Microsoft Forefront Threat Management Gateway ( ISA Server 2009 ) Kurulum ve Genel Özellikleri

Hakan UZUNER — Sun, 28 Sep 2008 16:54:00 GMT

Microsoft un Forefront güvenlik ürün ailesinin dış bağlantı çözümlerinden biri olan TMG aslında yakından tanıdığımız ISA Server 2006 nında yeni versiyonu olarak nitelendirilebilir .( ISA Server 2009 )

TMG ; ISA Server mimarisi üstüne geliştirilmiş ve yeni özellikler katılmış bir üründür. ISA Server da olduğu gibi TMG ürünü de ; Stateful Packet Inspection (SPI - Durum bazlı paket taraması), Application Layer filtering ( uygulama katmanı filtrelemesi ) ve IDS (Intrusion Detection System – izinsiz giriş tespit sistemi ) ‘e sahiptir . Bu terimlerden kısaca bahsetmek gerekir ise ;

Stateful Packet Inspection(SPI) ; firewall ‘a giren ve firewall dan çıkan paketlerin hedefinin doğrulanmasını sağlayan bir güvenlik mekanizmasıdır . Bu sayede paketlerin yönlendirilmesi kararları daha ayrıntılı olarak verilebilir . Sistemin çalışma mantığında ise ; firewall un üzerinden geçen her pakete ait oturum bilgileri hafızada tutulur ve gelen istekler bunlar ile karşılaştırılır . Örneğin bir kullanıcı tarafından açılan bir web isteğine karşı gelen cevap otomatik olarak içeriye yani hedefine yönlendirilir .Bu nedenle zaten standart olarak içeriden dışarıya açılan kurallar , dışarıdan içeriye hiçbir izin kuralı olmadan sağlıklı çalışabilmektedir.

Application Layer Filtering ise ; standart olarak bir firewall gelen tcp paketlerinin başlığını ( header ) okur ve buradaki bilgileri (hedef ve kaynak adres , portlar bilgileri ) okuyarak paketi yönlendirir . Ancak bu gelen tcp paketi aslında iki parçadan oluşmakta ve ilk parça olan header dan sonra gelen data parçasında tehlikeli kodlar olabilir . İşte tam bu noktada devreye ALF özelliği giriyor ve aynı gelen paketin header bölümünün yanında data ( application ) bölümünü de control ederek kötü içerikli kodlara veya ataklara karşı eylemde bulunabiliyor. Örnek vermek gerekir ise ; HTTP trafiğinin kontrolü için çalışan bir HTTP Filter ( yani bir application layer filtering özelliği ) HTTP paketlerindeki komutları ( data bölümündeki ) kontrol ederek güvenliği sağlamış oluyorlar.

Intrusion Detection System ise ; ağ üzerindeki trafiğin izlenmesi ve şüpheli paketlerin yakalanması durumunda Sistem yöneticisine bilgi veren firewall ların üzerinde bulunan bir özelliktir. IDS ler genel olarak en çok bilinen ataklara karşı etkilidir ( yani tipik atakları tespit etme kabiliyetleri vardır )

TMG ürünü de aynı ISA Server da olduğu gibi network katmanında başlayarak üst katmanlara kadar hizmet veren bir üründür .

TMG bu kadar benzerliğe rağmen geniş kapsamlı network koruma ürünü olarak karşımıza çıkmaktadır . Eski ürüne oranla pek çok yenilik ile gelen TMG yine eski temel özelliklerini de desteklemektedir ; Firewall , Proxy Server , Publisher , VPN , Caching Server gibi .

TMG ürününü kurmak için gerekli olan şartlar ( sistem gereksinimleri )

 64-bit işlemci.

 Windows Server® 2008 64-bit işletim sistemi . 32-bit Windows Server 2008 üzerine kurulamaz.

 1 gigabyte (GB) memory

 150 MB boş disk alanı . Sadece kurulum için gerekli olup cache alanı ve malware inspection sırasında dosyaların saklanması için gerekli geçici alan haricinde .

 Bir network kartı ( tabiki birden çok takılabilir)

 Local disk sisteminin NTFS ile formatlanmış olması gerekli

TMG ürünün Beta1 versiyonunu kullanmak isteyenler için bilinmesi gereken önemli ürün notları aşağıdaki gibidir ;

Not : Ürün şu anda Beta1 olup burada verilen pek çok özellik Beta2 veya Release versiyonunda değişiklik gösterebilir .

 Tüm IPv6 paketleri standart olarak yasaklıdır

 ISATAP (Intra-Site Automatic Tunnel Addressing Protocol) desteği kapalıdır.

 6to4 interface kapalıdır. Bu teknik IPv6 paketlerinin IPv4 networklerinden geçişini sağlamaktadır

 Forefront TMG Control servisi her restart olduğunda TMG server , DNS üzerinde sadece bir adet kendine ait A kayıdı olduğunu doğrulamak için yeniden kayıt olur .Ve yine bu süreçte DNS , Address Resolution Protocol (ARP), ve Neighborhood Discovery (IPv6 için ARP) cacheleri silinir.

 Ürünün kurulum dizininin değiştirilmesi mümkün değildir ( en azından şu anda böyle bir desteği yok )

 Standart kurulum ile birlikte ürün SQL Server® Express database ‘ ini kullanacak şekilde ayarlanmıştır. Bu sayede raporlar ve loglama için hazır bir veri tabanına sahiptir . Bu komponenti kurulum sırasında kendisi yüklemektedir .

 TMG yükleme sırasında IIS bileşenini kendisi yüklemektedir , ancak ürünün kaldırılması sırasında bu bileşeni elle kaldırmamız gerekmektedir. IIS bileşenine ise SQL Reporter Servisini desteklemek için ihtiyaç duymaktadır.

 Ürünü tek adaptörlü bir server a kurma şansına sahibiz. Ancak böyle bir durumda TMG dışında şirket network ünü koruyacak bir uç firewall a ihtiyaç duyarız. Bu senaryoda TMG in bize sunduğu destekler ise aşağıdaki gibidir ;

o HTTP, HTTPS ve FTP protokolleri için Web poxy desteği

o Cache

o Web publishing ( yanlızca web server ve OWA desteği )

o Microsoft Office Outlook Web Access 2007, ActiveSync®, ve remote procedure call (RPC) over HTTP publishing.

o Remote client VPN access.

Bu durumda desteklenmeyen özellikler ise aşağıdaki gibidir ;

o Application layer inspection

o Server publishing

o Firewall clients

o SecureNAT clients

o Virtual private

Yükleme öncesi ise dikkat edilmesi gereken hususlar aşağıdaki gibidir

 Internal ve External için isim çözümleme servislerinin çalışması

 IP yapılandırılmasının tamamlanmış olması

 Kimlik doğrulama isteklerine göre yüklenecek makinenin domain üyesi olması veya workgroup üyesi olmasının sağlanması

Eğer TMG ürününü ilk defa kurmayacaksanız yani elinizde olan ISA 2006 ürününden migrate yapacak iseniz yapmanız gereken adımlar aşağıdaki gibidir ;

ISA Server 2006 üzerinde konfig bilgisini export etmek

TMG ürününün temiz bir kurulumunu gerçekleştirmek

Yedekleri import etmek

Gerekli ise sertifika ve vpn ayarlarını yeni sunucu üzerinde tamamlamak

Daha fazlabilgi için http://technet.microsoft.com/en-us/library/cc441439.aspx

Gelelim TMG ile bize sunulan yenilikler ve değişikiklere ;

İlk olarak TMG ürünü üzerinde güvenlik anlamında çok büyük bir yenilik olan Malware Inspection özelliğini görmekteyiz. Malware sözlük anlamı ; Kötücül yazılım (malware, "malicious software"in kısaltılmışı), bulaştığı bir bilgisayar sisteminde veya ağ üzerindeki diğer makinelerde zarara yol açmak veya çalışmalarını aksatmak amacıyla hazırlanmış yazılımların genel adıdır . Biz ise bunları genel olarak ; virus , worm veya spyware gibi nitelendiririz. TMG ürünüde HTTP içeriği veya dosyalarındaki bu kötü amaçlı yazılımları tarama , temizleme veya bloklama özelliğine sahiptir .Bu özellik standart kurulumlarda 90 gün ücretsiz olarak sunulurken , Essential Business Server ın bir parçası halinde ise bir yıl sunulmaktadır . Bundan sonra ise lisansa tabi tutulacaktır .Bu özellik açık konuma getirildiğinde internet sitelerinin yüklenmesi sırasında gelen paketler veya sitelerden indirilen dosyalar için koruma sağlanmış olmaktadır.

Bunun dışında Beta1 üzerindeki değişikler aşağıdaki gibidir ;

Not : Ürün şu anda Beta1 olup burada verilen pek çok özellik Beta2 veya Release versiyonunda değişiklik gösterebilir .

Array Support ; TMG tek bir bilgisayar üzerine kurulabilir . Array desteği yoktur . ( pre – release sürümü için geçerlidir )

Download Progress Notifications ; Malware Inspection ile beraber gelen bu özellik sayesinde download edilen dosyaların tarama işlemi kullanıcı tarafında bir html sayfa ile gösterilmektedir.

Encryption ; Eski sürüm olan ISA Server 2006 ve 2004 üzerinde yönetici http trafiği için 128 bit şifreleme seçeneğini seçme hakkına sahipti , ancak bu seçim şansı yeni üründe kaldırıldı . Çünkü Windows Server 2008 SSL bağlantılarında zaten bunu zorunlu kılmaktadır.

Internet Protocol Security ( IpSec ) ; TMG ‘ın standart IpSec tunel mode ayarları eski sürüm ISA 2006 ile site-to-site vpn yapmak için uygun değildir .Eğer bu işlemi gerçekleştirmek istiyorsak TMG üzerinde IPSec ayarlarını ISA 2006 ile eşlememiz gerekmektedir .

Joining a domain ; Eğer TMG ürününün kurulumunu System Configuration Wizard ile yapmış iseniz , bu sihirbazın ikinci bölümünde makinenin domain e katılması sağlanabilir . Ve bu işlemin başarılı bir şekilde olduğuna dair uyarı alırsınız . Ancak restart işleminden sonra login sorunları yaşayabilirsiniz. Bu sorunları aşmak için sihirbaz üzerinde FQDN isimleri kullanmaya özen gösterin .Veya makinenizi daha önceden domain e kendiniz alın . Veya alınmış bir makine ise DNS Suffix ini düzenleyebilirsiniz

Licensed Users ; Mevcut sürüm 300 kullanıcıya kadar destek vermektedir .

Management Console ; Bu sürüme ait olan yönetim konsolu sadece Windows Server 2008 ve Windows Vista işletim sistemlerine kurulabilmektedir .

Remote Administration ; Uzak yönetim konusunda ise ; TMG Server I yönetmek için RDP bağlantıları sağlanabilir ancak bunun dışındaki uzak yönetim yöntemleri önerilmemektedir .

Reporting ve Web Chaining ; Eğer Web Chaining uygulanmış bir TMG yapısından “Top Web Sites" ve "Top Malware Web Sites” raporları alınır ise sağlıklı sonuçlar göstermeyecektir .

Reporting Support ; TMG in bu sürümü sadece local olarak yüklü olan Microsoft SQL Server® Express 2005 database üzerinde loglama yapabilmektedir .

Reserving TCP port 8008 ; Bu port ürün tarafından rapor amaçlı olarak kullanılmaktadır . Bu nedenle diğer servislerin kullanmadığına emin olun .

Third-Party add-ins ; Eski sürüm olan ISA Server 2006 ve 2004 üzerinde çalışan pek çok eklenti bu sürüm ile çalışmayabilir , bu nedenle ürünlerin üreticilerinin TMG ile uyumlu sürümü çıkarmalarını bekleyebilirsiniz.

Virtual Private Networking ; Site-to-Site ayarlarının özetine baktıktan sonra ürün üzerinde “Apply”ve “ Discard” butonları belirecektir . Ancak bu ayarlara bakmak herhangi bir şekilde bir değişikliğe neden olmadığı için rahatlıkla “Discard” seçeneğini seçebilirsiniz.

Windows Firewall ;

VPN ayarlarını değiştirmek için Windows Firewall servisinin çalışıyor olması gerekmektedir . Bu nedenle manual olarak bu servisi durdurmak tavsiye edilmemektedir . Firewall servisinin çalışıp çalışmadığını kontrol etmek için komut satırında “sc query mpssvc” komutunu yazabilirsiniz . Eğer servis çalışmıyor ise “net start mpssvc” komutu yardımı ile servisi çalıştırabilirsiniz.

Workgroup Support ;

Ürün mutlaka Domain üyesi bir makineye yüklenmek zorundadır . ( bu bir sonraki yayınlanmış sürümde düzeltilmiş olup makale yazmak için kullandığım sürümde workgroup bir makine üzerine kurulum yapabildim .

Peki Ürün hakkında genel bir bilgi sahibi olduktan sonra kurulumuna başayalım .

Ürüne ait yazılım ve donanım gereksinimlerini makalemin başında sizler ile paylaşmıştım , tüm gereksinimleri yerine getirdikten sonra kuruluma başlayabiliriz ;

Install seçeneği ile kuruluma başlıyoruz ( not ; herhangi bir yoruma gerek olmayan veya açıklama ihtiyacı duyulmayan sadece next diyerek geçebileceğiniz sayfaları kalabalık olmaması açısından atlayarak anlatımıma devam ediyorum )

Sözleşmeyi kabul ediyoruz ;

Bu bölümde ürünün kendisini mi yoksa yönetim konsolunu mu kurmak istediğimize karar veriyoruz. Biz ürün kurulumu ile devam ediyoruz

Ürüne ait olan bileşenlerden hangilerini kuracağımıza karar verip kuruluma devam diyoruz.

Bu bölümde ise internal ip adresimizi belirtiyoruz

Ip Yapılandırmamızı tamamladıktan sonra kuruluma devam ediyoruz

Bu ekranda bize stop olacak olan servisler hakkında bilgi verilmektedir . Kurulum sürecinde restart olacak olan servisler ve kurulum sırasında duracak olan servisler . Bu servislerin sizin için kritik bir önemi var ise kurulumdan önce bunlara dikkat etmeniz gerekmektedir.

Kurulum bittikten sonra karşımıza aşağıdaki gibi bir sihirbaz çıkmaktadır ;

TMG ile yeni gelen bu sihirbaz sayesinde firewall un kurulumu çok rahat bir şekilde tamamlanmaktadır .

İlk bölüm olan network settings ile başlıyoruz

Makinemizi bu sihirbaz sayesinde şirket yapımız içerisinde nasıl bir firewall olarak konfigure edeceğimizi belirliyoruz . Eğer şirketimizde başka bir firewall var ve TMG I bunun arkasına koymak istiyorsak eğer bunun için “Back Firewall” seçilmeli , eğer TMG I var olan firewall un önüne koymak istiyor isek o zaman “Edge Firewall” u , birden çok bağlantı oluşturacak şekilde ( DMZ- Perimeter ) bir firewall configure edeceksek eğer o zaman “3-Leg perimeter” seçeneğini ve son olarak ISA Server ın tek interface ile kurulum yapmak istiyor isek “Single NIC” I seçebiliriz. ( tek interface kurulum sonrası destekleri ile ilgili bilgi makalenin başında detaylı olarak verilmiştir. )

Bu bölümde ise TMG ürününe LAN için ip bilgisi tanımlıyoruz. Yine alt bölümde aynı ISA Server da olduğu gibi sanal networkler içinde static route girişi yapabiliriz. ( ISA Server da bunu el ile giriyorduk burada arayüz kullanabiliyoruz )

TMG ürününün internete bağlandığı interface bilgisini de verip devam ediyoruz

Bu pencere ile ilk aşamanın bittiğini ve yaptığımız ayarların bir özetini görebiliyoruz

İkinci bölümde ise konfigürasyon ayarlarını yapmaya başlıyoruz

TMG ürününü domain ortamında mı yoksa workgroup ortamında mı kullanacağımıza karar verip ilgili bilgileri dolduruyoruz.

Son bölümde ise TMG in yayınlanma ayarlarını inceleyeceğiz

TMG ürününün güvenlik updatelerinin Microsoft un Update servisinden yararlanarak güncellenmesini sağlayabiliriz. Bu sayede malware inspection özelliği de daha verimli çalışacaktır.

Eğer update servisini kullanacaksanız bu servisin hangi zaman aralıklarında ve hangi eylemlerde bulunacağına karar verebilirsiniz . ( kontrol , hiçbirşey , kontrol ve yükleme )

Eğer ürün hakkında Microsoft firmasına bir takım geri dönüşlerde bulunarak ürünün gelişimine yardımcı olmak istiyorsanız bu seçeneği “Yes” olarak ayarlayabilirsiniz

Pencerenin isminden de görüleceği gibi TMG server özelliklerinden buraya erişmeniz mümkündür . Bu bölümde eğer Microsoft Telemetry Servisine yardımcı olmak isterseniz seçebileceğiniz iki seçenek vardır . İlk seçenek temel bilgilendirmeleri içerirken ikinci seçenek ise . Bu bilgiler Microsoft sunucularına iletilir ancak bu bilgiler kesinlikle illegal amaçla veya sizinle iletişim kurmak için kullanılmaz. Veya programa katılmak istememeniz durumunda son seçeneği seçebilirsiniz

Konfigürasyon bölümünü tamamlamış olduk , eğer sihirbaz ile çalışmaya devam etmek istiyorsanız sol alt köşedeki kutucuğu işaretlemeniz ve “close” butonuna basmanız yeterli olacaktır. Karşımıza aşağıdaki gibi yeni bir sihirbaz çıkacaktır

Bu sihirbaz yardımı ile ise ; Web Access Policy leri tanımlayabiliyoruz.

Web Access Policy üzerindeki kurallar için Malware Inspection özelliği açık olacak mı kararını verip devam ediyoruz ( HTTP trafiği için ). Bu karar ile özelliğin açılmasına rağmen kural bazında tanımlama yapıldığını unutmamak lazım . Yani TMG ürününde malware inspection özelliğini açmak bütün kurallar için varsayılan değer olarak geçerli olsada biz istediğimiz kurallar için bu özelliği devre dışı bırakabiliriz. ( örneğin kendi bilgisayarımız veya kullanıcımızı internete çıkaran kural üzerinde bunu kapatabiliriz )

Hazırlayacağınız kuralın etkinliğini buradan belirleyebiliyorsunuz . Eğer organizasyon içerisindeki tüm kullanıcıları etkileyecek standart bir policy yazmak istiyorsanız ilk seçeneği seçebilirsiniz , ama kullanıcı veya makine bazlı policy ler tanımlamak istiyorsanız o zaman alttaki seçeneği seçebilirsiniz . ( Policy tanımlama konularında ayrı makalelerimiz olduğu için üzerinde çok durmadan devam ediyorum )

Seçtiğimiz seçenek “Simple Web Access Policy” olduğu için bütün web siteleri izinlidir ve biz bir veya birden çok siteyi yasaklamak istiyorsak eğer bu bölümden ilgili yasaklamaları yapabiliriz.

Sihirbazın başında TMG ürünü için açtığımız malware özelliğinin bu kural üzerinde de aktif olup olmayacağına karar veriyoruz .

Yine bu kural için cache özelliğini aktif edebiliriz. Eğer daha önceden cache drive tanımlanmadı ise sihirbaz üzerinden tanımlama yapabiliriz.

Tüm ayarların sonunda artık ürünümüz kullanmaya hazır

Bir sonraki makalemde ise yeni özelliklere daha detaylı bir inceleme yapacağız

Hakan Uzuner

Forefront : Install Microsoft Forefront Threat Management Gateway - Kurulumu, Microsoft Forefront Threat Management Gateway yenilikleri

Microsoft Forefront Threat Management Gateway ( ISA Server 2009 ) Kurulum ve Genel Özellikleri