A kapun túl - Forefront Threat Management Gateway 2010

8/8/2019 A kapun tl - Forefront Threat Management Gateway 2010

1/334

A kapun tlMicrosoft Forefront Threat Management Gateway 2010

Gl Tams

Microsoft Magyarorszg technetklub.hu


2/334

A kapun tl, ha oda bemegyek,

tr nylik, egyszerrekzel-tvol,

elre, vissza brmit nzhetek,

minden kitrul, minden kitrul.

Fetyk Judit


3/334

BEVEZETS

2010, Gl Tams

Els kiads

Minden jog fenntartva.

A knyv rsa sorn a szerz s a kiad a legnagyobb gondossggal s krltekintssel

igyekeztek eljrni. Ennek ellenre elfordulhat, hogy nmely informci vagy pldul

hivatkozs (link) nem pontos vagy teljes, esetleg elavultt vlt.

A pldkat s a mdszereket mindenki csak sajt felelssgre alkalmazza.

Felhasznls eltt prblja ki s dntse el sajt maga, hogy megfelel-e a cljainak. A

knyvben foglalt informcik felhasznlsbl fakad esetleges krokrt sem a szerz,sem a kiad nem vonhat felelssgre.

A cgekkel, termkekkel, honlapokkal kapcsolatos listk, hibk s pldk kizrlag

oktatsi jelleggel kerlnek bemutatsra, kedvez vagy kedveztlen kvetkeztetsek

nlkl.

Az oldalakon elfordul mrka- valamint kereskedelmi vdjegyek bejegyzjk

tulajdonban llnak.

Lektor: Harmath Zoltn(Architect, Microsoft Magyarorszg)

Microsoft Magyarorszg

2010


4/334

Ksznetnyilvnts

Tbb embernek is tartozom ksznetnyilvntssal, illetve a tartozom taln nem is

elgg szp sz, ahhoz, hogy valjban mennyire szeretnm megksznni a

segtsgket.

Budai Pter s Lipp Szabolcs azok a kollgim a Microsoft-nl, akikkel a legtbbet

gyrjk egymst. Petivel 2006 s 2010 kztt prbltunk rengeteg hasznosat

elkvetni a hazai rendszergazdk s zemeltetk oktsrt, egy vlts utn pedig

Szabolccsal 2010 nyr eleje ta prgnk egytt ugyanezen a terleten.

Mindkettjknek lett volna elg oka r, hogy piszkljon a knyv elkszltvel vagy az

rs sebessgvel kapcsolatban, de ezt sosem tettk, bztak bennem. Mivel engem

amgy is egy elgg fggetlen s ntudatos embernek ismernek, dupln hls vagyok,hogy ez gy alakult, gy alakulhatott.

A lektornak, azaz Harmath Zoltnnak extra ksznet jr. Egy nagyon rvid hatrid

alatt, flig Budapesten, flig Redmondban, a jetlag-gel kzdve nzte t ezt a rengeteg

oldalt, s tbb lnyeges s praktikus javts mellett, mg bels rdekessgekkel is

szolglt az ISA s a TMG szerverek ksztsi folyamatrl, a dilemmkrl s a

dntsekrl.

Persze, ennyi segtsg mg mindig kevs lenne, de nekem olyan htorszgom van,

amellyel egsz fldrszeket igzhatnk le, ha gy alakulna . Ez a htorszg a

csaldom, s fkpp a felesgem. Ugye, semmi sincs ingyen, ellenben a csillogs

sokszor csak nekem jut, mg az rt fizeti meg. Ez egy megfelel alkalom arra, hogy

valamit mlt mdon visszaadjak ebbl. Ksznm.

Egybknt egyetlen ember(ke) biztosan van, aki mr most is utlja ezt a knyvet. az

n 9 ves kisfiam, akit 2010 augusztusban annyiszor lepattintottam a kosrlabdzs, a

focizs, vagy brmi ms kzs tevkenysg kapcsn erre a knyvre hivatkozva, hogyszerintem estnknt a szobjban kicsi voodoo knyveket szurklt mr, vrva hogy

vgre-vgre befejezzem....


5/334

BEVEZETS

TARTALOMJEGYZK

1 Bevezets __________________________________________________________ 92 Mlt s jelen _______________________________________________________ 11

2.1 gy kezddtt __________________________________________________ 112.2 Mirt FOREFRONT s mirt TMG? ___________________________________ 172.3 Hny TMG van? _________________________________________________ 20

3 A telepts s elzmnyei____________________________________________ 233.1 A rendszerkvetelmnyek_________________________________________ 233.2 A hlzati viszonyokrl ___________________________________________ 25

3.2.1 A hlzati krtyk ktsi sorrendje ______________________________ 263.2.2 A hlzati krtyk finomhangolsa _______________________________273.2.3 DNS s NetBIOS _____________________________________________ 30

3.3 TMG forgatknyvek _____________________________________________ 323.3.1 Edge firewall _________________________________________________ 333.3.2 3-Leg perimeter _____________________________________________ 343.3.3

Back-end firewall _____________________________________________ 35

3.3.4 Branch Office Firewall _________________________________________ 353.3.5 Single network adapter _______________________________________ 36

3.4 A kliensek _______________________________________________________ 373.5 Teleptsnk vgre ________________________________________________ 433.6 Ha nem sikerl, nyomozunk ________________________________________ 533.7 Migrci, export-import __________________________________________ 553.8 Virtulis krnyezetben? ___________________________________________ 583.9 J ha megszvleljk _____________________________________________ 61

3.9.1 Nhny klszably __________________________________________ 623.9.2 Tartomny vagy munkacsoport? ________________________________ 63

4 Vegyk birtokba! ___________________________________________________ 664.1 A konzol felfedezse _____________________________________________ 664.2 Az j varzslk ___________________________________________________ 774.3 Hogyan leszel TMG admin a sajt gpeden? __________________________ 79


6/334

5 A tzfal ___________________________________________________________ 815.1 Az alapok s nmi trtnelem______________________________________ 81

5.1.1 A csomagszrs _____________________________________________ 825.1.2 Az llapottart-vizsglat (s szrs) _____________________________ 845.1.3 Az alkalmazs szrs _________________________________________ 855.1.4 A TMG helye a tzfalak kztt __________________________________ 87

5.2 Multi (nem level) networking _______________________________________ 885.2.1 Mit is jelent ez? ______________________________________________ 895.2.2 Az alaprtelmezett hlzatok __________________________________ 895.2.3 A hlzatok tulajdonsgai _____________________________________ 935.2.4 A hlzati szablyok __________________________________________ 98

5.3 Azok a csodlatos szablyok ______________________________________ 1035.3.1 A szablyok alapanyagai, azaz a hlzati objektumok _____________ 1035.3.2 Hogyan pl fel egy hozzfrsi tzfalszably? ___________________ 1085.3.3 s hogyan mkdik?_________________________________________ 109

5.4 A System Policy ________________________________________________ 1125.5

Behatols detektls, IP szrs ____________________________________ 120

6 A tzfal a TMG-ben ________________________________________________ 124

6.1 Egy nagygy: a NIS_____________________________________________ 1246.1.1 NIS rszletek _______________________________________________ 1286.1.2 A szignatrkrl mg egy kicsit ________________________________ 132

6.2 ISP Redundancy _________________________________________________ 1356.2.1 Tpusok s mkds _________________________________________ 1366.2.2 A kapcsolat tesztelse _______________________________________ 1386.2.3 lltsuk be!_________________________________________________ 140

6.3 Enhanced NAT _________________________________________________ 1467 A proxy szerver ____________________________________________________ 149

7.1 Mit csinl egy proxy szerver?______________________________________ 1497.2 Proxy tpusok __________________________________________________ 1507.3 Szerver oldali belltsok _________________________________________ 1547.4 Hitelestsi metdusok __________________________________________ 158


7/334

BEVEZETS

7.5 Auto Discovery megoldsok ______________________________________ 1627.6 Cache avagy trazzunk gyorsan ___________________________________ 169

7.6.1 Hogyan mkdik a web proxy cache? ____________________________ 1707.6.2 A gyorsttr finomhangolsa __________________________________ 173

8 A web proxy a TMG-ben ____________________________________________ 1858.1 Enterprise Malware Protection ____________________________________ 185

8.1.1 Hogyan csinlja? ____________________________________________ 1868.1.2 Az EMP konfigurlsa________________________________________ 188

8.2 A HTTP filter ___________________________________________________ 1998.2.1 Hogyan rjk el? ____________________________________________ 2008.2.2 A HTTP filter konfigurlsa ___________________________________ 202

8.3 HTTPS Inspection _______________________________________________ 2088.3.1 A kvetkezmnyek s a kvetelmnyek _________________________ 2108.3.2 A HTTPSi konfigurlsa _______________________________________ 211

8.4 URL-F ________________________________________________________ 2198.4.1 Hogyan mkdik?___________________________________________ 2208.4.2

Amit az URL-F-bl ltunk_____________________________________ 222

9 Kit s hogyan engednk be? ________________________________________ 228

9.1 A szimpla szerver publikls ______________________________________ 2299.1.1 Egy plda: FTP szerver kzzttel ______________________________ 230

9.2 A webszerver publikls _________________________________________ 2359.2.1 Egy nagy falat: a web listener _________________________________ 2369.2.2 Tovbbi webszerver publiklsi opcik __________________________ 2479.2.3 Egy msik plda: Webszerver SSL-el____________________________ 253

9.3 Specilis publikls: az Exchange Server ____________________________ 2609.3.1 Az SMTP szerver publikls ___________________________________ 2619.3.2 SMTP vdelem, vrus- s spamszrs ___________________________ 2649.3.3 A klasszikus e-mail protokollok publiklsa ______________________ 2729.3.4 A webes kliensek ____________________________________________ 274

10 Tvoli elrs: VPN s nem VPN ______________________________________ 28110.1 Hogyan faragjunk VPN szervert a TMG-bl? _________________________ 281


8/334

10.2 Site-to-Site VPN ________________________________________________ 29310.3 A nagy durrans: DirectAccess tmogats___________________________ 302

10.3.1 DirectAccess alapok _________________________________________ 30210.3.2 DA vs. TMG ________________________________________________ 305

11 Ellenrizznk s javtsunk __________________________________________ 30811.1 Naplzs ______________________________________________________ 30811.2 Riasztsok______________________________________________________ 31511.3 A legjobb bartaink: Session Monitor s a realtime napl ______________ 32011.4 Egy jabb bart: a Connectivity Verification _________________________ 32311.5 J bartokbl sosem elg: a BPA __________________________________ 325

12 A rads: az SP1 ___________________________________________________ 32812.1 BranchCache, RODC, Sharepoint 2010 ______________________________ 32812.2 URL szrs vltozsok ___________________________________________ 33012.3 jdonsgok a jelentseknl_______________________________________ 332

13 Zrsz ___________________________________________________________ 335


9/334

BEVEZETS

~ 9 ~

1BEVEZETSKrlbell 6 ve szeretnk knyvet rni az ISA-rl. Szmtalan oka van annak, hogy eddigmirt nem sikerlt, legfkppen az, hogy egy knyv az egy egsz embert kvn, ami egy

bizonyos prgsszm felett majdnem lehetetlen feladat. De most mr nem halogathattam

tovbb (br a 2010-es v els msfl hnapja mgiscsak ezzel telt ), hiszen jra lett

aktulis rtelme, a TMG megjelense kapcsn.

Mindezt 2010 februrjnak kzepn rtam le. Hossz habozs utn ugyanis ekkor vgre

tnyleg hajland voltam lelni, hogy elkezdjem. Aztn 10 nap folyamatos rs utn,

sszehoztam kb. 120 oldalt. Nagyon bszke voltam magamra, de ez aztn elmlt.

Merthogy ezutn flvig semmi sem trtnt. Semmi. A nyr elejn rtam egy pr oldalt,

de aztn gyakorlatilag az egszet kikukztam. Mondhatnnk, hogy anyagot

gyjtttem, elegns is lenne, de nem igaz. Az viszont igaz, hogy nem unatkoztam, de

rni nem voltam hajland az ember kivlan kpes meggyzni magt arrl, hogy amit

nem akar, arra nincs is szksg. Aztn augusztus kzepe fel nagyon elkezdett gni a

lbam alatt a talaj, s kb. 20 kemny munkanap alatt sszehoztam a maradk 215

oldalt. Durva, mert mondhatjuk, hogy 7 hnapig kszlt a knyv, pedig csak egyig, de

az milyen volt. Durva.

Nos, ezen anyag bet szerintielsajttsa sok-sok hasonlvastagsg okossg illetve j

pr v gyakorlat nlkl kiss nehezen fog menni. Azt viszont mr a legelejn

meggrtem magamnak, hogy minden lehetsg szerint s minden rendelkezsre ll

eszkzzel maximlisan arra fogok trekedni, hogy ne legyen lehetetlen1ebbl a

knyvbl megrteni egy ilyen komplex, nagy tuds, s tbbfle krnyezetben is

praktikusan hasznlhat szoftver mkdsts fkpp mkdtetst, mint a Forefront

Threat Management Gateway 2010. De azrt alapozzunk sokrten, mert ez a termk

valban ignyli ezt.

De most, hogy ksz btran kijelenthetem, hogy ez nem egy 120%-osan Forefront TMG

knyv, az az nem csak egy frissts, hanem inkbb tfog jelleg. Tbb okbl is:

1Az elmlt 15 vben (azaz kb. mita zemeltetek) egy szp terjedelmes mretknyvtrat hoztam ssze szakknyvekbl, viszont rengeteget mrgeldtem azon, hogymegvan a knyv, megvan a termk, itt vagyok n is - teli tudsvggyal-, m mgislehetetlen kihozni brmi olyat az adott knyvbl, amelynek a koszos htkznapokbanis hasznt veszem, s amely nemcsak teoretikusan kzelt az anyaghoz. s eleinte mgnet sem volt


10/334

A KAPUN TL

~ 10 ~

- Rengeteg jdonsg van benne (ahogyan a termkben is), de azrt vannak olyanrszek is, amelyek ISA 2006 vagy esetleg az ISA 2004 ta nem vltoztak, viszont

kihagyhatatlanok.

- A stateful inspection az ISA s a TMG nlkl is stateful inspection.Remlem,sokak szmra okoz majd legalbb annyi rmet e frcm elolvassa, mint

nekem - leszmtva a kezdeti knldst, meg nha a fonal elvesztst vez

pnikhangulatot - a lekrmlse. s persze az okos ember legutoljra rja meg az

elszt, s ilyenkor mr, a befejezstl elkbulva, minden megszpl, kk az g, zld a

f, s a szvemben kicsi virgok nylnak fj.

De hogy mr az els oldalakon is legyen valami rtelmes tartalom, azonnal eszkzlk

egy praktikus rvidtst a hivatalos, de kiss hossz elnevezsen: mi TMG-nek fogjuk

hvni innentl az j fit, az eldjt pedig egyszeren ISA-nak. Hrom bet mindkett,

de mecsoda klnbsg


11/334

MLT S JELEN

~ 11 ~

2MLT S JELEN2.1 GY KEZDDTT A Microsoft els prblkozsa a hlzatot vd komplexebb alkalmazsok tern (direktnem rok tzfalat) a Proxy Server 1.0 volt, mghozz 1997 janurjban. Abban az idben

egy ilyen tpus termk igencsak ritkasg volt, gondoljunk bele (de ha kb. 30 v alatt

van az letkorunk ez biztosan nem fog menni) a megjelens pr hnappal a Windows

NT 4.0 kiadsa utn trtnt ami mg ppen nem tartalmazta a TCP/IP-t, hanem csak

kln eljrs keretben lehetett rtelepteni. Szval a Proxy Server 1.0 igencsak

korltozott kpessg volt, s ersen behatrolt tmogatssal rendelkezett az

internetes protokollok viszonylatban.

A szerz ezzel a vltozattal mg nem, ellenben a gyorsan megrkez utddal a Proxy

Server 2.0-vl (1997. december) mr dolgozott a mindennapokban is. s nem annyira

lvezte, mivel mg itt is volt j csom korlt s rthetetlen mkds, fkpp, ha

szembelltottuk az ekkor mr bven ledez/l konkurensekkel.

2.1 BRA A PROXY SERVER 2.0

m egy nagy elnye a Microsoft termknek mr akkor is volt: kpes volt a szintn

Microsoft termk, a hlzati opercis rendszer felhasznli adatbzist hasznlni

(nincs mg Active Directory, ez a ugye mg mindig a Windows NT 4.0), ami vllalati

krnyezetben lnyegesenegyszerbb tette a felgyeletet. St, ekkor mr mkdtt a


12/334

A KAPUN TL

~ 12 ~

csomagszr (packet filtering), st ebben a verziban debtlt a web cache, azaz a

gyorsttr szolgltats. De azrt az sszkp mg mindig inkbb fjdalmas volt, mint

lvezhet.

Nagy vltozs trtnt 2001 mrciusban, mivel megszletett az j nev, s akkoribannagyszer s meghkkent jdonsgokat hoz ISA 2000. Elszr is rgtn kt vltozat

jelent meg, a Standard s az Enterprise. Az ISA Server 2000 eleinte csak Windows 2000

Server-en futott (de csak az SP1-tl, viszont brmelyik kiadson), m ksbb mr a

Windows Server 2003-ra is feltelepthet lett.

Ezt a termket mr nevezhettk tzfalnak, a sima csomagszrsen kvl mr a stateful

szrst is ismerte, s megjelentek az egyedi alkalmazs- s webszrk is. Mkdtt az

RRAS-ra pl (ez azta is vltozatlanul gy van) VPN tmogats, volt dinamikus IP

szrs, s egy pici IDS (Intrusion Detection System).

Az IDS kpessgek a kvetkez ismerttmadsi formkat ismertk fel s adott

esetben automatikusan tiltottk is a problms forrs IP-t: WinNuke, Ping of

Death, Land, UDP bombs, POP Buffer Overflow, Scan Attack (portscan).

Az ISA szerverek els minstsi tanstvny:

ISA Server Earns ICSA Labs Certification, Industry's de Facto Standard for

Firewall Security

http://www.microsoft.com/presspass/features/2001/feb01/02-14isaserver.mspx

A cache mr reverse irnyban2is hajland volt dolgozni, valamint gyrthattunk idztett

letltsre vonatkoz krseket is. 3Megjelentek a mr akkor is jl varilhat s

idzthet jelentsek, s volt Gatekeeper H.323 tmogats is, valamint a zr

konfigurlst megkvn Secure NAT kliens alkalmazsra is sort kerthettnk(immr a

web proxy s a tzfal kliens mellett). s volt svszlessg szablyzs (!), de annyira,

gyengre s hasznlhatatlanrasikerlt, hogy - br igny az lenne r - azta se kerlt besemelyik ISA vagy TMG verziba.

2 Azaz a reverse cache eredmnyeknt egy publiklt portl esetben elfordulhat az,hogy a bngsz kliensnek visszaadott tartalom nem kzvetlenl a webszerverrl,hanem az ISA gyorsttrbl jn.3s volt automata letlts is (Active Caching), azaz frekventlt oldalakat nllanlehzta jjel a cache-be, gy pl. a szerz az els napokban a logok bngszse kzbenidegbetegg vlt, a userneveket nem tartalmaz, m folyamatos letltsibejegyzsektl
http://www.microsoft.com/presspass/features/2001/feb01/02-14isaserver.mspxhttp://www.microsoft.com/presspass/features/2001/feb01/02-14isaserver.mspxhttp://www.microsoft.com/presspass/features/2001/feb01/02-14isaserver.mspx


13/334

MLT S JELEN

~ 13 ~

A Gatekeeper H.323 elviekben lehetv tette az ISA Server szmra az IP

telefonls felgyelett, illetve a H.323 alap VoIP alkalmazsok hasznlatt (pl.

Microsoft NetMeeting 3.0). De ehhez mg DNS SRV rekordot is kellett

regisztrlni, szval nem volt egyszer mka.

2.2 BRA AZ IS ASERVER 2000

A szmtalan jdonsg egyike a mra mr egysgess vlt tzfal szablyok eldjeinek a

megjelense volt, de kiss mshogy, mint napjainkban. Az Access Policy gyjtnv

alatt kln szablyok vonatkoztak a Local Host gpre (IP Packet Filters), a weboldalakelrsre (Site and Content Rules) s kln az engedlyezett protokollokra (Protocol

Rules), plusz kln elgazs volt a publiklsra (Published Rules). De ha pl. a

hlzatkezelst nztk, akkor volt sszesen egy, azaz 1 db Internal nev hlnk

(kizrlag a bels cmtartomnyt tartalmaz LAT, azaz Local Address Table alapjn),

meg 1 db External s ksz. A bels s a kls hlzat kztt minden forgalom NAT-olt

volt, a bels hlzathoz tartozk kztt pedig minden forgalomterels a tradicionlis

tvlasztssal (route) trtnt.


14/334

A KAPUN TL

~ 14 ~

2.3 BRA ZEMMDVLASZTS TELEPTS KZBEN AZ ISA SERVER 2000-BE N

A nvbl mr kiderl, hogy az Enterprise kiads a nagyobb rendelkezsre lls, a

magasabb igny elvrsok miatt kszlt, s rkezett vele 1-2 olyan technolgia is, ami

miatt a mai napig is ezt vlasztjk a nagyvllalati gyfelek (tovbbi rszletek a 13.

fejezetben):

- Az ISA tmb (array) alkalmazst, s gy pldul a tmbben lv ISA szerverekmkdsnek kzponti, hzirend alap knyelmes szablyzst.

- Az NLB (Network Load Balancing) mdszer alkalmazst, ami pl. awebszervereink folyamatos elrhetsge s magas rendelkezsre llsa miatt

vezettnk be

- Mr akkor is jelen volt az Enterprise vltozatnl a CARP protokoll, amely azesetleges nagyobb mrtk, tbb szerverre elosztott web gyorsttr

kialaktst is lehetv tette- Nem kerlt korltozsraa hasznlhat CPU-k szma (ti. a Standard vltozatnl

maximum 4 CPU volt a limit)

Az ISA Server 2000 Enterprise csak s kizrlag tartomnyvezrln mkdtt s

- azta is pldtlan mdon - smabvtst is ignyelt!

Kiadstl fggetlenl az ISA 2000 hozott mg egy rmisztvltozst: a telepts utn

azonnal lezrt minden kifel- s befel tart forgalmat, azaz neknk kellett

engedlyezniadott esetben gpenknt, protokollonknt, vagy felhasznli fikonknt


15/334

MLT S JELEN

~ 15 ~

(s mg jpr paramter segtsgvel) a hozzfrst. Egyetlen szably volt csak a

rendszerben alaprtelmezs szerint, az pedig mindent letiltott! Az elv helyes volt s ma

is az, de akkoriban ez azt jelentette, hogy sokaknak jra kellett tanulni a tzfal szakmt.

Mg slyosabb kvetkezmny volt, hogy RDP-n keresztl a telepts br ment, de asikeres telepts utn egy game over kvetkezett. Az ajnls akkor az volt, hogy hzd

le a hlzatrl az ISA-t s gy teleptsd, konfigurld be, majd tedd fel a hlzatra.

A ksbbi ISA-k s a TMG viszont ebben is maradandt alkotott: a teleptskor

ha RDP-n vagy bent, szreveszi s forrs IP cmedet automatikusan engedlyezi.


Aztn pontosan 3,5 v mlva jra jratanultuk.

Ugyanis 2004 szeptemberben megrkezett az ISA Server 2004. A fellet teljes

egszben megvltozott, tnyleg eltvedtnk benne az elejn. Belpett a multi-

networking tmogats (az 5 alap hlzaton kvl akrhny logikai hlzatot

kipthettnk), egysgesedtek, m sszetettebbek lettek a tzfalszablyok,

megvltozott a VPN szerver szerepkr, immr lett VPN karantn tmogats is,

vltozott a felhasznli csoportok kezelse, a hitelestsi metdusok, a felgyeleti

mdszerek, s megjelent az eleinte igencsak rejtlyesnek tn System Policy. risivltozsok trtntek a szimpla s a webszerver publiklsban, a tanstvnyok


16/334

A KAPUN TL

~ 16 ~

hasznlatban (azrt itt mg rfrt volna), a TCP s az UDP mellett az IP szint s az

ICMP protokollokat is tmogatta az ISA 2004. Egyttal jra vltozott a tartomnyi

tagsggal kapcsolatos ajnls: a RADIUS tmogatssal a kzvetett hitelests lehetv

vlt, gy a tartomnyi tagsg (klnsen az Enterprise kiadsnl) mr nem volt felttel,

st. Az RSA SecurID nvtr hasznlata egyszerv vlt, s kaptunk egy remek, mazta is mltatlanulhttrbe szorult HTTP filter-t is, meg egy csudaj online naplt, s

megjelent a szleskr Exchange tmogats is, beptve.

Azt hiszem, ez nem egy akrmilyen lista, pedig most mr prblok szkszav

lenni, mivel ezek a tmk konkrtan s rszletesen visszaksznnek majd a

kvetkez fejezetekben. De - hogy ms oldalrl is emltsnk meg pldkat -

eltnt a termkbl a mr emlegetett svszlessg-szablyzs, valamint pl. az

Active Caching (ami valjban ott maradt a UI-n, de nem mkdtt, csak az SP1

radroztaki vgleg).


Na de, a trtnetnek (lsd: az ISA saga) nincs vge, alig ocsdtunk fel, mris itt volt a

nyakunkon a legjabb trnkvetel, az ISA Server 2006 (2006 oktberben). A ktves

intervallumbl bizonyra az avatlan szemllnek is kiderl, hogy itt risi, az alapokat is

rint vltozsok mr nem trtntek, de sok okos s praktikus finomts viszont igen.

Ahol nagy vltozsok trtntek, az a hitelests, ezen bell is a hitelests-delegls, a

rlap alap hitelests(mobil eszkzkre is kiterjesztve), valamint a klnbz nvterek(AD, Windows, RADIUS, SecurID, OTP) vltozatos hasznlhatsga, az SSO (Single-


17/334

MLT S JELEN

~ 17 ~

Sign On), s a Link Translation lehetsgek soha nem ltott magassgokba

emelkedtek. Az Exchange mellett integrlt Sharepoint publiklst is kaptunk, kibvlt

az NLBS tmogats, valamint (vgre) tlthatbb vlt a tanstvnykezels.

Az ISA Server 2006 mr nem volt telepthet Windows 2000 Server -re, ellenbenhasznlhattuk a Windows 2003 R2-n is.

n nem unatkoztam 2006-ban sem, azaz volt mit elsajttani az ISA Server kapcsn, s

a vgn annyit mg hozztennk, hogy az azta elrhet - nem elssorban biztonsgi4 -

javtcsomagokban (Supportability Upgrade, valamint az SP1) is kaptunk szmos

kellemes meglepetst okoz segdeszkzt.

2.2 M IRT FOREFRONTS MIRT TMG?A historikus ttekints utn nem rt megjegyezni rgtn az elejn, azt a tnyt, hogy a

TMG-ben minden benne van ami az SP1-es llapot ISA Server 2006-ban

megtallhat volt. Ahogy lttuk a korbbi ISA vltozatoknl voltak vltozsok, volt, ami

kiesett, volt, ami visszajtt, de itt most nem, a jelents szm jdonsg mellett minden

eddigi ISA tuds benne lakozik a termkben.

Ezt az elvet kvetem ebben a frcmben is, sok-sok helyen, amikor a TMG egy-

egy olyan szolgltatsrl lesz sz, ami az ISA-ban is megvolt, ezt nem fogomkln kihangslyozni. gy viszont a drzslt szakiknak is t kell futni mindent

de taln ez nem lesz akkora fjdalom.

Ms krds, hogy a fellet vltozsai miatt, ha a j rgi megszokott helyen keresnk pl.

bizonyos belltsokat vagy funkcikat, akkor idnknt orra bukunk, de ez csak

navigci illetve megszoks krdse, idvel menni fog. Errl mg lesz bven sz

egybknt a 4. fejezetben.

Egy msik lnyeges elem a nv. A Microsoft termkeknl idnknt elgg

szofisztikusan vltoznak a termknevek, az tnevez kommand5lelkesen mkdik.

gy aztn - ahogyan lthat -, a TMG esetben is trtnt vltozs, mghozz kett is, de

azrt egy rvid kitekints utn ezek vrhatan mindenki szmra logikusnak s

rthetnek tnnek majd.

4Az ISA nem arrl ismert, hogy gyrilag tele lenne lyukakkal, de ez gy is van rendben.5A jogok BK tulajdonba tartoznak..


18/334

A KAPUN TL

~ 18 ~

rdekes bels sztori az, hogy 2003-ban amikor Redmondban dolgoztunk az ISA

2004-en, akkor a team egyrtelmen a Microsoft Firewall Server nevet akarta

adni a termknek, viszont ezt a marketing a vgn thzta.

Ennek kt zenete lett volna: 1, szaktani az ISA nvvel, mert rossz men volt a

tzfalak krben az ISA 2000; 2: f zenet az, hogy ez a termk NEM webcaching termk elssorban, hanem tzfal,ami mellesleg tud gyorsttrazni is (a

mai napig alaprtelmezs szerint a cache ki van kapcsolva). Az id bennnket,

azaz a team-et igazolja sajnos, mert sokszor mg mindig elssorban web

caching proxy-nak tekintik a termket, pedig nem az. (A lektormegjegyzse.)

A Forefront eltag a csaldot jelenti. Ez egy npes csald, s egy npes, s rendes

csaldhoz illen a tagjai szoros, idnknt egszen intim kapcsolatban llnak egymssal.

A csald tagjai rtelemszeren a biztonsgi megoldsokhoz ktdnek, a legfrissebbForefront Endpoint Protection nev kliens oldali antimalware (a vrusok s spyware-k

sszefoglal neve) termktl a specilis kiszolgl szoftverek (Exchange, Sharepoint,

OCS) vdelmn keresztl az olyan komplex tagokig, mint a TMG vagy az UAG.

s ne feledkezznk meg a skla abszolt nagyvllalati oldaln ll olyan aktv

elemrl, sem mint a Forefront Protection Server (lnykori nevn Stirling,

jelenleg mg bta), mr csakazrt sem, mert ez lesz az a termk, amely pont a

csald sszes, vagy majdnem sszes elemt sszefogja,s kzs munkra brja

majd.6

Egybknt ez a csald klnleges gykerekkel br, mivel a tagok jelents rsze kamasz

vagy ppen felnttkorban vltak teljes jog csaldtagg, azaz nem a Microsoft eredeti

fejlesztse mindegyikk(lsd az Antigen illetve pl. az IAG kulcsszavakat), m mostanra,

azaz az olvaszttgelybe trtn alapos s tbbszrs megmerls utn, ez mr nem

szmt. Kzs a cl s egysgben az er.

6 2010 janurjban ez mg igaz volt, de augusztusban mr nem, ez a termkbizontytalan ideig kimarad a kzeli fejlesztsekbl, de azrt bennehagytam aszvegben (gy ahogy a TMG MMC-ben is lthatjuk jpr helyen)


19/334

MLT S JELEN

~ 19 ~

2.5 BRAAFOREFRONT CSALD TAGJAI

EGY RSZTVEV HINYZ IK , EZ PEDIG A FOREFRONT IDENTITY MANAGER 2010(FIM)7

(A Z FPMAPROPJN LSD A LBJEGYZETET)

A fejezetindt krds msodik felt tekintve imho a Threat Management Gateway

nv is ersen indokolt, mivel az Internet Security s Acceleration nev megolds egy

msik, lassan letn korszak kpviseljt mutatta. Internet Security? Acceleration?Ez az

ltalnosts illetve egyszersts mg az ISA 2000-re igaz lehetett, de hogyan lehetnema mr az Acceleration-nal a cache utalni a nvben, mikor ez a termkben megjelen

kpessgek olyan kb. 2 %-t takarja. Ma mr kiss msok a kihvsok, a TMG-be kerl

j megoldsok jelents rsze valban az direkt incidensek (threat) elkerlsre illetve

megelzsre szolgl (Antimalware, NIS, HTTP s HTTPS vizsglat, spam s vrusszrs

az Exchange szmra s stb.). s a Gateway hvsz sem kevsb jelents, azt

sugallja, hogy itt, az Edge (perem?) ponton kell megfogni mindent. Idig jnnek a

vrusok, idig jnnek a tmadsok, idig jnnek az autentikcis ksrletek innen

viszont a TMG lerendezi a problmt, teljhatalm r 8 a hlzati forgalom

tekintetben, s ha korrekt mdon uraljuk, akkor a hatalma valban bennnket

szolgl.

Kiss taln magasztos bekezds volt ez, de a lnyeget lefedi.

72010 prilisban aztn meg is jelent.8Randa dolog megszemlyesteni a termkeket, n lszban utlom is ezt, de mostelnztem magamnak.


20/334

A KAPUN TL

~ 20 ~

2.3 HNY TMG VAN ?sszesen 2 db.

Eddig errl egy sz sem esett, pedig ez egy alapinformci. s muszj rni errl atmrl, mert sok a flrerts, jrtamban-keltemben mg azoktl is hallok fura

vlekedseket, akik elvileg "benne vannak az iparban". Szval a knyv f tmjaknt

emlegetett TMG verzi mellett ltezik egy n. TMG MBE vltozat is, amelynek a

publikus histrija a rgebbi, azaz 2008 novembernek krnykre datldik (a nagy

TMG RTM 2009 novemberbenjelent meg), s eleinte elvlaszthatatlanul ktdtt az

EBS-hez (Essential Business Server), azaz az SBS szerver nagytestvrhez. Az EBS-ben

megjelen hrom f szerepkr s szerver (Management, Security s Messaging)

egyikeknt a Microsoft a TMG akkori llapotban lv vltozatt adta hozz ehhez acsomaghoz, amelyet ugyangy a Threat Management Gateway nvvel illetett, de

emellett a Medium Business Edition tagot is szerepeltette a nevben. Ennek a cuccnak

amellett, hogy az ISA Server 2006 RTM (ez fontos, lsd ksbb) minden tudst lefedte,

a kt f jdonsga volt.

Az egyik az, hogy fel lehetett telepteni Windows 2008-ra, pontosabban a 64 bites

Windows 2008-ra is (az EBS-ben minden szerver x64-es gyrilag), s ebbl kvetkezik,

hogy pl. Hyper-V al is. A msik elny a majd a ksbbiekben rszletezett Malware

Inspection rszleges integrlsa.

A Malware Inspection TMG s TMG MBE kztti klnbsgekrl mr rtam a

TechNet blogon:

TMG Malware Inspection - szrs ezerrel - I. rsz

http://www.microsoft.com/hun/technet/article/?id=30d3d111-4cb9-4f82-b9f7-

d8167624ecfb

TMG Malware Inspection - szrs ezerrel - II. rsz

http://www.microsoft.com/hun/technet/article/?id=255b9f92-89d6-42dd-9bcc-189ffd68227b

Ez a kt jdonsg csak tredke a "nagy" TMG szmos nagy durransnak, de azrt s

fleg akkor nagyon hasznos volt.

Na de folytassuk a sort a tovbbi MBE hinyossgokkal illetve eltr tulajdonsgokkal,

immr felsorolsszeren:

1. Hangslyoztam korbban az ISA 2006 RTM verzijt, nos, ez azrt lnyeges, mertaz ISA 2006 SP1-gyel (2008.03.) pr praktikus jdonsg "beleesett" a termkbe, s
http://www.microsoft.com/hun/technet/article/?id=30d3d111-4cb9-4f82-b9f7-d8167624ecfbhttp://www.microsoft.com/hun/technet/article/?id=30d3d111-4cb9-4f82-b9f7-d8167624ecfbhttp://www.microsoft.com/hun/technet/article/?id=30d3d111-4cb9-4f82-b9f7-d8167624ecfbhttp://www.microsoft.com/hun/technet/article/?id=255b9f92-89d6-42dd-9bcc-189ffd68227bhttp://www.microsoft.com/hun/technet/article/?id=255b9f92-89d6-42dd-9bcc-189ffd68227bhttp://www.microsoft.com/hun/technet/article/?id=255b9f92-89d6-42dd-9bcc-189ffd68227bhttp://www.microsoft.com/hun/technet/article/?id=255b9f92-89d6-42dd-9bcc-189ffd68227bhttp://www.microsoft.com/hun/technet/article/?id=255b9f92-89d6-42dd-9bcc-189ffd68227bhttp://www.microsoft.com/hun/technet/article/?id=30d3d111-4cb9-4f82-b9f7-d8167624ecfbhttp://www.microsoft.com/hun/technet/article/?id=30d3d111-4cb9-4f82-b9f7-d8167624ecfb


21/334

MLT S JELEN

~ 21 ~

ht ezek az MBE vltozatbl viszont kimaradtak(de ebbl a knyvbl nem fognak),

nzzk meg melyek:

- Configuration Change Tracking (egybknt a TMG-ben ez mr automatikus)- Web Publishing Rule Test Button (ez klnsen fjhat, tesztelsnl remekl

mutatja a hibkat)- Traffic Simulator (ez is fj, teljesen praktikus)- Diagnostic Logging Query (ez mr nem annyira, hiszen gyakorlatilag csak

egy link gyjtemny, tbbek kztt pl. a BPA-ra utalva)

ISA Server 2006 SP1 jdonsgok

http://blogs.technet.com/isablog/archive/2008/05/23/isa-server-2006-service-

pack-1-features.aspx

2. Ha mr itt tartunk az SP1 eltt, 2007 novemberben megjelent ISA 2006Supportability Update "jsgait" (mint pl. a log sznezs), az MBE is ismeri.

3. Igaz, hogy 64 bites OS alatt mkdik, deha jl benznk a Task Managerbe, akkorazt lthatjuk, hogy az MBE processzei mind-mind 32 bitesek.

4. Abszolt nem SA (Software Assurance) kompatibilis, sem lefel, sem felfel, tehtkiss nehzkes csomagban hozzjutni, gyis mondhatnm, hogy lehetetlen.

2.6BRA TM G VS . TM GMBE (A PIROSSAL KIEMELTEK AZ MBE-RE IS VONATKOZNAK)

5. Ksbb az MBE letben annyi vltozs trtnt, hogy az EU-ban kln is kaphatvvlt, azaz az EBS nlkl is megvsrolhat. Jmagam vettem is egy cg szmraegy rendszerpts apropjn, mivel tudtam, hogy amikorra "belesedik" a terv,
http://blogs.technet.com/isablog/archive/2008/05/23/isa-server-2006-service-pack-1-features.aspxhttp://blogs.technet.com/isablog/archive/2008/05/23/isa-server-2006-service-pack-1-features.aspxhttp://blogs.technet.com/isablog/archive/2008/05/23/isa-server-2006-service-pack-1-features.aspxhttp://blogs.technet.com/isablog/archive/2008/05/23/isa-server-2006-service-pack-1-features.aspxhttp://blogs.technet.com/isablog/archive/2008/05/23/isa-server-2006-service-pack-1-features.aspx


22/334

A KAPUN TL

~ 22 ~

mr szksg lesz egy Windows Server 2008 x64 alatt is mkd tzfalra, s akkor a

nagy TMG mg sehol sem volt. Nincs is vele baj, szpen mkdik azta is. De sajnos

a teleptsnl kiderlt egy szmomra is meglep krlmny, azaz, hogy sajnos nem

Windows Server 2008 R2 kompatibilis, s kis nyomozs utn megtudtam -

egyenesen Jim Harrisontl9 -, hogy nem is lesz az. Szval ez egy rdekes helyzet, spersze ma mr nincs rtelme MBE-t venni kln10, s be kell ltni, hogy ez egy

kztes llapotot jelentett csak, ebben a nagyjbl 1 ves intervallumban.11

9A szakma egyik kimagasl alakja, a Microsoft Forefront Edge Security Team tagja10 2010 szeptemberben mr nem is lehet.11Egybknt akiadsnak egyik oka az volt, hogy az antimalware kpessget lesben islssuk mkdni, mivel sok aggly volt a teljestmnnyel, de szerencsre ezekalaptalannak bizonyultak (A lektor megjegyzse).


23/334

A TELEPTS S ELZMNYEI

~ 23 ~

3ATELEPTS S ELZMNYEITipikusan ez az a rsz, amelyet a rutinos (de nem elg rutinos) rendszergazdk t

szoktak lpni. De n (s fleg a Microsoft) ersen ajnlom, hogy egy ilyen extrarzkeny helyzettermk esetn ezt ne tegyk. A TMG szervergp(ek) teljestmnyt,

stabilitst s fkpp megbzhatsgt mindenki fogja rezni a hlzat mindkt (vagy

inkbb sszes) oldaln. Ebben a fejezetben tbbek kztt teht nemcsak a szoftveres

s hardveres kvetelmnyekrl, hanem a hlzattal kapcsolatos elvrsokrl, a TMG

alkalmazsnak forgatknyveirl, a virtualizci hasznlatrl, s magrl a

teleptsrl is sz lesz. Anlkl hogy bagatellizlnm a teleptst, valsznleg a rutinos

szakik is tudjk, hogy az elzmny sz a cmben a 95%, mg a telepts a sikeres

bezemelsnek csak tredk rsze, mondhatnnk a gymlcse.

3.1 A RENDSZERKVETELMNYEK A hardveres kvetelmnyek rszletezsnl ltalban csak a minimum

kvetelmnyeket kapjuk meg, ami rthet, hiszen pldul a feladat s/vagy a terhels

az, ami meghatrozza a hardver elemek elvrt teljestmnyt. rtelemszeren a 15 k-s,

SAS RAID lemezekrl, vagy a 4x4 magos CPU-krl itt nem lesz s nem is lehet sz,

maximum majd a megszvlels fejezetben. A minimumszint teht a kvetkez:

- 64-bit-es CPU, akr Intel (Extended Memory 64) vagy akr AMD64 zls szerint,a hitvitba semmikppen nem mennk bele, viszont csak s kizrlag 64 bit, a

TMG-nek nincs 32 bites vltozata, mg prbavltozat sem12

- Windows Server 2008 x64, Windows Server 2008 R2 x64 (Standard, Enterprise,s Datacenter kiads, a Web, a Server Core s a Foundation nem)

- 2 GB RAM- 2.5 GB HDD hely (ez csak a rendszer, ebben sem a cache, sem pl. a malware

vdelem karantnja nincs benne)

- Minimum egy hlzati krtya (hogy ez milyen azon is sok mlik, lsd ksbb)- Tovbbi hlzati krtyk a tervezett szkenri fggvnyben (3.3 fejezet)- NTFS fjlrendszer

E m elksztse kzben jelent meg az ISA-nl mr megismert n. Capacity Planning

ToolTMG-re passzol vltozata. A tervezett svszlessg, a felhasznlk szma illetve a

TMG kivlasztott szolgltatsainak ismeretben viszonylag egyszeren kiszmolhatjuk

azt, hogy milyen s mennyi hardverre, pl. milyen CPU-ra, mennyi RAM-ra, stb. lesz

szksgnk a Microsoft ajnlsa alapjn. Radsul a korbbi vltozathoz kpest egy

12A Management MMC konzol egy msik krds, de erre mg visszatrnk


24/334

A KAPUN TL

~ 24 ~

rvendetes vltozs az, hogy a knnyen feledhet flash-es vltozat utn visszatrtnk a

j kis Excel tblkra :)

Forefront Threat Management Gateway 2010 Capacity Planning Tool

http://go.microsoft.com/fwlink/?LinkId=182886

3.1 BRA RSZLET TM GCAPACITY PLANNING TOO L-B L,HASZNLJUK BTRAN

A szoftveres kvetelmnyek viszont lnyegesen rnyaltabbak, pl. a Windows Server

2008 szolgltatsai s kpessgei kzl az albbiakra lesz szksg:

- Active Directory Lightweight Directory Services (a korbbi ADAM, azaz a TMG aStandard vltozatnl is szaktott a registry-ben trolt konfigurci elvvel)

- Network Policy and Access Services Server- Web Server (IIS)- Network Load Balancing Tools- Windows PowerShell

Rutinos szemmel az IIS-en meglepdhetnk, hiszen eddig arrl volt sz, hogy atzfalra webszervert semmikpp se tegynk, mert klnben csnya hallt


25/334


26/334

A KAPUN TL

~ 26 ~

- Nevezzk el a hlkrtykat egy egyrtelm, az adott hlzatra utal nvvel(Internal, External, egy ADSL kapcsolatnl pl. az ISP neve, stb.)

3.2 BRA AZ TNEVEZS EGYSZER,S PRAKTIKUS

- Szmoljunk azzal, hogy egy s kizrlag egyalaprtelmezett tjrnk lehet14. Ezegy tipikus kt hlkrtys rendszerben mindig a kls interfszen llt juk be

(vagy automatikusan belltja az ISP DHCP- je). A bels hlzat TCP/IP

belltsai kztt biztosan nem szerepelhet egy DG.

- Csak egy interfsz TCP/IP tulajdonsgai kztt lltsunk be DNS szervereket. Eztipikusan a ktsi sorrend tetejn helyet foglal krtya lesz, s tipikusan (fkppha tartomnyban van a TMG) az AD elrshez szksges DNS szerver(ek) cmei

lesznek.

- A nem szksges protokollokat s adapter ktseket minden hlkrtyrltntessk el (interface hardening). Ez klnsen a klsnl lesz fontos, de errl

mg beszlnk.

- A hlzati interfszek ktsi sorrendjnek (Network Binding Order) kialaktsakritikus teend.

3.2.1 A HL ZATI KRTYK KTSI S O R R E NDJE Ha tbb krtynk van, mindig van ktsi sorrend, ergo ezzel foglalkoznunk is kell, mert

knnyen lehetsges, hogy az alaprtelmezett bellts nem megfelel.

Ha az elz brra nznk, akkor a ktsi sorrendet az Advanced/Advanced

Settings/Adapter and Bindings fl alatt talljuk meg.A TMG teljestmnyt erteljesen

befolysolja ez a sorrend, hiszen itt derl ki, hogy milyen nvfeloldsi mechanizmust

hasznl az opercis rendszer elssorban, majd msodsorban s gy tovbb.

14 Vagy majd nem, lsd 6.3.


27/334


28/334

A KAPUN TL

~ 28 ~

TCP/IP:

- Default Gateway: nincs- DNS kiszolglk: van, az AD-hoz hasznlt, tipikusan a tartomnyvezrlk- Register this connections address in DNS: engedlyezve- NetBIOS over TCP/IP: engedlyezve

A DNS illetve a WINS fln szerepl egyb belltsok egyediek lesznek, gy azokat

igny szerint hasznljuk.

Egy kls, azaz az Internet fel mutat hlkrtya ajnlott belltsai:

- File and Print Sharing for Microsoft Networks: szigoran csak letiltva- Client for Microsoft Networks: szigoran csak letiltva

TCP/IP:

- Default Gateway: nincs- DNS kiszolglk: nincs- Register this connections address in DNS: letiltva- NetBIOS over TCP/IP: szigoran csak letiltva

A kls interfsznl mg vannak tovbbi teendink is. Elszr is tipikusan tnyleg

minden ktst leszednk a TCP/IP protokollok IPv4-es s IPv6-os (ez megint csakvitatma lehet, lsd mindjrt) kpviselin kvlerrl a krtyrl.Ha mr van teleptett

TMG-nk, akkor a Forefront TMG Packet Filter-t nem tudjuk egyik interfszrl sem, de ez

rendben is van gy.

Adott esetben az IPv6-ot is leszedhetjk, de tudnunk kell hogy ezzel mg nem

tiltjuk le teljesen, ehhez registry turkra is szksg lesz. m most eljtt az ideje,

hogy leleplezzem a fjdalmas titkot: a TMG nem rendelkezik IPv6 tmogatssal.

Limitlt forgatknyvekben igen (pl. DirectAccess), de alaprtelmezs szerintnem. Az IPv6 forgalom szrse teht nem megy a TMG szmra, annyira nem,

hogy alaprtelmezsben blokkolja is ezt.

Ezutn az eddig felsorolsban nem szerepl kvetkez tteleket is kapcsoljuk ki, biztos,

ami biztos:

- Append parent suffixes of the primary DNS suffix- DNS suffix for this connection- Enable LMHOSTS lookup (s nyilvn WINS szerver sincs)


29/334


~ 29 ~

Ksbb lesz mg sz rszletesen a Perimeter hlzatrl, de most anlkl hogy

rszletekbe belemennnk, a teljessg kedvrt lejegyzem az ide passzol, ajnlott

belltsokat is:

- File and Print Sharing for Microsoft Networks: letiltva- Client for Microsoft Networks: letiltva

TCP/IP:

- Default Gateway: nincs- DNS kiszolglk: nincs- Register this connections address in DNS: letiltva- NetBIOS over TCP/IP: letiltva

A hlzati krtyk gyben egy tma mg mindig van, s ez pedig a klnbz specilis

az j hlzati hardver technolgik tmogatsa. ISA Server esetn, a Windows Server

2003 SP2-ben egy megjult hlzatkezelsi csomaggal szembeslhettnk (ez Scalable

Networking Pack, lsd a linket ksbb), amely arra volt hivatott, hogy megfelel

hlzati krtya s meghajt program esetn tmogassa a hlzati csomagok

feldolgozsnak thelyezst magra a hlzati krtyra, ami hasznos megolds, mivel

processzor kapacits szabadthat fel gy. Szintn jdonsg volt, hogy a megfelel

NDIS miniport driver hasznlata esetn (v6.0) a csomagok feldolgozsa mr megoszlott

a rendelkezsre ll processzorok kztt. Viszont az ISA Server-nl eleinte ez komoly, a

ksbbi vltozatoknl kisebb problmkat okozott, a BPA (Best Practice Analyser, lsda 11.4 fejezetet) siktott is emiatt, s kvetelte, hogy tiltsuk le az SNP csomag rszeit

(pl. a TCP Chimney offload-ot, vagy a Receive Side Scaling-ot.

Napjainkban viszont a lnyeg az, hogy mivel a Windows Server 2008-tl ezen

sszetevk natv llapotban beptsre kerltek a TCP/IP stack-be, ezrt ilyen

problmnk a TMG-vel mr nem lehet, gy ahogy az Explicit Congestion Notification-

nel kapcsolatos sem jellemz15, mr persze, ha a hlzati hardverlnc minden eleme

rszrl megvan atmogats.

Scalable Networking Pack (a Windows Server 2003-hoz)

http://support.microsoft.com/default.aspx?scid=kb;[LN];912222

Rszletes infk az ECN-rl:

Petrnyi Jzsef: TCP/IP alapok, 1. ktet v2.0

15De azrt mg ma is hibznak a driverek, ergo ezt alaposan tesztelni kell s problmaesetn kikapcsolni.


30/334

A KAPUN TL

~ 30 ~

http://www.microsoft.com/hun/technet/article/?id=3effd5d3-139c-471a-adeb-

a71a6885562f

3.2.3 DNS S NE TBIOSjabb kritikus terletre tvedtnk. A nvfelolds mindig az, hiszen rengeteg minden

fgg ennek a helyes mkdstl, aminek persze nem mindig csak egy jl betltd

weboldal, vagy egy pingelhet cm a pozitv vgeredmnye, hanem egy felesleges

terhelstl megvott DNS vagy TMG szerver.

Mirt is fgg ennyire pl. a DNS-tl a TMG? Szmos okot kinyomozhatunk, de

megemltenk egy nem tipikus pldt. Ha szeretnnk egy olyan tzfalszablyt krelni,

amellyel ltalunk kivlasztott internetes oldalakat tiltunk vagy engednk nv szerint,

akkor a szably rvnyre jutsakor a TMG egy DNS nv- s reverse IP16lekrdezst isvgez egyms utn. Ha sok ilyennk van, akkor mindannyiszor. Nyilvn a DNS cache

nem ismeretlen fogalom a TMG szmra sem, m ennek ellenre is ersen fgg az alap

opercis rendszer nvfeloldsi mechanizmustl, ha ms nem addig, amg az

informci nem kerl be a sajt DNS cache-be.

De mondok mg egy pldt a NetBIOS nvfelolds apropjn, immr lpsekbe

szedve:

1. A TMG alatt fut Windows tipikusan gy mkdik a nvfelolds sorn, hogymindegy, hogy hogyan, de valahogy vgl legyen valamilyen nvfelolds.

2. Ezrt alapesetben a Windows-ok a hybrid node (HNode) tpus NetBIOSnvfeloldst rszestik elnyben. Ez azt jelenti, hogyha az OS-ben DNS s WINS

szerver(ek) is be vannak lltva, de ezek valamirt nem vlaszolnak, akkor az OS

ktsgbeesetten a klasszikus, s gyllt NetBIOS broadcast megoldst

vlasztja.

3. Tny: a TMG nvfeloldsi krseinek jelents rsze internetes host-ok felmegy.

4. Ha egy publikus reverse DNS lekrdezs nem sikerl (Mindenki kitlti a reverseznjt? Dehogyis.), akkor vgl a NetBIOS broadcast lekrdezs lesz az

alaprtelmezett.

5. Tny: a TMG alaprtelmezs szerint blokkolja a NetBIOS broadcast zeneteket(nagyon helyesen), de a Windows nem.

6. Kb. mennyi id amg kiderl, hogy a vgs NetBIOS broadcast sem megy azinterneten? Rengeteg, akr 1 teljes perc is. szveszejt.

16Ez utbbi egybknt egy TMG jdonsg, rgebben nem volt ilyen.
http://www.microsoft.com/hun/technet/article/?id=3effd5d3-139c-471a-adeb-a71a6885562fhttp://www.microsoft.com/hun/technet/article/?id=3effd5d3-139c-471a-adeb-a71a6885562fhttp://www.microsoft.com/hun/technet/article/?id=3effd5d3-139c-471a-adeb-a71a6885562fhttp://www.microsoft.com/hun/technet/article/?id=3effd5d3-139c-471a-adeb-a71a6885562fhttp://www.microsoft.com/hun/technet/article/?id=3effd5d3-139c-471a-adeb-a71a6885562f


31/334


~ 31 ~

Javaslat: tiltsuk le a TMG alatti OS-ben a NetBIOS broadcast forgalmat (azaz

lljunk t PNode-ra), s egyben nveljk a TMG teljestmnyt a kvetkez

registry kulcs alatti machincival:

HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\NetBT\Paramete

rsName: NodeType

Type: REG_DWORD

Value: 2

Mivel ez a vltozs a Windows egyik kernel md hlzati komponenst rinti,

(konkrtan a NetBIOS over TCP/IP-t), ezrt az jraindts ktelez.

Most egy kicsit beelzm magam, s a munkacsoport/tartomny tmt egy kicsit elre

hozom, de csak a DNS apropjn. Ha ugyanis tartomnyban vagyunk, a bels krtyaDNS szervereinek belltsa nem krdses, rtelemszeren a tartomny alapjul

szolgl DNS szervereket kell bejegyeznnk, s gondoskodnunk arrl, hogy ez

rendesen be is legyen lltva17. Ha viszont valamilyen okbl egy munkacsoportban van a

TMG, akkor is szksg van ugyangy a bels s a kls host-okkal kapcsolatos

nvfeloldsra, ez alap mindig. De mi van akkor, ha a cges elrsok nem engedik

tartomnyi tagsg nlkl a bels DNS szerver(ek) elrst?

Kt eshetsg addik ekkor:

1. Tallunk vagy teleptnk kln egy olyan nem tartomnyi tag DNS szervert,amely kpes a Conditional Forwarding mdszert hasznlni, azaz a TMG-tl pl.

a bels tartomny fel men krseket mint DNS szerver tovbbtani s vlaszt

szerezni.

2. DNS szervert teleptnk a TMG-re s ezt hasznljuk Conditional ForwardingDNS szerverknt a bels hlzat fel, s sima forwarder-knt a kls hlzat

fel.

Mindkt megoldsnak van elnye s htrnya, ha pldul arra gondolunk hogy a TMG -

re egy plusz szolgltatst kell teleptennk, az fjdalmas, m egy kln szervert errehasznlni szintn az. Na de hagyjuk is ezt a munkacsoportos felllst de errl majd

ksbb.

Vgl s negyedik esetknt a nvfelolds versus TMG gyben, egy abszolt hibs

konfigurcira hvnm fel a figyelmet. Magam is lttam,de olvastam is mr olyat, hogy

az zemeltet az ISA szerveren a kls s a bels lbra is belltott DNS szervereket,

radsul mindkettre egyformn egy-egy kls s bels DNS szerver IP cmt is

17 De ez nem TMG specifikus tma, ezt enlkl is meg kell oldanunk, pl. a kls feloldsta forwarder-ekkel vagy ha ms nincs, akkor a root-dns-ekkel.


32/334


33/334


34/334

A KAPUN TL

~ 34 ~

engednnk (tiltani nem kell, a nem engedlyezs explicit tiltst jelent). J kis

biztonsgos megoldsnak tnhet ez, persze kompromisszumokkal az, hiszen nincs

Exchange, m az SMTP-t s a POP3-at meg kell majd engednnk az sszes Outlook

user szmra. Brrr.

3.3.2 3-LE G PE R I ME TE R A kvetkez fellls egy fokkal biztonsgosabb, ergo magasabb ignyek esetn ezzel

srbben tallkozhatunk.

3.5 BRA A3-LEG PERIMETER FORGATKNYV

Tovbbra is egy tzfalunk van, de most mrhrom hlzati krtyval, egy belsvel s

egy az Internet-re mutat klsvel, illetve egy a Perimeter18

hlzatra mutatval. Ekkormindent hasznlhatunk amit az Edge tpusnl, de a publikls vltozik. A bels

hlzatban lv szervereket (Exchange, Web Server) csak a bels hlzatbl rjk, ha

kvlrl jn valaki, akkor a Perimeter fel fogjuk irnytani, ahol szintn van egy

webszerver, amely ekkor a publikus webszervernk lesz. s van itt egy Exchange is, ami

az SMTP gateway lesz, azaz elfogadja a leveleket (ha rendesen csinljuk, akkor vrust is

rt, s spam-et is szr), majd a maradk hasznos tartalmat betolja a bels Exchange fel

s vice versa.

A Perimeter hlzatnak van mg egy komoly elnye: az ISA vagy a TMG nem fogad el

innen krseket elzmny nlkl. Azaz nincs olyan, hogy egy tmad innen

prblkozik, mg habe is jut ide (hiszen ezek a szerverek valban kapcsolatban vannak

az internettel), innen a bels hl fel nem tud kezdemnyezni. A Perimeter hlzat

elrse a felhasznlink szmra viszont krdses, s vltoz megtls, de a legjobb,

ha nincs (a forgalmi hurkok elkerlse miatt adott esetben a kls webszerver s a

bels webszerver szinkronjt valahogy meg kell oldanunk).

18A Microsoft szhasznlata alapjn a Perimeter = DMZ.


35/334


36/334

A KAPUN TL

~ 36 ~

3.7 BRA ABRANCH OFFICE FIREWALL FORGATKNYV

Erre a helyzetre is van forgatknyvnk, amely egy lland, vagy igny szerint felpl

(on-demand) VPN csatornn alapszik. A csatorna kt vgn, a hdflls a kt TMG

kiszolgl, a kt LAN felhasznli szmra az egsz fellls j esetben viszont

transzparens, azaz maximum a sebessg klnbsgbl derl ki, hogy az a megoszts,

amelynek parancsikonjra Gipsz Jakab kattintott nem is helyben van Csajgrcsgn,

hanem Szegeden a cg kzponti irodjban. Ilyenkor mindenre hasznlhatjuk a TMG

szervernket, amire eddig, a Site-to-Site VPN kapcsolatok mellett a TMG univerzlis

hasznlata nem problma. A VPN lehet PPTP s L2TP is, st adott esetben tiszta IPSec

is (ha valamilyen elvetlt okbl nem TMG-t akarunk a telephelyre tenni, akkor akr egy

IPSec-et tud hlzati eszkz is, akr egy SOHO cucc is, de azrt csak vatosan.)

Na de brmilyen is a VPN kapcsolat, a telephelyek (mivel persze szmtalan S2S

kapcsolatunk lehet) internetes forgalmnak ellenrzse s korltozsa tern komoly

elrelpsre szmthatunk (figyelem, ehhez nem szksges az Enterprise kiads!). Azaz

van lehetsg arra, hogy a teljes telephelyi forgalmat a kzponti TMG-nk szrje meg,

st arra is hogy a nagy-nagy, kzponti gyorsttrunkat megosszuk, s szlssges

esetben mg arra is, hogy a kzponti cache tartalmn kvl mst nem rjen el a

telephelyi felhasznl.

3.3.5 S I N G L E N E T W O R K A D A P T E R Ez egy pofonegyszer forgatknyv, ers korltokkal s a TMG alacsony szint

kihasznlsval. Ebben az esetben egy hlzati krtynk van, s gyakorlatilag a web

proxy s a cache szerepkr az ami mkdhet. Ilyenkor a TMG egy msik tzfal

kiegsztseknt dolgozik, s mondjuk a web proxy-n keresztl a felhasznlk egyszer

azonostsa (ha mondjuk van AD-nk, akkor pl. lehet ez a f szerepe) gy viszont, bna

kacsaknt a kvetkez feladatokat illetve szolgltatsokat nem tudja elltni:

- Firewall s SecureNAT kliens hasznlata- VPN szerver


37/334


~ 37 ~

- IP csomagszrs- Multi-network tzfal szablyok- Szerver publikls- Alkalmazs rtegbeli szrs

3.8 BRA AZ EGYKRTYS FORGATKNYV

Ennl tbb okossgot erre a forgatknyvrl nem lehet rszletezni, de j ha tudunk

rla, hiszen addhat olyan helyzet, amikor erre van szksg.

3.4

A KLIENSEK Eredetileg ezt az alfejezetet lnyegesen ksbbre szntam, aztn rjttem, hogy nem-

nem, a kliensek tpusnak ismertetse ersen a tervezshez tartozik, ergo brhogy is

lesz, muszj bepasszrozni ebbe a giga-mega hossz fejezetbe.

Tisztzzuk az elejn: a TMG kliensei alatt a hlzat sszes maradk gpt rtjk, a

tartomnyvezrlktl kezdve, Jucika a titkrn asztali PC- jn keresztl a CNC gpbe

pakolt begyazott opercis rendszerig. St, maga a TMG gp is kliens.

Hrom tpust klnbztetnk meg, mindegyiknek vannak elnyei illetve htrnyai

egyarnt, n most aszerint taglalom ket, hogy mennyi teendnk van a belltsukkal.

Fogjuk ltni, hogy minl kevesebb a konfigurcis knyszer, annl kevesebb

szolgltatst is nyjtanak, ami egybknt jzan paraszti sszel vgiggondolva logikus

is.

Secure NAT (SNAT) kliens

Ez a legegyszerbb kliens. Semmit sem kell telepteni, brmilyen OS-en hasznlhat

(nem csak a Windows platform klnbz opercis rendszereire gondolok). Egyetlen

kvetelmny van: az gyfl OS-ben az alaprtelmezett tjr a TMG szerver bels lba

kell hogy legyen. Egy egyszer hlzatban ez nem kunszt, pl. a DHCP szerverrelknnyedn bellthatjuk ez alaprtelmezsben. Egy sszetett, tbb alhlzattal s


38/334

A KAPUN TL

~ 38 ~

tvlasztval elltott rendszernl pedig az lesz a lnyeges, hogy a TMG-hez

legkzelebbi tvlaszt alaprtelmezett tjrja a TMG legyen19.

Ahhoz, hogy a TMG tmogassa a SNAT klienseket, szintn egyetlen alapfelttel kell: a

szerverben legyen 2 hlzati interfsz, s hasznljuk is ezeket, azaz minimum az Edgeforgatknyv mkdjn. Annl is inkbb, mivel az SNAT kliensekkel a tzfal

szolgltats (firewall service) tartja a kapcsolatot, a TMG NDIS miniportjn illetve a

csomagszrn keresztl. Miutn teht a csomagszr tengedte (azaz ha van egy

passzol engedlyez szably, ergo nem kell hogy legyen tilt), kiderl az is, hogy kell-e

izztani a cache-t, azaz szksg van-e a cache tartalmra, vagy arra, hogy beletoljuk a

megszerzett tartalmat20.

Ezek utn mg - igny szerint - az alkalmazs- s webfilterek is tgyalogolnak ezen a

forgalmon, s adott esetben engednek vagy tiltanak, vagy segtenek mondjuk egy

komplex protokollnl (pl. passzv FTP, ami ugye kt csatornval, hosszas egyeztets

utn pl csak fel). Ezutn jn a NAT, azaz a cmfordts a kliens privt s a TMG

publikus cme hasznlatval. A TMG mindkt oldal (azaz a pl. a kls webszerver s a

bels kliens) fel hazudik magrl, de a szekr halad, st, csak gy halad.

Az SNAT kliens s a TMG kztti forgalom nincs titkostva, valamint a DNS

nvfeloldsban sem segt a TMG ezeknek a kl ienseknek, magukra (azaz a sajt TCP/IP-

ben belltott DNS szerverekre) vagy egy optimlisabb esetben a bels DNS szerverre

vannak utalva. Viszont az SNAT kliens egy jabb elnye, hogy a nem TCP/UDPprotokollokat is tmogatja, mint pl. az ICMP (a 6-os IP protokoll), vagy a GRE (a PPTP

egyik szksges kellke, a 47-es IP protokoll). Kifejezetten fontos krlmny, hogy

azok a szervereink, amelyeket publiklunk (gondoljunk egy Exchange-re vagy

Sharepoint-ra, vagy egy FTP-re), azok kizrlag SNAT kliensek lehetnek21, pl. a tzfal

klienst tilos telepteni ezekre.

Az SNAT kliensek risi htrnya viszont, hogy a TMG s a kliens kztti hitelestsi

folyamatban nem lehetnek rsztvevk. s mivel nem tudnak hitelestsi adatokatkldeni a TMG-nek nem kvetelhetnk meg tlk olyan alap lehetsgeket, mint pl. a

ktelez proxy bejelentkezs vagy a nvre, csoportra szl tzfalszablyok, vagy pl. a

kliens forgalom felhasznli nv szint naplzsa. Szval ilyenkor muszj a sokkal

19Pontosabb kifejezs az, hogy a forgalomnak t kell jutnia a TMG-n. Ez nem felttlenlaz alaprtelmezett tjrval oldhat meg. Sok esetben source routing-al bizonyosforgalmak a TMG fel mennek pedig az alaprtelmezett tjr ekkor nem is a TMG.20 Ez az ISA Server 2000-nl mg nem volt gy, ergo nem is hasznlhattk a cache-t ezeka kliensek.21Ez nem felttlenl igaz. Full-NAT esetben (lsd ksbb) amikor a forrs IP nem azeredeti IP hanem a TMG IP-je, nem kell hogy a publiklt szerver SNAT kliens legyen.


39/334


40/334


41/334


42/334

A KAPUN TL

~ 42 ~

3.10 BRA ATMGC HA 4 FLE VAN, AZ A J (AZ IS A TZFAL KLIENSNEK CSAK 3 VA N)

Termszetesen kpes hasznlni a hitelestst, st korltok nlkl, azaz ebbl szerkezeti

felptsbl addan brmely alkalmazs hitelestse a TMG fel megoldhat

(tartomnyban Kerberos, ezen kvl NTLM). A hrombl egyetlen kliensknt kpes a

forgalom titkostsra, azaz miutn a TMGC az 1745-s TCP porton felptette a

kontroll csatornt a TMG-vel, egy hitelests utn - ignytl fggen - kezddhet is a

titkosts.

Egy msik elnye az, hogy a web proxy klienssel egytt is hasznlhat, st a kpes

automatikusan konfigurlni a proxy belltsokat is (ez persze a szerver oldali

belltstl is fgg).

Kapcsold rsok a TechNet blogon

RDP vs tzfal kliens

Mg egy dolgot meg kell emltennk a tzfal kliens kapcsn, s ez pedig a kzponti

konfigurci lehetsge. Ennek egyik lehetsge az elbb emltett a tzfal kliensre s a

tzfal kliens ltal vezrelt bngsz belltsaira vonatkozik (lsd 5.2.3 fejezet), mg a

msik a winsock alkalmazsok s a tzfal kliens viszonyra.
http://www.microsoft.com/hun/technet/article/?id=ec0609bb-8432-4317-95f0-6253147487b4http://www.microsoft.com/hun/technet/article/?id=ec0609bb-8432-4317-95f0-6253147487b4http://www.microsoft.com/hun/technet/article/?id=ec0609bb-8432-4317-95f0-6253147487b4


43/334


44/334


45/334


46/334

A KAPUN TL

~ 46 ~

3.13 BRA SZERETJK PREPARATION TOO L-T

Menetkzben az informlis kpernyk utn azrt egy krdst meg kell vlaszolnunk,

azaz hogy mit szeretnnk telepteni: az egsz TMG-t vagy csak az MMC konzolt? Az

msodikat nyilvn akkor vlasztjuk, ha pl. az admin gpre hajtjuk felpakolni ezt az

MMC-t (errl ksbb mg lesz sz.) Ide tartozik mg az is, hogy elfordulhat, hogy

mgis szksgnk lesz a netre a Prep Tool futsa kzben, de erre figyelmeztet is.

Amg fut a Prep Tool, nzznk vissza jra a fmenbe, ahol lthatjuk, hogy 1-2

tmutat is rendelkezsre ll, illetve alul a Forefront csald egy msik tagjt a

Forefront Protection for Exchange Server trial vltozatt is telepthetjk persze

csak majd sokkal ksbb, ahogyan a knyvbe is errl majd sokkal ksbb lesz

sz (8. fejezet).

Ha ksza preparls, akkor indulhat maga a telept, pl. a fmenbl, (de a Prep Tool

utols lpseknt ki isvlaszthatjuk ezt).


47/334


48/334


49/334


~ 49 ~

3.16 BRA VGRE,VGE.

De mg nincs igazbl vge, azonnal skit, hogy essnk neki a Getting Started

varzslnak (ilyen az ISA-nl nem volt), ht tegyk meg. Elmondom elre, hogy itt

gyis szinte csak azokat az egybknt fontos rszleteket krdezi meg, amelyekre mi

mr jl felkszltnk, s mindent tudunk, vagy mr be is lltottunk. A varzsl

egybknt hrom krs, s az els lpsben hlzati belltsok jnnek.


50/334


51/334


52/334

A KAPUN TL

~ 52 ~

3.19BRA DOMAIN VAGY NEM, EZ ITT A KRDS

A kvetkez lpsben (kt egymst kvet ablakban is) csupa olyan krdst tesz fel a

telept, amelyet jelenlegi tudsunk alapjn egyelre nem tudunk eldnteni, de brmit

is jellnk be, ksbb knnyedn megvltoztathatjuk, gyhogy szabad a vsr!

Komolyra fordtva a szt, az imnt emltett rendszeres frisstsre szorul komponensek

aktivlsrl illetve bekapcsolsrl van sz ezen ponton, de tbbet itt s most mg

nem rulok el.

Ezzel a javaslattal nem sodrok veszlybe senkit s semmit, mivel a telepts

kzben a rgi j ISA-s szoks szerint minden forgalom, minden irnybl, minden

irnyba le lett tiltva26, egy darab alaprtelmezett szabllyal.

26Kivtelt kpeznek a System Policy szablyai (lsd 5.4).


53/334


54/334


55/334


~ 55 ~

pontosabban a Getting Started varzsl alatt,hanem ksbb is.

ServerManager*.log Minden inf a Windows Server szerepkrk skpessgek teleptsrl (amit ugye e PrepTool vgez)

Tallunk mg itt egy nagy halom *.etl fjlt is, de ezeket mi nem tudjuk rtelmes

informciknt felhasznlni, mert ezek a klnbz tracing naplfjlok, amelyek a

Microsoft fel elkldhetnk, ha megengedtk pl. a Customer Experience Improvement

programban rszvtelt.

3.21 BRA ITT VALAMI BIBI VAN , S MIVEL EGY OS KOMPONENST RINT, AZ ESEMNYNAPLBAN IS LE SZ RLA

BEJEGYZS

Egybknt mg annyit errl a tmrl, hogy abban az esetben ha a telept hibba futbele, akkor ezt tipikusan rtelmesen kzli, s ha tudomsul vettk az zenetet, akkor

azonnal egy roll-back jn, azaz visszallt mindent, s leszedi a szemetet. Ez a

tapasztalatom szerint pontosan mkdik.

3.7 M IGRCI, EXPORT- IMPORTAz esetek jelents szzalkban szksgnk lesz a migrcira. Azaz mr van valamilyen

kiads ISA szervernk, amelyet mr felruhztunk az vek sorn szmtalan okossggal,

hlzati objektumokkal, szablyokkal, szval elkpzelhet, hogy egy vek alattkicsiszolt konfigurcit nem szeretnnk eldobni s mindent jrakezdeni. Mr csakazrt


56/334


57/334


58/334


59/334


60/334


61/334


~ 61 ~

Azonban, ha a host gpet mgis el kell rnnk valahogyan s adott esetben ez nem

oldhat meg egy cross kbellel, vagy egy logikai hlzattal s egy dediklt

munkallomssal (gondoljunk arra pl. hogy az egsz hbelevanc egy szerverhotelben

van), akkor marad a kzbls megolds (persze nyilvn ilyenkor LAN nincs).

Nem tudom figyeljk-e a prhuzamot a klasszikus fizikai hlzatokkal

sszevetve, merthogy van bven, gyakorlatilag a clok ugyanazok, mg akkor is,

ha a virtualizcival mskpp, azaz kiss bedobozolva kapjuk meg a gpeket.

A virtualizci kapcsn, a hlzati krtyk viszonylatban mg egy kis adalk:

- Mindig a legfrissebb, s kizrlag alrt meghajt programot hasznljunk. Ezzelsokkal tbbet hasznlunk az idegrendszernknek, mintha ugyanezt a fizikai

gpek esetntennnk.- Hasznljuk elzetesen s alaposan a megfelel tesztszoftvereket a specilis

szerver szoftverek (Exchange / SharePoint, SQL, stb.) esetn, a hlzati

teljestmny kivizsglsa apropjn.

- Ha lehet (de ebben mondjuk 30 guest gp esetn van egy kis tlzs), rendeljnka virtulis hlzatokhoz dediklt hlzati krtyt, kln-kln. Tbbekkztt pl.

a hlzati teljestmny szempontjbl is ez az igazn nyer megolds.

- Az MS Loopback krtya nem szmt sem igazi dediklt, sem megfelelteljestmny interfsznek.

Ezt a rszt Lepenye Tams kollgm egy korbban (mg az ISA vs. Virtual Server

kapcsn) elkvetett megllaptsval zrnm, mivel tovbbra is teljesen letszer:

Virtulis krnyezetben fut tzfal akkor egyenrtk biztonsg szempontjbl

a fizikai gpen fut tzfallal, ha:

1. A host opercis rendszer zemeltetse biztonsgi szempontbl ugyanolyanvagy szigorbb, mint a tzfal rendszer, minden egyes tzfalat rint

kockzati tnyezre vonatkozan.2. A gazdagp zemelteti szemlyzetnek megbzhatsga ugyanolyan, vagy

jobb, mint a virtualizlt rendszerek zemelteti szemlyzet.

3.9 J HA MEGSZVLELJK Ebbe a fejezetbe megprblok bezsfolni j nhny eddig le nem jegyzett tletet,

klszablyt, tippet s ismert korltot a tervezshez s a teleptshez. Kicsit zajos lesz,

de taln kevesebbszer kerl a Kedves Olvas zskutcba, ha elolvassa.


62/334


63/334


64/334

A KAPUN TL

~ 64 ~

Ezek utn sorakoztassunk fel rveket mindkt verzi mellett s ellen, elszr a

tartomnyi tagsg jn:

Elnyk

- A tartomny eleve egy jl krbebstyzott zrt kr, bejratottbiztonsgi megoldsokkal, s pl. olyan extrkkal mint a

Csoporthzirend, ami egy plusz helyzetelnyt jelent a biztonsgi

vonalak meghzsnl (is).

- Sokkal rszletesebb kontroll a felhasznli hozzfrsek elbrlsnla meglv tartomnyi fikok s csoportok alapjn a klnbz proxy

forgatknyvekben (ez az rv egybknt amivel berelni lehet azt a

krdst is, hogy mirt jobb egy ISA / TMG pl. egy kzepes tuds

hardveres tzfalnl).

- A kliens tanstvnyok teljes kr tmogatsa, ez a hitelestsnlsokat szmthat.

- Maradva a tanstvnyoknl: az Enterprise vltozatnl nemszksges a tanstvny az EMS-hez (lsd 13. fejezet).

- A publiklsnl klnbz kibvtett lehetsgek hasznlata, pl. aKerberos hitelestsdelegls.

Htrnyok:

- Ha a TMG szervernk pl. a Perimeter hlzatban van, egy msiktzfal eltt, akkor szmos protokollt engedlyeznnk kell a

tartomnyi kapcsolatok fenntartsa miatt.

A munkacsoportos fellls elnyei:

- Ha a tzfal mgis kompromittldik, akkor a tartomnyiszolgltatsok nem.

- Fordtsuk meg: ha az Active Directory-t tri meg egy rrmunkatrsunk, akkor a tzfalat nem fogja tudni, hiszen nincs atartomnyban.

Htrnyok:

- Az sszes a tartomnyban elrhet (s fentebb emltett) megolds sszolgltats nem hasznlhat. Nincs korrekt felhasznli hitelests

s tanstvnyhasznlat, nincs jl megtmogatott szerverpublikls,

csoporthzirends egyebek.

- A tzfal kliensek hitelestse lnyegesen problmsabb.


65/334


~ 65 ~

- A felhasznli adatbzis, amelybl tpllkozhatunk tipikusan (de aRADIUS s az LDAP azrt jelen van) egy szimpla Windows OS

felhasznli adatbzisnak felel meg (gondoljunk arra, hogy

mennyivel knnyebb egy loklis admin fikot feltrni, mint egy

tartomnyit).

Nos, ezek voltak az rvek s az ellenrvek, m a dnts rtelemszeren mindig a helyi

viszonyok s a helyi biztonsgi hzirend alapjn trtnik, ergo szerencsre nem nekem

kell itt s most megmondani a frankt.


66/334


67/334


68/334


69/334


70/334


71/334


72/334

A KAPUN TL

~ 72 ~

4. 8 BRA EXCHANGE RENDSZE RGAZDK FIGYELEM, ISMERS?

Biztos nehz egyszerre ennyi jdonsggal szembeslni, pedig ez mg csak a fellet, s

mg nincs is vge, ugyanis a faszerkezet kzps rsze ersen innovatv.

4. 9BRA ANI SEGY TS JDONSG


73/334


74/334


75/334


76/334

A KAPUN TL

~ 76 ~

adatbzisaikat sem frissthetem, viszont a Malware vdelem s a NIS igen. Ami mg

szt rdemel, az a Task Pane, ahol szpen ki van vezetve az sszes lehetsges opci.

4.14 BRA AZ EGYIK FRISS, A MSIK PONT MOST FRISSL

Elrkeztnk a faszerkezet utols elemhez, amely nevben hordozza a funkcijt, ez

pedig a Troubleshooting, azaz a hibakeress (angolul mennyivel kpletesebb e nv). Az

ISA 2006 SP1-bl sok-sok ismers lesz itt, s br az els oldal csak a tippek, linkek s a

tbbi fl tartalmnak ismertetse, azrt a tbbi vals lehetsgeket tartalmaz. Az 5

flbl egy a Monitoring-bl jn (Change Tracking), hrom mr az ISA-ban is itt volt, s

van egy teljesen j is, a Connectivity Test.


77/334


78/334

A KAPUN TL

~ 78 ~

A Getting Started varzslt ksbb is elrhetjk a faszerkezetben a szerver

nevre kattintva s a Task Pane-bl kivlasztva, de gyakorlatilag nem lesz r

szksg. Ha pl. kiszedjk a TMG gpet a tartomnybl, akkor a vltozs a

konfigban automatikusan megtrtnik.

4.16BRA VARZSOLNI, VAGY NEM VARZSOLNI EZ NEM KRDS

Szval ezt a varzslt egyszer vgig kell csinlnunk, legalbbis akkor, ha nem

rgtn egy importtal kezdjk a TMG hasznlatt. A varzsli lpsek kztt

rintjk az URL szrst, a Malware s a HTTPS vizsglat belltsait, s

egyszeren ltrehozhatunk egy alaprtelmezett cache szablyt.

2. Join Array varzsl: szintn volt mr sz rintlegesen errl, s mivel aStandard kiads rsze, ezrt most kell beszlnnk rla. De milyen tmb ez, ha

mi most a Standard verzival kzdnk? Egyszer, a TMG kisebb vltozata

ugyanis csatlakoztathat egy (ltalban csak az Enterprise vltozatnl mkd)

EMS-hez (Enterprise Management Server), jratelepts nlkl.

4.17 ATMBSTS ONNAN IND UL , AHONNAN A GETTING STARTED

3. Configure SIP varzsl: A Firewall Policy szakaszbl rhet el (Tasks / ConfigureVoIP), s ezzel engedlyezhetjk a TMG-n a SIP (Session Initiation Protocol)

forgalom hasznlatt, eldntve hogy pl. kzvetlen vagy indirekt kapcsoldsrllesz sz, illetve egyebeket is. Ha mr itt tartunk, ezen a ponton (Tasks) lejjebb


79/334


80/334


81/334


82/334

A KAPUN TL

~ 82 ~

5.1.1 A C SOM AGSZ RS A tzfalak els genercis f megoldsa az n. csomagszrs (packet filtering), amelyet

pl. az els ISA kiszolglban is megtallhattunk(s egybknt mshol mr gy kb. a 80-

as vek vgtl fellelhet volt), mint alap zemmdot. Ez gyakorlatilag az IP (vagy

internet) s a transzport rtegben trtn csomagok engedlyezst, vagy tiltstjelenti nagyobbrszt az ltalunk definilt szablyok illetve nmi automatizmus alapjn.

Amikor a tzfal ezt a mdszert hasznlja, akkor csak az IP csomagok fejlceit vizsglja,

ezen bell a forrs s cl informcit, az irnyt, valamint protokoll s a port rtkeket.

Ezeket bontsuk ki kicsit:

1. Cl cm (Destination Address): A forgalom cljnak szmt szmtgp cme, eza hlzataink viszonytl fggen lehet pl. a TMG szervernk kls, publikus

cme (NAT esetn), vagy pl. a TMG-n definilt kt bels hlzat s egy szimpla

route esetn az egyik hlzatban lv szmtgp cme.

2. Forrs cm (Source Address): Ezt most mr egyszerbb lesz megrteni,ugyangy lehetsges egy publikus cm is, mint ahogyan egy privt, a lnyeg,

hogy a kezdemnyez cme lesz ez.

3. Az IP protokoll s a szma: Csomagszrt definilhatunk tetszlegesen a TCP,az UDP vagy akr az ICMP szmra is. A szmuk az azonostjuk, mondjuk a

TCP esetn a 6, mg a specilis, s idnknt a hlzati eszkzkben gondot

okoz GRE (Generic Route Encapsulation, ez ugye a PPTP VPN alap protokollja)

esetn a 47-es.

4. Irny (Direction): A csomag irnya a tzfal szempontjbl. Lehetsges rtkek abejv (inbound), a kimen (outbond), m adott esetben (pl. az UDP-nl, vagy

akr az FTP-nl) a Receive only, Send only megjellsekkel is sszefuthatunk.

5. A port szma (Port numbers): A TCP s az UDP csomagszrsben helyi s tvoliport szmoknak kell szerepelni, ebbl a helyi ltalban egy 1024 feletti

brmilyen magas port szmlehet, mg a tvoli az egy fix, s kzismert port lesz

(pl. TCP 80 a HTTP-hez, vagy a TCP 23 a Telnet-hez). Mindkt portszm tpus

lehet fix rtk, vagy dinamikus.

A csomagszrs folyamathoz az albbi bra illetve az bra alatti magyarzat ad

segtsget. De mg eltte, nem rt tudnunk azt, hogy az ISA 2004-tl kezdve mi nem

direktben csomagszrket definilunk, hanem tzfal szablyokat (lsd kt fejezet

mlva), amelyek alapjn a tzfalunk csomagszrkkel rvnyesti az akaratunkat.


83/334


84/334


85/334


86/334


87/334

A TZFAL

~ 87 ~

5.4 BRA AZ SMTP FILTER S A TBBIEK

Ez csak pr egyszer plda (ksbb lesznek rszletek is), s persze elljrban mg az is

rdekes, hogy az alkalmazs szrs nem mindig a restrikcira van kihegyezve, hanem a

protokollok s session-ok megsegtsre is alkalmas. Viszont azt is tudnunk kell, hogy

mindhrom szrst elszmoltatva, egyrtelmen az alkalmazs szrs az, ami a

legmagasabb erforrs ignnyel lp fel.

5.1.4 A TMG HEL YE A T ZF AL AK KZTT Ahogyan mr sz volt errl, az ISA Server 2000 tzfala elssorban csomagszrknt sllapottart szrknt mkdtt nmi alkalmazs szr integrcival. Az ISA 2004-ben

az utbbi szerepkr is kiteljesedett, azaz a dediklt alkalmazs s webszrk

mennyisge ersen megntt. Ez az ISA 2006-ban alapjaiban nem, mennyisgben

viszont vltozott. Mindezek miatt az ISA Server 2004 s a 2006 is elnyertk a Common

Criteria EAL4+ (Evaluation Assurance Level 4+) tanstvnyt, amely a tzfalak

megtlsben egy fontos mrfldk.

Az EAL 4+ a legmagasabb szint tzfal tanstvny fokozat a Common Criteria(CC - Kzs Kvetelmnyek) szablygyjtemnyben, ami azt jelenti, hogy az


88/334


89/334


90/334

A KAPUN TL

~ 90 ~

5.5 CSAK EGY ALAPRTELMEZETT HLZATNAK VAN IP TARTOMNYA

Az ISA Server 2004 ta pontosan ugyanazok ezek a hlzatok, azaz itt nincs semmilyen

vltozs. Kezdjk egy meglepvel, ami nem egy tipikus hlzat lesz.

A Local Host hlzatEz egy kis hlzat, mivel csak egy tagja van: maga a TMG szerver. Azaz ennek a bels

interfszn tallhat IP cm, esetleg cmek, br tipikusan csak 1 db. Viszont nem kell s

nem is lehet megadni ezt a cmet, automatikus. Azrt szenzcis ennek a hlzatnak a

meglte (szemben pl. a versenytrsaival), mert gy nagyon egyszeren s elegnsan

tudjuk a TMG szerver fel, illetve fell raml forgalmat a hlzati szablyokkal illetve a

tzfalszablyokkal kezelni. St, mivel pl. egy tartomnyba lptetett TMG esetn mr

telepts utn is szksg van bizonyos bels hlzati hozzfrsre (DC, bels DNS,

stb.) ezrt a Local Host s az Internal hlzat kztt mr ekkor is lteznek

tzfalszablyok, csak nem ltjuk ezeket.

Belegondoltunk mr pl. abba, hogy ha az alaplls, hogy a TMG-n nincs

semmilyen forgalom engedlyezve a telepts utn, akkor hogyan lpnk be

tartomnyba? Az 5.4 fejezetben elmondom.


91/334


92/334

A KAPUN TL

~ 92 ~

Az Internal hlzat

Ez a hlzat viszont elknyeztet bennnket opcikkal(a kvetkez alfejezetben ezeket

majd szpen ki is bontjuk). Tipikusan ez a bels, amelynl viszont ktelez egy IP

tartomny megadni mr a teleptskor. Ezt persze brmikor vltoztathatjuk,

hozztehetnk, elvehetnk belle, akr teljesen eltr IP tartomnyokat isbelevehetnk a hatkrbe, nem gond.

5.7 BRA AZ INTERNAL HLZAT TU LAJDONSGAINL FLERD VA N

A VPN Clients hlzat

A neve nmagrt beszl, ellenben arrl nem szl, hogy mely gpek az alkoti, illetve

hogyan lesz ennek a hlzatnak cmtartomnya. Nos, a tagok automatikusan kerlnek

be ide, s csak s kizrlag azok a gpek lehetnek ebben a hlzatban, amelyek VPN

vgpontja a TMG szerver. Ezek viszont csak ide kerlhetnek. gy aztn semmit nem kell

tennnk azrt, hogy egy adagban alkothassunk majd szablyokat a VPN kliensekre,

illetve csak annyit, hogy a Remote Access Policy alatt be kell lltanunk egy VPN


93/334

A TZFAL

~ 93 ~

szervert. Mivel ekkor IP tartomnyt is meg fogunk adni (vagy statikust, vagy egy DHCP-

t krnk majd meg erre), ez lesz ennek a hlzatnak a kijellt IP tartomnya.

A Quarantined VPN Clients hlzat

Az elbb csnyn hazudtam, amikor azt mondtam, hogy a VPN kliensek csak a VPNClients hlzatba kerlhetnek. Egy kivtel van, ha bezemeljk a VPN karantn

szolgltatst, akkor minden VPN kliens (hacsak nem tesznk kivtelt egy-egy) gppel,

ebbe a hlzatba, azaz egy karantnba kerl elszr s csak az ltalunk megkvetelt

elvrsok (pl. legyen bekapcsolva a tzfala, legyen frisstve az OS, s stb.) teljestse

utn lp t a szimpla VPN hlzatba. Ellenkez esetben krhetjk majd a kapcsolat

bontst. Ez ahlzat ekkor s csak ekkor mkdik, az IP tartomnya megegyezik az

szimpla VPN hlzatokval, illetve mg egy kzs tulajdonguk van: semmit nem lehet

belltani a tulajdonsguknl, ezrt kpernykp sincs. Punktum.

5.2.3 A HL ZATOK TU L AJD ONS G A I Az Internal hlzat adatlapja lesz a plda, mivel itt van a legtbb elrhet bellts, ez a

legnagyobb halmaz. Ahol lehet cmtartomnyt lltani, ott a msodik fl tartalmaz

azonos lesz a kvetkez brn lthatval.


94/334

A KAPUN TL

~ 94 ~

5.8 BRA ATELEPTSNL BEADOTTIP TARTOMNY ITT JELENIK MEG

Az automatikus kliens bekerls miatt az IP tartomny megadsa kulcsfontossg, s

ezen a helyen kapunk is bven segtsget ehhez. Hozzadhatjuk egy mr ltez s

belltott adapter cmtartomnyt, hozzadhatjuk szabvnyos privt tartomnyok

brmelyikt (Add Private, 4 ilyen van, ugye egy A, s egy C osztly, valamint

172.16.0.0 172.31.255.255 s az APIPA), illetve egyedi tartomnyokat is (Add Range).

Ha tovbb lpnk, akkor a Domains flbe botlunk, de ide tartozik szorosan a kvetkezazaz a Web Browser fl is. Tudjunk rla, hogy ezek a belltsok azokra a bngszkre

vonatkoznak, amelyek WPAD-dal kapjk majd meg az automatikus konfigurcis

szkriptet. Teht itt, az ebben a szkriptben letolt vltozk (pl. a Domains alatt a

MakeNames() a Web Browser alatt pedig a UseDirectForLocal,a MAKEIPS (), stb.)

rtkeit konfigurljuk (7.5 fejezet).

A Domains alatt teht a hlzatunkhoz tartoz tartomnynevet vagy e setleg neveket

vehetjk fel, tmutats gyannt. A direktva lnyege az, hogy ha egy kliens krsben

egy ebbl a tartomnybl szrmaz gp neve merl fel, abba a TMG (alaprtelmezs


95/334

A TZFAL

~ 95 ~

szerint) ne piszkljon bele, hiszen meglesz az direktben is. Itt egybknt csak az

informcit adjuk meg (gy ahogy a cmtartomnynl is), a TMG knyszertse a

kivtelezsre a kvetkez fln trtnik majd meg.

A Web Browser fln tovbb finomtjuk teht az eddig tmutatst,jelezhetjk pl., hogynem kell proxy az ezen a hlzaton dolgoz webszerverekhez (gy nem lesz ktelez pl.

a hitelests sem), valamint itt mondjuk meg, hogy tnyleg legyen kzvetlen elrs az

eddigi fleken megadott rtkekhez, st pluszban is felvehetnk IP cmeket,

szmtgp vagy tartomnyneveket. Ez adott esetben igencsak fontos is lehet, azaz ha

brmilyen okbl nem akarjuk, hogy a megadott gp/tartomny fel a kliensnk ne a

web proxy klienssel dolgozzon, hanem pl. egy SNAT klienssel, akkor ez gyben itt kell

lpnnk.

5.9BRA A WEB BROWSER FL

Van itt mg egy lehetsg, azaz ezen a panelen legalul a TMG s gy a web proxy

mkdskptelensge esetre tervezhetnk alternatvkat a klienseink szmra, azaz a


96/334

A KAPUN TL

~ 96 ~

kzvetlen hozzfrst (SNAT vagy tzfal klienssel) vagy a proxy krsek tdobst egy

msik TMG (ISA) szerverre (BackupRoute a szkriptben).

Lpjnk ismt tovbb, m nem a Web Proxy flre, ezt most kihagyjuk, mert erre lesz

egy teljes fejezet ksbb, hanem a Forefront TMG Client rsz kvetkezik. Itt az Internalhlzat tzfal klienseire vonatkoz belltsok szerepelnek, elszr is maga az

engedlyezs s a TMG konkrt nevnek vagy IP cmnek megadsa (ha nv, akkor a

TMG-nek tudnia kell ezt helyesen feloldani, ha IP, akkor viszont majd ha IP-t vltunk ne

felejtsk el itt is tlltani). A panel tbbi rsze a tzfal kliens ltal a kliens gpen

bellthat bngsz konfigurcira vonatkozik. Ez ugye gyakorlatilag majdnem

teljesen ugyangy nz ki, mint pl. az IE proxy belltsai (3.4 fejezet, els bra).

5.10 BRA AWEB BROWSER FL

Lehetsges automatikus konfigurci detektlst krni, amely egy bonyolultabb,

elgazsos proxy konfigurcinl trtnhet egy szkripttel is. Illetve a panel legaljn

trtnik meg az bellts (Use a Web Proxy szerver), amit a tzfal kliens felhasznl a

kliensoldali bngsz automatikus konfigurlsakor.


97/334

A TZFAL

~ 97 ~

Az utols fl az Auto Discovery, amelyen ugyan csak egyetlen dolgot llthatunk

(gyakorlatilag ez a ki- vagy bekapcsols), m a szakirodalma mgis terjedelmes.

Bvebben is kifejtjk, de mivel teljesen a web proxy szolgltatshoz kapcsoldik, majd

csak a 7.5-s fejezetben.

5.10 BRA KEVS CSEKKBOX , DE SOK LEHETSG

A hlzatok logikai csoportostsa nem rdemel kln alfejezetet, de azrtmegemlkezni meg kell errl a tmrl is. Egy hlzatcsoport mindig logikai

csoportostst jelent, elssorban praktikus okokbl, azaz, hogy kevesebb majdnem

teljesen azonos szablyt kelljen legyrtanunk. A TMG konzolban a Networking \

Network Sets fl alatt rhetek el, azaz innen elindulva annyit krelhatunk amennyi

jlesik (Tasks \ Create New Network Set), de egy TMG-ben mr hrom

alaprtelmezettel is sszefuthatunk.

1. All Networks (and Local Host): a tnylegesen sszes hlzat.2. All Protected Networks: mind kivve az External.


98/334


99/334


100/334

A KAPUN TL

~ 100 ~

- Van egy pr gp, ami publikusan brki szmra, de csak kizrlag azinternethez elrhet (pl. egy egyetem vagyunks a folyosn is fellltottunk

gpeket), szintn privt cmekkel.

- Vannak bels szervereink, amelyek alkalmazsszerverek (fjl, Exchange,printer, stb.), internet elrs azrt kell nekik, plusz az 1. pont szerint a belshlzat kliensei is el szeretnk rni ezeket s privt cmeik vannak.

- Vannak olyan szervereink (web, ftp, extranetes kiszolglk), amelyeketkifejezetten csak az internet fell lehet krssekkel elrni, minden ms

hlzattl nagyjbl elszigetelve (nyilvn egy SMTP tjrnak kapcsolatban

kell lennie a bels hlzat Exchange szervervel, de ezt most hagyjuk). Ez a

hlzat publikus IP cmekkel rendelkezik.

- Az tdik hlzat az internet, hiszen ezt is elrhetv kell tennnk az sszeseddigi hlzat szmra.

Az ISA s a TMG szerverek egy ilyen felllst knnyedn tmogatnak. sszesen 4

hlzatra lesz szksgnk (Internal, Internal2, Perimeter, s External, ebbl kett

kznl is van46), egyet meg most legyrtunk zibe:

5.12 BRA HA NINCS KZNL,GYRTSUNK LE EGYET

46De a harmadik, Perimeter is kznl lesz, ha mr rgtn ezt vlasztjuk a kezdetivarzslban, persze ezt utlag is megtehetjk.


101/334

A TZFAL

~ 101 ~

Mivel egy bels, privt cmekkelrendelkez hlzatunk hinyzik, ezrt vlasszuk az els

pontot. Kszthetnnk egy Perimeter-t is (ms szhasznlattal: DMZ), illetve egy S2S

VPN hlzatot pl. telephelyek kztt, vagy akr egy msodik External hlza

Documents

A kapun túl - Forefront Threat Management Gateway 2010