Forefront TMG, kuruluşların birden fazla Web güvenliği
satıcısından gelen saygınlık bilgilerine ve Internet Explorer 8 kullanıcılarını
zararlı yazılım ve kimlik avcılığı sitelerine karşı koruyan teknolojiye
dayanarak tehlikeli sitelere erişimi engelleyerek yüksek düzeyde hassas Web
güvenliği uygulamasını sağlar.
TMG
SÜRÜMLERİ
TMG, ölçeğe göre iki ayrı sürüm
olarak pazara sürülmüştür:
-TMG Standard Edition
-TMG Enterprise Edition
Standart sürüm, küçük şirketler için
firewall ve Web caching hizmetleri sağlar.
Enterprise sürüm ise, standart
sürümün özelliklerinin yanı sıra, özellikle daha fazla Internet trafiğini
yönetmek ve performans sağlamak için geliştirilmiş bir üründür.
·
Güvenli
Web Ağ Geçidi:
Forefront Threat Management Gateway 2010, Web antivirüs/zararlı yazılım önleme
ve URL filtrelemeyi entegre ederek şirket içi kullanıcıları Web tabanlı
saldırılara karşı korumak için kullanılabilir. HTTPS denetlemeyle bu korumaları
SSL şifreli trafikte bile sağlayabilir.
·
Gelişmiş
Uygulama Katmanı Savunması:
Forefront Threat Management Gateway 2010, Microsoft ürünleri ve protokollerinde
bulunan güvenlik açıklarına karşı koruma sağlayan Ağ Denetleme Sistemini
içermektedir.
·
Gelişmiş
Bağlantı: Forefront
Threat Management Gateway 2010, e-posta sunucularının Birebir NAT tabanında
yayınlanmak üzere atanması özelliğiyle NAT senaryolarına desteğini geliştirir.
Ayrıca Forefront Threat Management Gateway 2010, SIP trafiğini algılar ve
güvenlik duvarını geçmek için bir yöntem sağlar.
·
Basitleştirilmiş
Yönetim: Forefront
Threat Management Gateway 2010, uygulamayı ve sürekli yapılandırmayı
basitleştirmek amacıyla sihirbazları geliştirmiştir.
TMG 2010 İle
Gelen Yeni Özellikler
1)
FIREWALL
a) Voip
Traversal (SIP): TMG 2010' un SIP Application Filter komponenti aşağıdaki
işlemlerden sorumludur:
i) SIP/SDP (Session Initiation
Protocol/Session Description Protocol) mesajlarının NAT translasyonu (NAT
traversal of SIP).
ii) Audio/Video trafiği için olan Secondary Connection' ların açılıp/kapatılması işlemi (Stateful Inspection)
iii) NAT' lanmış SIP client' ların publish edilmesi
ii) Audio/Video trafiği için olan Secondary Connection' ların açılıp/kapatılması işlemi (Stateful Inspection)
iii) NAT' lanmış SIP client' ların publish edilmesi
SIP Application Filter desteği vasıtası ile TMG 2010' un
IM/audio/video trafiği için IP Phone'lar ile SIP Server/PBX Server arasında aracı olması mümkündür.
b) Enhanced NAT:
c) ISP Link Redundancy:
d) TMG Client:
2) WEB PROTECTION
a) HTTP
Anti-virus/spyware:
TMG 2010’ un Edge Malware Inspection mekanizması (Web
Protection), web trafiğini edge firewall üzerinde denetleyerek herhangi bir
malware’ in (virüs, spyware, v.b) iç network’e ulaşmasını önlemek amacı ile
dizayn edilmiştir.
Bu özelliğin edge FW üzerinde bulunmasının aşağıdaki gibi
avantajları vardır:
- Edge’ in malware signature’ lar ile ilgili
güncelleştirilmesi merkezi ve daha kolaydır.
- Anti-Virüs yazılımı bulunmayan iç network istemcilerinin
(unmanaged clients) de korunması mümkündür.
- Edge üzerinde monitoring, logging ve reporting ile
malware aktivitelerinin edge üzerinde monitör edilmesi daha kolaydır.
Client Comforting:
Web trafiği üzerinde bir dosyanın download ve scan işlemi
uzun sürebilir ve bir user-cancel ya da time-out meydana gelebilir. Client
Comforting özelliği bazı yöntemler sunarak olumlu bir kullanıcı deneyimi sağlar
ve bu sorunu çözer.
Comforting Yöntemleri:
- Delayed Download : İçerik TMG tarafından download
edilip scan edilir. Eğer bu süre “delivery delay” (default: 5 sn.) süresinden
kısa olursa TMG içeriği istemciye yönlendirir.
- HTML Progress Page: Eğer download ve scan süresi “progress page delivery delay” (default:2*delivery delay=10 sn.) süresinden uzun sürerse, yeterli koşullar (HTTP Response içerik tipi ya da dosya uzantısı “progress notification” içerik tipi listesinde ise) oluşur ve istemci aplikasyonu bir tarayıcı (user-agent http header “Mozilla” içermeli ve HTTP request Referrer Header içermeli) ise son kullanıcı bir HTML Progress Page alacaktır. Inspection işlemi bittikten sonra içeriğin download edilebilmesi için progress page bir link verecektir.
- Standard Trickling: Delayed Download ya da Progress
Page uygulanamadığında kullanılır. Tüm içerik taranana kadar istemciye datanın
küçük bir miktarı gönderilir. İstemci tarafında download düşük bir transfer
oranı ile başlayacak ve inspection bittikten sonra hızlanacaktır.
- Fast Trickling: Standard Trickling’ e benzerdir.
Genellikle online oynatılabilen medya içerikleri için kullanılır (msn video
gibi). Amaç iyi bir kullanıcı deneyimi sunmak için datanın mümkün olduğunca
hızlı gönderilebilmesidir.
Çalışma Şekli: Herhangi bir download “delayed download”
olarak başlar. Delivery Delay süresi geçerse TMG Progress Page ya da Trickling
kullanır (Content Type Exceptions Listelerine göre). Eğer içerik listede
bulunamaz ise default method (Standard ya da Fast Trickling: User-Defined)
kullanılır.
İstenilen içerikler source ya da destination bazında
malware protection dışında tutulabilir.
Not: Content Delivery yöntemleri HTTP protokolü
kullanarak çalışan taranamaz streaming audio/video içeriklerine
uygulanamaz.
b) URL Filtering:
TMG 2010’ un URL filtering özelliği son
kullanıcıların web sitelerine ulaşımında kontrol sağlar. Belirli kategorilerde
web sitesi (Anonymizers, Botnet, Pornography, Criminal Activities, Gambling,
Discrimination, Illegal Drugs, Malicious, Obscene, Phishing v.b) içeriklerine
ulaşımı web access rule’ lar bazında engellemek mümkündür. Kategoriler ve
içerikleri cloud-based bir sistem olan MRS (Microsoft Reputation Service)’ den
indirilir.
Aşağıdaki gibi belirli bir URL’ in kategorisini sorgulamak
mümkündür:
https://www.microsoft.com/security/portal/mrs/default.aspx sitesinden URL kategorilerine bakıp, belirli
URL’ ler için kategori önerisinde bulunabilirsiniz.
Ulaşımına izin vermediğiniz bir kategoride bulunan bir
URL’ in başka bir kategoride olduğunu düşünüyor ve izin vermek istiyorsanız TMG
üzerinde URL’ in kategorisini değiştirebilirsiniz (category override).
c) HTTPS Inspection:
Günümüz web trafiğinde HTTPS gittikçe daha fazla
kullanılıyor ve HTTPS trafiği üzerinde malware inspection önem kazanıyor.
Bu anlamda, TMG 2010’ un HTTPS Inspection özelliği
devreye giriyor.
HTTPS Inspection sırasında client ile TMG arasında
gerçekleşen trafik şu şekilde:
2.TMG HTTPS site’ a bağlanır, TMG ile site arasında HTTPS
tünel oluşturulur.
3.TMG, Web server’ dan aldığı sertifikayı doğrular
(expiration, trust, vs…)
4.TMG, web server sertifkasını üzerinde bulunan TMG HTTPS
Inspection root sertifikası ile duplicate eder ve client’ a gönderir. TMG
server, client için artık web server’ dır ve bu sertifikayı web server
sertifikası olarak düşünür. (Client tarafında TMG HTTPS Inspection root
sertifikası bulunmalıdır). TMG server, web server ile client arasında MITM (Man
In The Middle) olarak çalışır.
5.Client bağlantıyı yaptıktan sonra, TMG client
vasıtasıyla Inspection ile ilgili notifikasyon alır (Eğer client ve server
tarafında konfigürasyon yapıldı ise).
i) "HTTPS Inspection" + "Certificate validation"
ii) Sadece "Certificate validation"
Bu iki konfigürasyondan birinin seçilmesi durumunda "destination exception" mekanizmasının nasıl çalıştığı aşağıda listelenmiştir. Destination exceptions' a girilen değer, web server sertifikasının "Issued To" alanında bulunan değer olmalıdır.
Inspected Traffic kolonu 1. opsiyonun seçildiği, "Sites exluded from https inspection with certifcate validation" ve "Sites exluded from https inspection without certifcate validation" kolonları ise 2. opsiyonun seçildiği durumları ifade eder.
- 3 durumda da sertifkanın server authentication için olup olmadığı kontrol edilir. (Eligible for server authentication)
- Certificate Expiration ve Revocation sadece trafik inspected olduğunda yapılır.
- Certificate Name mismatch (subject name kontrolü) ve trust kontrolü sadece 3. durumda (no certificate validation) yapılmaz.
Source address exception mekanizmasında Certificate
Expiration, Revocation, Name mismatch ve trust kontrolleri yapılır. TMG
2010 SP1' in çıkışı ile bu davranışın değişmesi beklenmektedir (Certicate
validation ile ilgili kontrollerin yapılmaması).
3) E-MAIL PROTECTION
a) Exchange Edge/FSE Integration:
b) Anti-Virus:
c) Anti-Spam:
4) IPS (Intrusion Prevention System)
a) NIS (Network Inspection System)
b) Security Assesment and Response (SAS)
5) REMOTE ACCESS
a) NAP Integration with Vpn Role:
b) SSTP:
6) DEPLOYMENT & MANAGEMENT
a) Arrays:
b) Scenario UI & Wisards
c) Change Tracking:
d) Enhanced Reporting:
e) W2K8, native 64-bit:
7) UPDATE CENTER
a) Web Protection Signatures:
b) E-Mail Protection Signatures:
c) NIS Signatures:
8) NLB
Multicast Support:
TMG 2010 Multicast Mod NLB destekliyor. Peki Unicast ile
Multicast modları arasındaki fark nedir?
Aslında, ana fark MAC adreslerinin implementasyonu ile
ilgili. Unicast modda; herbir nlb cluster nodu gerçek MAC adresini nlb
tarafından oluşturulan MAC adresi ile değiştirir ve her nod aynı sanal MAC adresini
kullanır. Bu MAC adresi birden fazla bilgisayar tarafından kullanıldığı
için, switch NLB cluster MAC adresini öğrenemeyecek ve NLB MAC adresine
hedeflenen paketleri switch'in tüm portlarına gönderecektir (switch
flooding). Unicast modda tüm nodlar aynı MAC adresine sahip olduğu için, Nodlar
arası komünikasyon ancak ayrı bir NIC (farklı MAC adresleri) ile sağlanabilir.
Multicast' de ise; NLB her noda layer 2 bir MAC
adresi ekler. Her nod bu şekilde gerçek ve NLB tarafından oluşturulan olmak
üzere 2 MAC adresine sahip olur. Multicast kullanırken, switch
flooding'i önlemek için switch portları üzerinde (eğer destekliyorsa) statik
girişler oluşturulup gelen paketlerin sadece NLB nodlarına gönderilmesi
sağlanabilir.
Multicast with IGMP ise IGMP protokolünü kullanarak
paketlerin sadece grup halinde NLB nodlarına gitmesini sağlar (Eğer switch
Multicast with IGMP destekliyorsa).
Flooding için çözümler:
1) Tüm NLB nodlarını bir hub'a bağlayıp hub'ı switch'in
bir portuna bağlamak
2) NLB node'larını bir vlan'a koymak
3) Multicast kullanmak ve switch üzerinde statik girişler
oluşturmak
4) Multicast with IGMP kullanmak
TMG 2010 Arrays
Isa 2006’ da olduğu gibi, TMG 2010’ da da Stand-Alone
Server ve Enterprise Array yapıları mevcuttur. Ektra olarak, TMG 2010 ile Stand-Alone
Array yapısı gelmiştir. Stand-Alone array konfigürasyonu ile
Enterprise ya da Standard Edition bir stand-alone TMG server’ ı array
manager (konfigürasyon bilgisini AD LDS instance üzerinde lokal olarak tutar)
olarak tanımlayıp, 2. bir stand-alone server’ ı bu stand-alone array yapısına
array member (konfigürasyon bilgisini array manager’ dan replicate edip
registry üzerinde lokal olarak tutar) olarak dahil etmek mümkündür.
TMG 2010’ da enterprise array yapısı ISA 2006’ dakine
benzerdir. Bir fark; konfigürasyonu tutan CSS (Configuration Storage Server)
rolünün yerini EMS (Enterprise Management Server) rolünün almış olmasıdır. EMS
rolünü tutan makina sadece konfigürasyonu tutmaktadır (CSS server üzerinde
hem konfigürasyonu hem de FW servisini bulunduruyordu).
Enterprise array yapısında, Domain modda (domain
authentication, EMS connection port: 2171) birden fazla EMS yer alabilirken;
Workgroup modda (SSL certificate authentication, EMS connection port: 2172)
sadece 1 EMS bulunabilir (ISA 2006’ daki gibi).
NOT:
1) Standard Edition bir stand-alone TMG 2010 server’ ı
geçerli bir product key ile Enterprise Edition’ a yükseltmek mümkündür.
2) Özellikle NLB’ nin sağlıklı çalışması açısından, aynı
array içinde, Enterprise Edition ve Standard Edition server’ lar aynı anda
bulundurulmamalıdır.
Muhteşem bir programa benziyor
YanıtlayınSilBaşarılı bir ürün.
Sil