Огляд Microsoft Forefront Threat Management Gateway 2010, Безпека ПЗ, Security & Hack, статті

В даному огляді ми докладно розглянемо Forefront Threat Management Gateway 2010, одну з найцікавіших новинок останнього часу від корпорації Microsoft, що прийшла на зміну ISA Server 2006. Крім функціоналу корпоративного фаєрвола і проксі-сервера, новинка включає в себе можливості антивірусного і антиспам фільтрації HTTP і SMTP трафіку, перевірку HTTPS трафіку і виявлення вразливостей.

Системні вимоги


Microsoft Forefront Threat Management Gateway 2010 підтримує лише операційні системи Windows Server 2008 з пакетом оновлень 2 (SP2) або Windows Server 2008 R2.


Мінімальні системні вимоги:



Рекомендовані системні вимоги:





Установка продукту


Microsoft Forefront Threat Management Gateway – Комплексний набір програм для забезпечення безпеки в мережі, що дозволяє підвищити надійність охорони і посилити контроль за клієнтськими та серверними операційними системами, завдяки інтеграції з існуючою ІТ-інфраструктурою та спрощенню розгортання, управління та аналізу.


Зусиллями компанії Майкрософт повна версія продукту Forefront Threat Management Gateway (Forefront TMG), що є прямим спадкоємцем Microsoft ISA Server, вийшла у першому півріччі 2009 року. Крім усього функціоналу Microsoft ISA Server новий продукт включає в себе поліпшення існуючих, а також безліч нових функцій.


Forefront TMG продається у двох варіантах: Standard і Enterprise. Функціонально вони практично не відрізняються, відмінності полягають лише в ліцензійних обмеженнях, які наведені нижче.






































Standard


Enterprise


Процесори


До 4 CPU


Без обмежень


Пам’ять


Підтримка 2Гб RAM


Без обмежень


Балансування завантаження мережі


Немає


Та


Підтримка протоколу Cache Array Routing


Немає


Та


Використання консолі Enterprise Management Console


Ні *


Та


Необхідність ліцензування всіх віртуальних машин по CPU на додаток до фізичного CPU


Та


Немає


Можливість перенесення на будь-який інший сервер


Ліцензія виписується на фізичний сервер і може змінюватися тільки раз в 90 днів


Будь-коли


* Сервера Standard Edition можуть управлятися за допомогою TMG Enterprise Management Console.


Далі все скріншоти й описи для зручності будуть ставитися до Microsoft Forefront Threat Management Gateway Standard Edition.


Малюнок 1: Вікно установки Forefront Threat Management Gateway



Так виглядає вікно установки Microsoft Forefront Threat Management Gateway, Безпосередньо перед установкою продукту нам необхідно запустити засіб підготовки, яке налаштує ролі та компоненти Windows.


Рисунок 2: Засіб підготовки до установки Forefront Threat Management Gateway



Після завершення роботи засобу підготовки можна приступати безпосередньо до самої установки Forefront Threat Management Gateway, Яка відбувається в три етапи:



Рисунок 3: Етапи установки Forefront Threat Management Gateway



На першому етапі установки пропонується вибрати директорію, куди буде встановлений продукт, а так само вказати діапазон адрес, які будуть входити у внутрішню мережу сервера Forefront Threat Management Gateway.


Малюнок 4: Визначення діапазону внутрішньої мережі



Налаштування виконується за допомогою спеціального майстра і не викликає ніяких складнощів.


Рисунок 5: Вибір IP-адрес



Після вказівки мережевої плати автоматично будуть підставлені діапазони IP-адрес, які будуть входити у внутрішню мережу сервера.


Рисунок 6: Вибір мережевої плати



Нам лише залишається підтвердити наш вибір натисканням ОК і майстер установки попередить нас про те, що деякі служби будуть зупинені або перезапущені в момент встановлення продукту, далі все відбувається в автоматичному режимі.


Процес установки розроблений таким чином, щоб не викликати питань навіть у простого користувача, хоча сам продукт розрахований на системних адміністраторів та IT-фахівців. Треба сказати, що Microsoft піклується про своїх користувачів і намагається зробити все гранично просто і ясно.


В самому кінці установки перед нами з’являється вікно, яке повідомляє нас про те, що установка закінчена і зараз нам слід запустити програму управління Forefront Threat Management Gateway.


Рисунок 7: Завершення установки Forefront Threat Management Gateway



Відзначаємо галочкою запропонований пункт і натискаємо Готово. На цьому установка завершена, і ми переходимо на налаштуванні продукту.



Первісна настройка


Перед нами з’являється інтерфейс продукту, але який нам поки не потрібен, на цьому етапі пропонується зробити первинну настройку програми, за допомогою спеціального майстра, який проведе всю настройку в три етапи.


Рисунок 8: Майстер початкового налаштування Forefront Threat Management Gateway



Внизу вікна ми бачимо попередження про те, що в разі апгрейда з Microsoft ISA 2006 імпортування параметрів конфігурації необхідно зробити до запуску цього майстра.


Зараз нам слід виконувати прості інструкції майстра для того, щоб Forefront TMG працював необхідним нам чином. На першому етапі ми будемо налаштовувати параметри мережі.


Рисунок 9: Налаштування параметрів мережі Forefront TMG



Вибираємо спосіб, який нам необхідний і натискаємо Далі, На цьому цей етап налаштування буде завершено і майстер пропонує йти далі, до конфігурації системи.


Рисунок 10: Налаштування параметрів мережі Forefront TMG



Робимо настройку необхідних нам пунктів і вибираємо Далі, На цьому майстер закінчує свою роботу і нам залишається ще один пункт настройки – це завдання параметрів розгортання Forefront TMG. Тут насамперед ми повинні вибрати використання служби Центру поновлення Майкрософт для забезпечення працездатності захисних механізмів, які використовує Forefront TMG.


Рисунок 11: Установка центру оновлень Майкрософт для Forefront TMG



Далі відбувається налаштування ліцензій (в нашому випадку пробна ліцензія) та підключення необхідних модулів захисту, ми вибираємо перевірку наявності шкідливих програм і фільтрацію URL-адрес.


Рисунок 12: Налаштування параметрів захисту Forefront TMG



На наступному етапі нам пропонується налаштувати вибрані нами компоненти.


Рисунок 13: Настройка оновлень антивірусних баз



Тут все залишаємо відповідно до рекомендованих параметрами і натискаємо Далі. На цьому етапі компанія Microsoft пропонує нам участь у вже стала звичною для продуктів цього вендора програмі, яка допомагає покращувати програмне забезпечення. Для цього з нашого комп’ютера будуть збиратися деякі дані, такі як конфігурація устаткування та інформація про використання Forefront TMG, Збір даних відбувається анонімно, тому ми вибираємо рекомендований нам пункт.


Для тих, хто з якоїсь причини не довіряє цій програмі, є можливість відмовитися від участі, хоча, на мій погляд, це абсурдно, ми вже довірили свою безпеку цього продукту, тому сумніватися в даній програмі не має сенсу, ніякої особистої інформації з комп’ютера не збирається.


Рисунок 14: Програма поліпшення якості програмного забезпечення



На наступному кроці, нам пропонується вибрати рівень участі в програмі Microsoft Telemetry Reporting. Цей сервіс дозволяє фахівцям Microsoft покращувати шаблони ідентифікації атак, а так само розробляти рішення для усунення наслідків загроз, ми погоджуємося на звичайний рівень участі і натискаємо Далі.


Малюнок 15: Вибір рівня участі в Microsoft Telemetry Reporting



На цій дії робота майстра початкового налаштування завершена.


Рисунок 16: Запуск майстра веб-доступу



Натискаємо Закрити і тим самим відразу запускаємо майстер налаштування веб-доступу. Першим кроком у ньому буде можливість вибору створення правил, які блокують мінімум рекомендованих категорій URL-адрес.


Рисунок 17: Правила політики веб-доступу



На цьому кроці ми виберемо рекомендоване дію, тобто правила будуть створюватися. Далі потрібно вибрати, до яких категорій веб-сайтів потрібно заблокувати доступ для користувачів. При необхідності можна додати свою групу веб-сайтів для блокування, змінити яку-небудь із встановлених, а так само можливість створення виключень.


Ставлення ресурсу до того чи іншого типу призначення здійснюється за допомогою запиту до Microsoft Reputation Service, Веб-адреси передаються серверу по захищеному каналу.


Рисунок 18: Категорії веб-сайтів для блокування за допомогою Forefront TMG



Після цього ми приступаємо до параметрів перевірки трафіку на наявність шкідливих програм. Природно ми вибираємо рекомендований дію, для того, щоб наш HTTP трафік фільтрувався Forefront TMG.


Важливо відзначити опцію блокування передачі запаролених архівів. У таких архівах шкідливі файли або інший небажаний контент можуть передаватися спеціально, щоб уникнути перевірки.


Рисунок 19: Параметри перевірки наявності шкідливих програм



На наступному кроці відбувається налаштування дії по відношенню до HTTPS трафіку – перевіряти його чи ні, перевіряти сертифікати чи ні.


Рисунок 20: Параметри перевірки HTTPS в Forefront TMG



Ми дозволяємо користувачам встановлювати HTTPS-з’єднання з веб-сайтами, не будемо перевіряти цей трафік, але будемо блокувати його, якщо сертифікат, який використовується, є неприпустимим.


Переходимо до налаштувань веб-кешування часто запитуваної вмісту, який використовується для того, що прискорити доступ до популярних веб-сайтів і оптимізувати витрати компанії на веб-трафік.


Рисунок 21: Налаштування веб-кешування



Включаємо дану опцію і вказуємо місце на диску і його розмір, де будуть зберігатися кешовані дані. На цьому налаштування політик веб-доступу закінчена.


Рисунок 22: Завершення настройки веб-доступу



За підсумками установки і початкового настроювання хочеться сказати, що установник дозволяє зробити дуже гнучку настройку Forefront TMG, Безліч стандартних схем передбачено самим установником, нам надається можливість їх редагування, а так само можливість створення власних умов і політик, які повною мірою відповідають нашим потребам.



Функціональність Forefront TMG


Тепер подивимося на нутрощі Forefront TMG і за традицією почнемо з інтерфейсу, який зроблений за принципом “простіше не придумаєш”. Весь інтерфейс ділиться на три стовпці, кожен стовпець містить чітко певну інформацію, яку він несе, її можна розділити на три елементи:



Щоб було більш зрозуміло, розглянемо концепт на конкретному прикладі.


Відображення стану захисту


Рисунок 23: Панель стану роботи Forefront TMG



У лівій частині ми бачимо назву вузла – Панель, По центру вказана різна інформація про модулях і статистика роботи, а в самому правому стовпчику ми бачимо завдання, яке можливо виконати – Оновити і цей концепт ми побачимо, вибравши будь
вузол Forefront TMG, Так само в правом (3) стовпці зазвичай розташована довідка з даного вузла і завданням.


Це дуже зручна концепція побудови інтерфейсу, все “як на долоні” перед нашими очима. Розділ Панель – Це знімок зведення дій Forefront TMG, Виконаний в реальному часі. Всі важливі відомості відображаються на одному екрані, що допомагає швидко визначати і усувати виникаючі проблеми.


Найперший блок ми вже розглянули, тому рухаємося далі до розділу Спостереження. За своєю суттю цей розділ є розшифровкою тих подій, які ми спостерігаємо на екрані Панель.


Спостереження за подіями


Рисунок 24: Спостереження за поточним станом Forefront TMG



Даний розділ розбитий на п’ять вкладок:



Сповіщення – Це реакція Forefront TMG на певну подію. Для простоти і використання ідентичні оповіщення об’єднуються в групи. У правому блоці нам надається можливість налаштування визначень.


Сеанси – Функція спостереження за сеансами Forefront TMG в реальному часі дозволяє централізовано відслідковувати клієнтський трафік. Присутня можливість зміни фільтра, припинення та зупинення сеансу спостереження.


Рисунок 25: Спостереження за сеансами в Forefront TMG



Засоби перевірки підключення – Використовую цю функцію можна виконувати регулярне спостереження за підключеннями певного комп’ютера або url-адреси до комп’ютера Forefront TMG.


Рисунок 26: Спостереження за перевіркою підключень в Forefront TMG



Служби – Функція спостереження за службами Forefront TMG в реальному часі. Є можливість зупинки та включення окремих служб.


Рисунок 27: Спостереження за службами Forefront TMG



Конфігурації – Функція відстеження реплікації конфігурації на кожному елементі масиву в реальному часі.


Тепер ми розглянемо розділ Політика міжмережевого екрану, В якому для захисту активів мережі можна визначити правила політики міжмережевого екрану, дозволяють або забороняють доступ до підключеним мереж, веб-сайтів і серверів.


Політики міжмережевого доступу


Forefront TMG надає можливості гнучкої настройки правил і політик фільтрації трафіку: додавання або видалення правил, а також внесення змін у вже існуючі правила.


Рисунок 28: Політика міжмережевого екрану в Forefront TMG



Рисунок 29: Завдання політик брандмауера в Forefront TMG



Кожна з задач здійснюється за допомогою зрозумілого і доступного майстра настройки.
В Forefront TMG з’явився новий вузол конфігурації, іменований Політика веб-доступу.


Фільтрація веб-трафіку


В даному вузлі розташовуються всі настройки служби веб-проксі, параметри доступу користувачів до ресурсів Інтернет за протоколами HTTP, HTTPS, FTP-over-HTTP (тунельованого FTP), а також параметри конфігурації модуля перевірки користувальницького трафика на наявність шкідливого коду – Malware Inspection.


Рисунок 30: Політика веб-доступу в Forefront TMG



У правому кутку ми можемо спостерігати завдання, які можуть виконуватися даними вузлом. До складу даного вузла входить компонент, який перевіряє трафік на наявність malware – Malware Content Inspection.


Даний модуль використовує движок Microsoft Antimalware Engine і дозволяє інспектувати HTTP і тунельованого FTP-трафік клієнтів веб-проксі.
Більш того, можна перевіряти трафік навіть вихідних HTTPS-з’єднань! При цьому користувач, чия SSL-сесія перевіряється модулем Malware Inspection, отримує повідомлення про цей процес. Також існує можливість виключити певні веб-сайти з перевірки.


Рисунок 31: Настройки модуля перевірки трафіку



При завантаженні файлів великого обсягу користувачеві може бути продемонстрована інформація про процес перевірки завантажуваних файлів на наявність шкідливого коду.


Тепер ми розглянемо наступний вузол, який називається Політика електронної пошти.


Фільтрація електронної пошти


Forefront TMG діє як релей між внутрішніми SMTP-серверами і зовнішніми SMTP-серверами, розташованими за межами організації, і застосовує політики електронної пошти до пересилаються повідомленнями.


Рисунок 32: Політика фільтрації електронної пошти в Forefront TMG



Завдання, які виконуються даними вузлом, вказані в правому стовпчику, відповідно до концепції, яку ми розібрали спочатку огляду. Наступний вузол, який ми розглянемо Система запобігання вторгнень.


Система запобігання вторгнень (IPS)


Forefront TMGвключає в себе систему виявлення вторгнень рівня мережі (Network based Intrusion Detection System, N-IDS), розроблену Microsoft Research і іменовану GAPA. На відміну від часткової реалізації функціонала механізму виявлення мережевих вторгнень, використовуваного в ISA Server, GAPA являє собою повноцінну систему N-IDS.


Microsoft обіцяє, що сигнатури мережевих атак для розширення функціоналу GAPA будуть періодично поставлятися у вигляді пакетів оновлень через службу Microsoft Update.


Рисунок 33: Система попередження вторгнень



В центральному стовпці вказані назви сигнатур мережевих атак і дія, яка буде виконана за замовчуванням. Також в даному вузлі розташовується модуль Виявлення поведінкових вторгнень, В ньому можна налаштувати параметри для виявлення передбачуваних вторгнень на основі даних про мережеву активність.


Рисунок 34: Виявлення вторгнень з поведінки в Forefront TMG



В цьому розділі пропонується настройка параметрів виявлення для найбільш поширених атак.


Рисунок 35: Настройка виявлень вторгнень



Так же присутній виявлення DNS-атак.


Рисунок 36: Настройка правил фільтрації (параметри IP)



При необхідності можна включити блокування фрагментів IP.


Рисунок 37: Налаштування параметрів запобігання Flood-атаки



В Forefront TMG реалізована підтримка протоколу SIP, а також функція VoIP (Voice over IP) NAT Traversal, що дозволяє даному типу трафіку проходити через шлюзи із службою перетворення мережевих адрес (NAT). Можна задати виключення IP-адрес, а так же призначити квоти SIP.


Політика віддаленого доступу


Рисунок 38: Політика віддаленого доступу в Forefront TMG



У цьому розділі можна налаштувати і захистити віртуальну приватну мережу VPN, яка дозволяє двом комп’ютерам обмінюватися даними через загальнодоступну мережу з імітацією приватного підключення типу “точка-точка”.


В Forefront TMG реалізована підтримка протоколу SSTP (Secure Socket Tunneling Protocol), що дозволяє тунелювати трафік VPN-сесії всередині звичайного протоколу HTTP в рамках SSL-сесії. Цей механізм дозволяє без проблем встановлювати VPN-з’єднання незалежно від конфігурації міжмережевого екрану, веб-проксі сервера або служби трансляції мережевих адрес. На даний момент цю технологію підтримують тільки ОС Windows Vista SP1 і Windows Server 2008.


Налаштування мережі


Даний вузол розділений на сім вкладок:



Рисунок 39: Настройки мережі в Forefront TMG



В Forefront TMG реалізована функція ISP Link Redundancy, Яка дозволяє організувати відмовостійке підключення до мережі Інтернет за допомогою відразу двох ISP-каналів. Причому можливо як гаряче резервування інтернет-каналу, так і балансування мережного навантаження між інтернет-каналами. Нарешті з’явилася можливість направлення певного мережевого трафіку через конкретний інтернет-канал!


Налаштування самої системи


Цей вузол розділений на три вкладки:



Рисунок 40: Настройки системи в Forefront TMG



Вкладка Сервери подає відомості про всі серверах в конфігурації Forefront TMG. Фільтри додатків являють собою додатковий рівень безпеки і можуть виконувати завдання, пов’язані з протоколу і системі, такі як перевірка справжності і перевірка на наявність вірусів. Веб-фільтри можуть відслідковувати, аналізувати і перехоплювати дані, передані по протоколу HTTP між локальною мережею та Інтернетом.


Журнали та звіти


Вкладка Ведення журналу – Тут збирається інформація про події, які відбувалися на комп’ютері Forefront TMG. При виборі Виконати запит в журналі почнуть з’являтися дані про події в реальному часі з детальним описом події.


У вкладці “Звіт” створюються звіти про роботу Forefront TMG на основі файлів журналу, де реєструються дії, що виконуються на комп’ютері. Звіт можна створити одноразово або налаштувати створення періодичних звітів.


Рисунок 41: Журнали і звіти в Forefront TMG



Центр поновлення


Рисунок 42: Центр поновлення Forefront TMG



У даному сайті відображається стан оновлень Microsoft, встановлених на даному сервері Forefront TMG. За замовчуванням визначення перевіряються кожні 15 хвилин.


Усунення неполадок


На вкладці Усунення неполадок вказані корисні посилання на матеріали з обслуговування та усунення неполадок пов’язаних з Forefront TMG.


Рисунок 43: Усунення неполадок



Коли включено Відстеження змін і застосовується зміна конфігурації, зведення про ці зміни заносяться у вигляді запису в даний розділ. Імітатор трафіку дозволяє оцінити політики міжмережевого екрану по декількох заданих параметрах.


Представлення Збір даних діагностики дозволяє виконати запит до бази даних журналу діагностики відповідно до критеріїв фільтра.
Перевірка можливості підключення допомагає перевірити, чи можуть сервери Forefront TMG підключатися до певних вузлів призначення
в інтернеті.


На цьому ми закінчуємо наш огляд Microsoft Forefront Threat Management Gateway, І нам лише залишається зробити підсумкові висновки і дати оцінку продукту:



Висновки


Forefront TMG є дуже функціональним, гнучким у налаштуванні, простим в інтеграції і відповідає сучасним вимогам щодо забезпечення комплексної безпеки корпоративних мереж. На наш погляд, простота і ефективність будуть схиляти корпоративних клієнтів до цього рішення при виборі захисту для своєї корпоративної мережі.


Forefront TMG являє собою нове покоління систем захисту інтернет-шлюзу корпоративної мережі, включає в себе, мабуть, всі необхідні функції і в найближчому майбутньому повинен серйозно потіснити свого попередника Microsoft ISA Server 2006.


До невеликих мінусів Forefront TMG можна віднести відсутність системи квотування трафіку (автоматичного відключення користувача при вичерпанні ліміту) і відсутність антивірусної перевірки FTP-трафіка. Тим Проте, наша суб’єктивна оцінка рішення Forefront Threat Management Gateway 9 з 10.

Схожі статті:


Сподобалася стаття? Ви можете залишити відгук або підписатися на RSS , щоб автоматично отримувати інформацію про нові статтях.

Коментарів поки що немає.

Ваш отзыв

Поділ на параграфи відбувається автоматично, адреса електронної пошти ніколи не буде опублікований, допустимий HTML: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong>

*

*