server arasında aracı olması mümkündür.
b) Enhanced NAT:
c) ISP Link Redundancy:
d) TMG Client:

2) WEB PROTECTION

a) HTTP Anti-virus/spyware:
TMG 2010’ un Edge Malware Inspection mekanizması (Web Protection), web trafiğini edge firewall üzerinde denetleyerek herhangi bir malware’ in (virüs, spyware, v.b) iç network’e ulaşmasını önlemek amacı ile dizayn edilmiştir.
Bu özelliğin edge FW üzerinde bulunmasının aşağıdaki gibi avantajları vardır:
- Edge’ in malware signature’ lar ile ilgili güncelleştirilmesi merkezi ve daha kolaydır.
- Anti-Virüs yazılımı bulunmayan iç network istemcilerinin (unmanaged clients) de korunması mümkündür.
- Edge üzerinde monitoring, logging ve reporting ile malware aktivitelerinin edge üzerinde monitör edilmesi daha kolaydır.

Client Comforting:
Web trafiği üzerinde bir dosyanın download ve scan işlemi uzun sürebilir ve bir user-cancel ya da time-out meydana gelebilir. Client Comforting özelliği bazı yöntemler sunarak olumlu bir kullanıcı deneyimi sağlar ve bu sorunu çözer.

Comforting Yöntemleri:
- Delayed Download : İçerik TMG tarafından download edilip scan edilir. Eğer bu süre “delivery delay” (default: 5 sn.) süresinden kısa olursa TMG içeriği istemciye yönlendirir. 

- HTML Progress Page: Eğer download ve scan süresi “progress page delivery delay” (default:2*delivery delay=10 sn.) süresinden uzun sürerse, yeterli koşullar (HTTP Response içerik tipi ya da dosya uzantısı “progress notification” içerik tipi listesinde ise) oluşur ve istemci aplikasyonu bir tarayıcı (user-agent http header “Mozilla” içermeli ve HTTP request Referrer Header içermeli) ise son kullanıcı bir HTML Progress Page alacaktır. Inspection işlemi bittikten sonra içeriğin download edilebilmesi için progress page bir link verecektir.





- Standard Trickling: Delayed Download ya da Progress Page uygulanamadığında kullanılır. Tüm içerik taranana kadar istemciye datanın küçük bir miktarı gönderilir. İstemci tarafında download düşük bir transfer oranı ile başlayacak ve inspection bittikten sonra hızlanacaktır.

- Fast Trickling: Standard Trickling’ e benzerdir. Genellikle online oynatılabilen medya içerikleri için kullanılır (msn video gibi). Amaç iyi bir kullanıcı deneyimi sunmak için datanın mümkün olduğunca hızlı gönderilebilmesidir.

Çalışma Şekli: Herhangi bir download “delayed download” olarak başlar. Delivery Delay süresi geçerse TMG Progress Page ya da Trickling kullanır (Content Type Exceptions Listelerine göre). Eğer içerik listede bulunamaz ise default method (Standard ya da Fast Trickling: User-Defined) kullanılır.


İstenilen içerikler source ya da destination bazında malware protection dışında tutulabilir.


Not: Content Delivery yöntemleri HTTP protokolü kullanarak çalışan taranamaz streaming audio/video içeriklerine uygulanamaz. 

b) URL Filtering:
TMG 2010’ un URL filtering özelliği  son kullanıcıların web sitelerine ulaşımında kontrol sağlar. Belirli kategorilerde web sitesi (Anonymizers, Botnet, Pornography, Criminal Activities, Gambling, Discrimination, Illegal Drugs, Malicious, Obscene, Phishing v.b) içeriklerine ulaşımı web access rule’ lar bazında engellemek mümkündür. Kategoriler ve içerikleri cloud-based bir sistem olan MRS (Microsoft Reputation Service)’ den indirilir.
Aşağıdaki gibi belirli bir URL’ in kategorisini sorgulamak mümkündür:


https://www.microsoft.com/security/portal/mrs/default.aspx sitesinden URL kategorilerine bakıp, belirli URL’ ler için kategori önerisinde bulunabilirsiniz.
Ulaşımına izin vermediğiniz bir kategoride bulunan bir URL’ in başka bir kategoride olduğunu düşünüyor ve izin vermek istiyorsanız TMG üzerinde URL’ in kategorisini değiştirebilirsiniz (category override).


c) HTTPS Inspection:
Günümüz web trafiğinde HTTPS gittikçe daha fazla kullanılıyor ve HTTPS trafiği üzerinde malware inspection önem kazanıyor.
Bu anlamda, TMG 2010’ un HTTPS Inspection özelliği devreye giriyor.
 HTTPS Inspection sırasında client ile TMG arasında gerçekleşen trafik şu şekilde:
1.Client isteği (https://www.domain.com)  TMG server’ a gönderir.
2.TMG HTTPS site’ a bağlanır, TMG ile site arasında HTTPS tünel oluşturulur.
3.TMG, Web server’ dan aldığı sertifikayı doğrular (expiration, trust, vs…)
4.TMG, web server sertifkasını üzerinde bulunan TMG HTTPS Inspection root sertifikası ile duplicate eder ve client’ a gönderir. TMG server, client için artık web server’ dır ve bu sertifikayı web server sertifikası olarak düşünür. (Client tarafında TMG HTTPS Inspection root sertifikası bulunmalıdır). TMG server, web server ile client arasında MITM (Man In The Middle) olarak çalışır.



5.Client bağlantıyı yaptıktan sonra, TMG client vasıtasıyla Inspection ile ilgili notifikasyon alır (Eğer client ve server tarafında konfigürasyon yapıldı ise).




HTTPS Inspection konfigürasyonu için 2 opsiyon mevcuttur:
i) "HTTPS Inspection" + "Certificate validation"
ii) Sadece "Certificate validation"
Bu iki konfigürasyondan birinin seçilmesi durumunda "destination exception" mekanizmasının nasıl çalıştığı aşağıda listelenmiştir.  Destination exceptions' a girilen değer, web server sertifikasının "Issued To" alanında bulunan değer olmalıdır. 
Inspected Traffic kolonu 1. opsiyonun seçildiği, "Sites exluded from https inspection with certifcate validation" ve "Sites exluded from https inspection without certifcate validation" kolonları ise 2. opsiyonun seçildiği durumları ifade eder.
- 3 durumda da sertifkanın server authentication için olup olmadığı kontrol edilir. (Eligible for server authentication)
- Certificate Expiration ve Revocation sadece trafik inspected olduğunda yapılır.
- Certificate Name mismatch (subject name kontrolü) ve trust kontrolü sadece 3. durumda (no certificate validation) yapılmaz. 




Source address exception mekanizmasında Certificate Expiration, Revocation, Name mismatch  ve trust kontrolleri yapılır. TMG 2010 SP1' in çıkışı ile bu davranışın değişmesi beklenmektedir (Certicate validation ile ilgili kontrollerin yapılmaması). 

3) E-MAIL PROTECTION
a) Exchange Edge/FSE Integration:
b) Anti-Virus:
c) Anti-Spam:

 4) IPS (Intrusion Prevention System)
a) NIS (Network Inspection System)
b) Security Assesment and Response (SAS)

5) REMOTE ACCESS
a) NAP Integration with Vpn Role:
b) SSTP:

 6) DEPLOYMENT & MANAGEMENT
a) Arrays:
b) Scenario UI & Wisards
c) Change Tracking:
d) Enhanced Reporting:
e) W2K8, native 64-bit:

 7) UPDATE CENTER
a)  Web Protection Signatures:
b) E-Mail Protection Signatures:
c) NIS Signatures:

8) NLB
Multicast Support:
TMG 2010 Multicast Mod NLB destekliyor. Peki Unicast ile Multicast modları arasındaki fark nedir?
Aslında, ana fark MAC adreslerinin implementasyonu ile ilgili. Unicast modda; herbir nlb cluster nodu gerçek MAC adresini nlb tarafından oluşturulan MAC adresi ile değiştirir ve her nod aynı sanal MAC adresini kullanır. Bu MAC adresi birden fazla bilgisayar tarafından kullanıldığı için, switch NLB cluster MAC adresini öğrenemeyecek ve NLB MAC adresine hedeflenen paketleri switch'in tüm portlarına gönderecektir (switch flooding). Unicast modda tüm nodlar aynı MAC adresine sahip olduğu için, Nodlar arası komünikasyon ancak ayrı bir NIC (farklı MAC adresleri) ile sağlanabilir.

Multicast' de ise; NLB her noda layer 2 bir MAC adresi ekler. Her nod bu şekilde gerçek ve NLB tarafından oluşturulan olmak üzere 2 MAC adresine sahip olur. Multicast kullanırken, switch flooding'i önlemek için switch portları üzerinde (eğer destekliyorsa) statik girişler oluşturulup gelen paketlerin sadece NLB nodlarına gönderilmesi sağlanabilir. 

Multicast with IGMP ise IGMP protokolünü kullanarak paketlerin sadece grup halinde NLB nodlarına gitmesini sağlar (Eğer switch Multicast with IGMP destekliyorsa). 
Flooding için çözümler:
1) Tüm NLB nodlarını bir hub'a bağlayıp hub'ı switch'in bir portuna bağlamak
2) NLB node'larını bir vlan'a koymak
3) Multicast kullanmak ve switch üzerinde statik girişler oluşturmak
4) Multicast with IGMP kullanmak

TMG 2010 Arrays
Isa 2006’ da olduğu gibi, TMG 2010’ da da Stand-Alone Server ve Enterprise Array yapıları mevcuttur. Ektra olarak, TMG 2010 ile Stand-Alone Array yapısı gelmiştir. Stand-Alone array konfigürasyonu ile Enterprise ya da Standard Edition bir stand-alone TMG server’ ı array manager (konfigürasyon bilgisini AD LDS instance üzerinde lokal olarak tutar) olarak tanımlayıp, 2. bir stand-alone server’ ı bu stand-alone array yapısına array member (konfigürasyon bilgisini array manager’ dan replicate edip registry üzerinde lokal olarak tutar) olarak dahil etmek mümkündür.

TMG 2010’ da enterprise array yapısı ISA 2006’ dakine benzerdir. Bir fark; konfigürasyonu tutan CSS (Configuration Storage Server) rolünün yerini EMS (Enterprise Management Server) rolünün almış olmasıdır. EMS rolünü tutan makina sadece konfigürasyonu tutmaktadır (CSS server üzerinde hem konfigürasyonu hem de FW servisini bulunduruyordu).

Enterprise array yapısında, Domain modda (domain authentication, EMS connection port: 2171) birden fazla EMS yer alabilirken; Workgroup modda (SSL certificate authentication, EMS connection port: 2172) sadece 1 EMS bulunabilir (ISA 2006’ daki gibi). 


NOT:
1) Standard Edition bir stand-alone TMG 2010 server’ ı geçerli bir product key ile Enterprise Edition’ a yükseltmek mümkündür.


2) Özellikle NLB’ nin sağlıklı çalışması açısından, aynı array içinde, Enterprise Edition ve Standard Edition server’ lar aynı anda bulundurulmamalıdır.

2 yorum: