Главная » Windows

Настройка forefront tmg для гибридной среды

На чтение: 18 мин Windows

Network Inspection System (NIS)

В основе NIS лежит анализатор протоколов — Generic Application Level Protocol Analyzer (GAPA), разработанный Microsoft Research (MSR). GAPA включает в себя язык для описания спецификации протоколов — GAPA Language (GAPAL), а также механизм для анализа потоков или захваченных сетевых данных. К отличиям NIS от других систем обнаружения вторжений (IDS) можно отнести стиль программирования. Если большинство IDPS написаны на императивных языках (например, С или С++), то в GAPA предпринята попытка реализовать логику разбора протоколов в декларативном стиле.

NIS является сигнатурной IPS, основная задача которой — сократить время между обнаружением уязвимости и применением патча с нескольких недель до нескольких часов. Например, при обнаружении уязвимости в ОС создание, отладка, тестирование и применение обновления ко всем компьютерам сети может потребовать значительного времени. В случае сигнатур время, необходимое на создание самой сигнатуры, меньше, а кроме того — не требуется время на развертывание обновлений на тестовых компьютерах, чтобы убедиться в сохранении полноценной работы системы.

Таким образом, при настроенной NIS в случае существующей неисправленной уязвимости можно значительно меньше волноваться о безопасности. Но надо учитывать, что на данный момент сигнатуры NIS могут детектировать эксплойты, направленные на уязвимости только в продуктах Microsoft. Кроме того, NIS защищает только от сетевых или web-атак, но не защищает от эксплойтов в файлах. Последнюю проблему можно решить с помощью другого компонента TMG — Malware Inspection.

NIS может работать со следующими протоколами: HTTP, DNS, SMB, MSRPC, SMTP, POP3, IMAP, MIME. При появлении новых атак или распространении новых протоколов может быть добавлена поддержка новых протоколов, предоставляемая через новый набор сигнатур. Чтобы просмотреть протоколы, поддерживаемые в системе, можно использовать соответствующую группировку. Если пользователь добавляет свои определения протоколов, использующие нестандартные порты, то для проверки пакетов с помощью NIS необходимо ассоциировать данный User Defined Protocol со стандартным протоколом, поддерживаемым NIS. NIS сканирует только тот трафик, который разрешен в Firewall policy.

Кроме использования сигнатур, можно включить обнаружение аномалий в протоколах и настроить действия при их обнаружении. Значение по умолчанию — «Allow, to avoid blocking legitimate traffic» — пропускает трафик, даже если в нем были аномалии, при этом никаких оповещений и записей в журналах не создается. Аномалией считается трафик, который отличается от стандартов или распространенных реализаций. Так как реализация протоколов может отличаться от RFC, то существует вероятность блокировки допустимого трафика при задании параметра «Block, to tighten security».

Назначение FOREFRONT UAG

Продукт Forefront Unified Access Gateway (UAG) позиционируется как средство предоставления доступа к внутренним ресурсам сети через единую точку входа. Буквально за пару щелчков мышкой можно обеспечить клиенту подключение к самым разнообразным приложениям и сервисам, разработанным как в недрах Microsoft, так и сторонними производителями. По сравнению с Intelligent Application Gateway (IAG 2007), на платформе которого построен UAG, расширен список внутренних ресурсов, подлежащих публикации: Remote Desktop Services, SharePoint и Exchange (Outlook Web App и Anywhere), Dynamics CRM, Citrix XenApp, файловый сервис и так далее.

Еще одна фишка — политики доступа, при помощи которых админ задает требования для подключающихся клиентских систем: платформа, ОС, настройки системы и безопасности, наличие обновлений и т.д. Установка политик производится непосредственно в консоли управления UAG, также возможно использование политик NAP, расположенных на NPS-сервере (см. врезку «NAP & NPS»).

UAG может использоваться в трех вариантах:

  • сервер публикаций (publishing server) — публикация корпоративных приложений и ресурсов и обеспечение доступа к ним;
  • сервер DirectAccess — позволяет подключаться ко внутренней сети и ее ресурсам из любого места; в отличие от VPN, все настройки произ водятся автоматически, не требуя вмешательства пользователя;
  • смешанный сервер (или несколько серверов), обеспечивающий обе функции.

Что особенно важно, UAG существенно расширяет возможности, заложенные в DirectAccess. В частности, упрощается доступ к практически любым серверам, которые изначально не поддерживают эту технологию, в том числе устаревшим версиям Win2k3 и серверам, построенным на не-Windows платформе

Аналогичная ситуация и с другой стороны сети. Изначально DirectAccess поддерживают только Win7 и Win2k8R2, применение UAG обеспечивает SSL VPN доступ для клиентов XP/Vista, *nix/Mac OS X систем и различного рода мобильных девайсов. Применение UAG позволяет админам изменять настройки на клиентах, устанавливать обновления, изменять групповые политики, даже если пользователь еще не зарегистрировался в системе.

При работе в NLB (Network Load Balancing) массиве настройка производится из консоли UAG, при этом один из серверов назначается основным (master), все произведенные на нем настройки автоматически подхватываются остальными серверами. UAG поддерживает NLB, предоставляемую службой Win2k8R2. Как вариант возможна работа с продуктами сторонних разработчиков, некоторые из них представлены на партнерской странице — go.microsoft.com/fwlink/?LinkId=166184.

Публикация приложений производится при помощи транков (trunks). При этом подключение можно организовать по принципу «один ко многим», когда пользователь получает доступ ко всем приложениям с единого адреса. Вариант «один к одному» позволяет подключаться с одного IP на один опубликованный сервис. Кроме того, Forefront UAG умеет производить предварительную аутентификацию клиента еще до того, как он будет подключаться ко внутреннему ресурсу. Для чего UAG поддерживает большое количество протоколов аутентификации: LDAP, RADIUS, TACACS, сертификаты SSL, WINHTTP.

Средствами UAG легко обеспечить единый вход (Single Sign-On) ко всем ресурсам, когда пользователь будет вводить пароль один раз. Для этого после авторизации на сервере UAG последний отсылает данные другим серверам для проверки подлинности, используя протоколы Kerberos, NTLM, HTTP. Возможна аутентификация пользователя и средствами внутреннего сервера. Поддерживается совместная работа со службой федерации AD — Active Directory Federation Services (AD FS).

Отмечу, что UAG никак не заменяет Forefront TMG (Threat Management Gateway, напомню, обеспечивает защиту периметра сети). Эти продукты направлены на решение разных задач, но принадлежность к единому семейству дает возможность их совместного использования и управления из единой консоли. По сути, UAG расширяет функции TMG.

Службы безопасности

Пакет предоставляет следующие возможности:

  • Безопасный шлюз удалённого доступа
  • Политика доступа к конечной точке
  • Безопасный удалённый доступ к веб-приложениям Outlook, соединениям Remote Desktop, SSL VPN, Microsoft CRM, SharePoint и прочих бизнес-приложений
  • Поддержка ряда провайдеров аутентификации включая Active Directory, Netscape, LDAP, RADIUS, OTP и т.д.
  • Анализ HTTPS трафика
  • Защита на уровне приложений
  • Контентный анализ
  • Анализ пакетов
  • Контроль доступа к ресурсам по адресу (URL)
  • Защита электронной почты

Важным различием между Forefront UAG и Forefront TMG является то, что UAG устанавливается в качестве шлюза, в то время как Forefront TMG устанавливается поверх UAG в качестве брандмауэра, после чего настраивается для обеспечения безопасности сервера UAG.

С другой стороны, Forefront UAG расширяет возможности Forefront TMG в области интеллектуальной веб-публикации. В отличие от TMG, Forefront UAG распознаёт опубликованные приложения, и способен осуществлять контроль за состоянием используемого оборудования. Кроме того, UAG и способен распознавать авторизованных пользователей.

Интересным инструментом является возможность настройки политики доступа к конечной точке. Данная политика позволяет сетевым администраторам определять правила, согласно которым клиент может получить доступ к внутренним сетевым ресурсам. Благодаря использованию политики доступа, клиент получит доступ к ресурсу в том и только в том случае, если выполняются все определённые политикой условия.

Возможности Forefront TMG

Основным компонентом Forefront TMG (на момент написания статьи была
доступна версия 2010 Release Candidate) является межсетевой экран, который
контролирует входящий и исходящий трафик в соответствии с установленными
политиками. Этот компонент «достался» по наследству от ISA Server. Среди новинок
можно отметить улучшенную поддержку NAT (например, теперь нет проблем в случае,
если внешний интерфейс имеет несколько IP-адресов), функцию управления
резервными интернет-каналами (ISP Redundancy, только для исходящего трафика),
появление в настройках firewall вкладки VoIP, где производится настройка защиты
и поддержки VoIP сервиса (VoIP traversal).

Функцию IDS/IPS выполняет компонент Network Inspection System (NIS,
Служба проверки сети), главным отличием которого от подобных решений является
контроль над попытками использования известных уязвимостей, обнаруженных в
защищаемых системах, а не поиск сигнатур эксплоитов. Такой подход позволяет
закрыть брешь в период обнаружения уязвимости до выхода устраняющего ее патча.
Основой NIS служит GAPA (Generic Application-Level Protocol Analyzer),
обеспечивающий быстрый низкоуровневый поиск данных. Кроме сигнатурного анализа,
в NIS заложен поведенческий анализатор (Security Assessment and response, SAS),
способный определять вторжения на основе поведения (Behavioral Intrusion
Detection).

Никуда не исчезла возможность предоставления безопасного доступа
к ресурсам интернет и контроля за трафиком (Web Client Protection). Здесь
отмечаем появление в списках протокола SSTP (Secure Socket Tunneling Protocol,
подробнее о нем читай в статье «Слоеный
VPN» августовского
номера ][ за 2008 год), поддержка которого была впервые реализована в Vista
SP1 и Win2k8.

TMG проверяет HTTP и HTTPS (чего не было ранее, при этом TMG
выступает как посредник) трафик на наличие вредоносного ПО, используя те же
механизмы защиты, что и Forefront Client Security и Windows Defender.
Администратор может указать узлы, для которых не следует производить проверку,
максимальный размер скачиваемого файла, при превышении которого загрузка будет
блокирована, разрешенные типы файлов. Еще одна новинка в этом разделе —
возможность URL фильтрации, которая дает возможность контролировать доступ к
определенным веб-ресурсам, основываясь на 80-ти категориях. Список возможных
категорий и их состав динамически обновляется по подписке.

TMG поддерживает Win2k8R2, может интегрироваться с Exchange 2007
SP1 или грядущим Exchange 2010. Первые версии TMG нельзя было развернуть в
рабочей группе (только в доменной среде), что снижало область применения
продукта. Теперь такая возможность имеется, хотя в этом случае придется
потратить некоторое время на эффективную настройку локальной SAM базы (Security
Accounts Manager). В режиме рабочей группы возможна аутентификация средствами
RADIUS или SecurID сервера.

Перечислю несколько важных моментов касательно IPv6, которые
следует учесть при развертывании TMG:

  • будет блокирован весь IPv6 трафик;

  • протокол ISATAP (Intra-Site Automatic Tunnel Addressing
    Protocol) и 6to4 интерфейс, инкапсулирующие пакеты IPv6 в IPv4, будут
    отключены;

  • при рестарте будет обновляться только «A» DNS запись для
    сервера, но не «AAAA»;

  • будут очищены кэши DNS, ARP и Neighborhood Discovery (IPv6
    версия ARP).

Да, протокол IPv6 TMG не поддерживает в полной мере, но работать
с ним умеет. Также возможно развертывание DirectAccess (который, кстати, завязан
на IPv6/IPsec) и TMG на одной системе. Хотя это потребует плясок с бубном, так
как при установленной роли DirectAccess некоторые мастера TMG отказываются
работать, так как не могут определить настройки сети.

Поставляется TMG в двух версиях: Enterprise и Standard Edition,
хотя первоначально такое разделение не планировалось. Основных преимуществ
Enterprise перед Standart два. Это снятие лимита на количество CPU (в Standart
до 4) и работа в массиве TMG, управляемом Enterprise Management Server (Сервер
управления предприятием) с поддержкой «Stirling». Настройки в этом случае
хранятся централизованно на сервере Configuration Storage Server. Чтобы
проапгрейдить Standart до Enterprise, необходимо установить новый лицензионный
ключ: Forefront TMG Management console — System node — выбираем сервер и в
контекстном меню Properties — Upgrade to Enterprise Edition вводим новый ключ.

Решаем проблемы

Несмотря на то, что в настройке транков, приложений и прочих параметров UAG помогают мастера, выдающие внятные подсказки, с первого раза все запустить не всегда получает ся. Уж слишком много сервисов завязано в единый узел. Проблемы, которые касаются текущего узла, отображаются в консоли управления UAG. Проанализировать ситуацию в комплексе поможет инструмент Forefront UAG 2010 Best Practices Analyzer (BPA) Tool, который можно скачать с сайта Microsoft. Проведя ряд тестов, BPA выдает отчеты, в них будет отражена текущая ситуация, ключевые моменты в настройках и потенциальные проблемы. Кроме того, выполняя рекомендации, выданные BPA, можно достичь большей произ водительности. Для Forefront TMG доступен аналогичный инструмент — Forefront TMG BPA Tool.

Network, выбираем DNS Client и вызываем на редактирование Primary DNS Suffix, где вводим DNS-суффикс нашего домена. Теперь можно переходить непосредственно к настройкам DirectAccess в консоли управления UAG.

Все установки DirectAccess производятся в соответствую щем меню. Многие вопросы совпадают с настройками DirectAccess, о которых рассказывалось в указанной выше статье. Сейчас нам предстоит последовательно пройти три этапа. Первый шаг — настройка клиентов, здесь указываем Active Directory, которую мы создали для компьютеров, работающих через DirectAccess. На следующем шаге настраивается сервер, для которого указываем внешний и внутренний интерфейсы.

Проверяем, чтобы были установлены флажки в параметрах «Enable UAG DirectAccess NAT64» и «Enable UAG DirectAccess DNS64». Далее указываем сертификаты (корневой и HTTPS), которые будут использованы для проверки подлинности. И, наконец, третий этап — «Infrastructure Servers Configuration» — здесь настраиваем все сервера, предоставляющие услуги клиентам. Просто перечисляем их имена и DNS-суффиксы в предложенных полях. Далее выводится список серверов, участвующих в аутентификации, здесь должен быть виден контроллер домена. Добравшись до «Application Servers», настраиваем собственно серверы приложений. Нажимаем кнопку «Generate Policies», а после того, как политики будут созданы, нажимаем «Apply Now», чтобы их применить. Закрываем окно и форсируем события, введя команду «gpupdate /force».

После всех настроек клиенты смогут подключаться из внешней сети к внутренним серверам. Осталось добавить, что созданную конфигурацию можно экспортировать и импортировать, в меню Admin находится пункт настройки бэкапа. Из панели доступен Web Monitor (порт 5002), позволяющий просмотреть список событий (система, защита, приложения), мониторить работу серверов в массиве, приложений и пользователей.

В комплект также входит консоль Activation Monitor, которая в реальном времени позволяет контролировать статус членства в массиве UAG и ряд других параметров, таких как настройки сетевых интерфейсов, политики, состояние связанных сервисов.

Требования к аппаратному обеспечению

Требования Forefront UAG к аппаратной части отличаются от запросов Forefront TMG тем, что для работы UAG необходимо наличие как минимум двух сетевых адаптеров. Два сетевых адаптера требуются для обеспечения связи между локальной и внешней сетями (например, внутренней сетью организации и интернет). Соответственно, Forefront UAG не будет работать на рабочих станциях с одним сетевым адаптером.

В то же время, Forefront TMG запустится только будучи установленным на 64-разрядной версии Windows (UAG может работать как на 32-разрядных, так и на 64-битных ОС). Таким образом, для обеспечения совместной работы Forefront TMG и UAG требуется сервер под управлением Windows 2003/2008 Server x64, оборудованный двумя сетевыми адаптерами.

Сравнение возможностей Forefront TMG и Forefront UAG

На первый взгляд разница между Forefront TMG и Forefront UAG невелика. Оба продукта могут использоваться в одних и тех же сценариях, выполняя одни и те же задачи. На самом же деле, между двумя продуктами существует принципиальная разница, определяющая выбор того или иного решения в каждом конкретном сценарии.

Что интересно, существует достаточно большое количество сценариев, задачи которых могут быть выполнены как Forefront TMG, так и Forefront UAG. В то же время взвешенный подход к выбору платформы позволяет избежать многочисленных коллизий и осложнений.

В этом разделе мы рассмотрим поддерживаемые и не поддерживаемые сценарии, обсудим разницу между ними, и рассмотрим, в каких именно ситуациях следует использовать тот или иной продукт.

Начнём с Forefront TMG.

Forefront TMG – это безопасный брандмауэр, обрабатывающий входящие и исходящие запросы. Forefront TMG обеспечивает как безопасность внутренних ресурсов сети от внешней угрозы, так и обеспечивающий безопасный доступ к защищаемым ресурсам из внешних сетей. В состав продукта входят гибкие правила публикации, позволяющие настроить доступ к корпоративным ресурсам (Outlook Web Access, Exchange Active Sync и так далее) для удалённых пользователей. Однако попытки использовать Forefront TMG в качестве интеллектуального решения дистанционного доступа быстро упираются в ограничения продукта.

Forefront UAG работает как интеллектуальный шлюз уровня приложений. UAG обрабатывает только входящие запросы, обеспечивая удобный и безопасный удалённый доступ к внутренним ресурсам компании. С помощью Forefront UAG можно существенно расширить возможности правил публикации, встроенных в пакет TMG. Интеллектуальные правила публикации Forefront UAG позволяют создавать безопасные порталы и сети VPN. С помощью политик DirectAccess Endpoint Access возможен контроль за удалёнными клиентами.

Forefront TMG может быть установлен в качестве интегральной части пакета Forefront UAG. В этом случае TMG используется как брандмауэр, обеспечивающий безопасность работы сервера UAG.

Ссылки по теме

  1. Основное руководство по NIS — «Guide to Configuring, Monitoring, and Troubleshooting the Network Inspection System (NIS) in Forefront Threat Management Gateway (TMG) 2010»: download.microsoft.com;
  2. Шаги, которые следует предпринимать при поиске причин возникновения проблем в NIS: technet.microsoft.com/en-us/library/ff382649.aspx;
  3. Статья о предпосылках создания GAPA и GAPAL, а также их возможностях: research.microsoft.com/pubs/70223/tr-2005-133.pdf;
  4. Рассмотрение аспектов безопасности при виртуализации продуктов Forefront Edge: technet.microsoft.com/en-us/library/cc891502.aspx;
  5. Microsoft Malware Protection Center (MMPC): microsoft.com/security/portal;
  6. SDK и инструменты для диагностики и настройки TMG 2010: microsoft.com/downloads/en/details.aspx?displaylang=en&FamilyID=8809cfda-2ee1-4e67-b993-6f9a20e08607.

Системы предотвращения вторжений

Системы обнаружения вторжений (Intrusion-Detection System или IDS) — это набор методов и инструментов (программных и аппаратных), позволяющих выявить и оповестить об активности, которая необычна для данной системы — нарушает политику, либо содержит ошибки или сигнатуры известных атак. Системы предотвращения вторжений (Intrusion Prevention Systems — IPS), в дополнение к возможностям IDS, выполняют действия, способные предотвратить атаку.

Традиционно IDPS делятся на системы, работающие на уровне сети, на уровне хоста и гибридные. Сетевые IDPS (Network Based IDPS — NIDPS) анализируют сетевой трафик с целью выявить в нем атаки и подозрительную активность. IDPS на уровне хоста (Host Based IDPS — HIDPS) отслеживают параметры конкретного узла (такие как журналы приложений и ОС), системные вызовы, изменения на уровне файловой системы.

В IDPS для обнаружения атак используются сигнатуры, выявление аномалий или политики. Anomaly Based IDPS и Policy Based IDPS позволяют выявить ранее не известные атаки, но обладают более высоким уровнем ложных срабатываний и большей сложностью настройки, чем сигнатурные. На практике около 80% атак нарушают правила использования протокола, поэтому для обнаружения атак на сеть хорошо использовать системы, основанные на анализе протокола.

Перед началом работы

Перед началом работы необходимо знать следующее.

  • TMG необходимо разворачивать в пограничной конфигурации с минимум одним сетевым адаптером, подключенным к Интернету и настроенным для внешней сети в TMG, и минимум одним сетевым адаптером, подключенным к интрасети и настроенным для внутренней сети в TMG.

  • Сервер TMG должен быть членом домена в лесу домена Active Directory, содержащего сервер службы федерации Active Directory (AD FS) (AD FS) 2.0. Сервер TMG необходимо присоединить к этому домену, чтобы использовать проверку подлинности SSL-сертификата клиента, которая используется для проверки подлинности входящих подключений из SharePoint в Microsoft 365.

    Примечание.

    Как правило, для пограничных развертываний рекомендуется установить Forefront TMG в отдельном лесу (а не во внутреннем лесу корпоративной сети) с односторонним доверием к корпоративному лесу. Однако проверку подлинности сертификата клиента можно настроить только для пользователей в домене, к которому присоединен сервер TMG, поэтому эту методику нельзя использовать для гибридных сред.

    Дополнительные сведения о топологии сети TMG см. в разделе «Рекомендации по рабочей группе и домену».

  • Развертывание TMG 2010 для использования в гибридной среде SharePoint Server в серверной конфигурации теоретически возможно, но не было протестно и может не работать.

  • TMG 2010 включает интерфейс сбора данных диагностики и интерфейс ведения журнала в реальном времени. Ведение журнала играет важную роль в устранении неполадок с подключением и проверкой подлинности между SharePoint Server и SharePoint в Microsoft 365. Определение компонента, вызывающего сбой подключения, может оказаться сложной задачей, и журналы TMG — это первое место, где следует искать возможные причины. Устранение неполадок может включать сравнение событий журналов из журналов TMG, журналов ULS SharePoint Server, журналов событий Windows Server и журналов СЛУЖБ IIS на нескольких серверах.

Дополнительные сведения о настройке и использовании ведения журнала в TMG 2010 см. в разделе «Использование ведения журнала диагностики».

Дополнительные сведения о методах и средствах устранения неполадок в гибридных средах SharePoint Server см. в разделе «Устранение неполадок гибридных сред».

Выводы

Forefront TMG является очень функциональным, гибким в настройке, простым в интеграции и соответствует современным требованиям по обеспечения комплексной безопасности корпоративных сетей. На наш взгляд, простота и эффективность будут склонять корпоративных клиентов к этому решению при выборе защиты для своей корпоративной сети.

Forefront TMG представляет собой новое поколение систем защиты интернет-шлюза корпоративной сети, включает в себя, пожалуй, все необходимые функции и в ближайшем будущем должен серьезно потеснить своего предшественника Microsoft ISA Server 2006.

К небольшим минусам Forefront TMG можно отнести отсутствие системы квотирования трафика (автоматического отключения пользователя при исчерпании лимита) и отсутствие антивирусной проверки FTP-трафика. Тем не менее, наша субъективная оценка решения Forefront Threat Management Gateway 9 из 10.

Ссылки по теме

Рейтинг
( Пока оценок нет )
Editor
Editor/ автор статьи

Давно интересуюсь темой. Мне нравится писать о том, в чём разбираюсь.

Понравилась статья? Поделиться с друзьями:
Работатека
Вам также может быть интересно
.
Работа с пакетами управления в средствах разработки для service manager
Windows 0
Установка и настройка system center service manager 2019. первоначальная настройка. часть 1
Первоначальная настройка Service Manager: настройка основных параметров рабочих элементов, периода хранения и ролей безопасности
Работатека
Как установить системные переменные среды в windows 10?
Windows 0
Как изменить переменные среды в windows 7
Простые и эффективные инструкции изменения переменных среды в Windows 7. Пошаговая инструкция с фото.
Работатека
Диспетчер серверов
Windows 0
Установка и настройка терминального сервера на windows server
Пошаговая инструкция по установке роли терминального сервера и ее настройки с нюансами и профессиональными
Работатека
Windows sharepoint services 3.0: справка и инструкции
Windows 0
Установка, настройка и использование microsoft sharepoint
Пошаговая инструкция по развертыванию Microsoft SharePoint. В качестве примера используется SharePoint 2010 и MS
Работатека
Добавить комментарий

;-) :| :x :twisted: :smile: :shock: :sad: :roll: :razz: :oops: :o :mrgreen: :lol: :idea: :grin: :evil: :cry: :cool: :arrow: :???: :?: :!:

Этот сайт использует cookie для хранения данных. Продолжая использовать сайт, Вы даете свое согласие на работу с этими файлами и принимаете условия пользовательского соглашения.