Обзор Microsoft Forefront Threat Management Gateway 2010Источник: anti-malware
В данном обзоре мы подробно рассмотрим Forefront Threat Management Gateway 2010, одну из самых интересных новинок последнего времени от корпорации Microsoft, пришедшую на смену ISA Server 2006. Помимо функционала корпоративного фаервола и прокси-сервера, новинка включает в себя возможности антивирусной и антиспам фильтрации HTTP и SMTP трафика, проверку HTTPS трафика и обнаружения уязвимостей. Системные требования Microsoft Forefront Threat Management Gateway 2010 поддерживает только операционные системы Windows Server 2008 с пакетом обновления 2 (SP2) или Windows Server 2008 R2. Минимальные системные требования:
Рекомендуемые системные требования:
Установка продуктаMicrosoft Forefront Threat Management Gateway - комплексный набор программ для обеспечения безопасности в сети, позволяющий повысить надежность охраны и усилить контроль за клиентскими и серверными операционными системами, благодаря интеграции с существующей ИТ-инфраструктурой и упрощению развертывания, управления и анализа. Усилиями компании Майкрософт полная версия продукта Forefront Threat Management Gateway (Forefront TMG), являющегося прямым наследником Microsoft ISA Server, вышла в первом полугодии 2009 года. Помимо всего функционала Microsoft ISA Server новый продукт включает в себя улучшения существующих, а также множество новых функций. Forefront TMG продается в двух вариантах: Standard и Enterprise. Функционально они практически не отличаются, различия состоят лишь в лицензионных ограничениях, которые приведены ниже.
* Сервера Standard Edition могут управляться при помощи TMG Enterprise Management Console. Далее все скриншоты и описания для удобства будут относиться к Microsoft Forefront Threat Management Gateway Standard Edition. Рисунок 1: Окно установки Forefront Threat Management Gateway Так выглядит окно установки Microsoft Forefront Threat Management Gateway, непосредственно перед установкой продукта нам необходимо запустить средство подготовки, которое настроит роли и компоненты Windows. Рисунок 2: Средство подготовки к установке Forefront Threat Management Gateway После завершение работы средства подготовки можно приступать непосредственно к самой установке Forefront Threat Management Gateway, которая происходит в три этапа:
Рисунок 3: Этапы установки Forefront Threat Management Gateway На первом этапе установки предлагается выбрать директорию, куда будет установлен продукт, а так же указать диапазон адресов, которые будут входить во внутреннюю сеть сервера Forefront Threat Management Gateway. Рисунок 4: Определение диапазона внутренней сети Настройка выполняется с помощью специального мастера и не вызывает никаких сложностей. Рисунок 5: Выбор IP-адресов После указания сетевой платы автоматически будут подставлены диапазоны IP-адресов, которые будут входить во внутреннюю сеть сервера. Рисунок 6: Выбор сетевой платы Нам лишь остается подтвердить наш выбор нажатием ОК и мастер установки предупредит нас о том, что некоторые службы будут остановлены или перезапущены в момент установки продукта, далее все происходит в автоматическом режиме. Процесс установки разработан таким образом, чтобы не вызывать вопросов даже у простого пользователя, хотя сам продукт рассчитан на системных администраторов и IT- специалистов. Надо сказать, что Microsoft заботится о своих пользователях и старается сделать все предельно просто и ясно. В самом конце установки перед нами появляется окно, которое уведомляет нас о том, что установка закончена и сейчас нам следует запустить программу управления Forefront Threat Management Gateway. Рисунок 7: Завершение установки Forefront Threat Management Gateway Отмечаем галочкой предложенный пункт и нажимаем Готово. На этом установка завершена, и мы переходим на настройке продукта. Первоначальная настройкаПеред нами появляется интерфейс продукта, но который нам пока не нужен, на этом этапе предлагается сделать первоначальную настройку программы, с помощью специального мастера, который проведет всю настройку в три этапа. Рисунок 8: Мастер первоначальной настройки Forefront Threat Management Gateway Внизу окна мы видим предупреждение о том, что в случае апгрейда с Microsoft ISA 2006 импортирование параметров конфигурации необходимо сделать до запуска этого мастера. Сейчас нам следует выполнять простые инструкции мастера для того, чтобы Forefront TMG работал необходимым нам образом. На первом этапе мы будем настраивать параметры сети. Рисунок 9: Настройка параметров сети Forefront TMG Выбираем способ, который нам необходим и нажимаем Далее, на этом этот этап настройки будет завершен и мастер предлагает идти далее, к конфигурированию системы. Рисунок 10: Настройка параметров сети Forefront TMG Делаем настройку необходимых нам пунктов и выбираем Далее, на этом мастер заканчивает свою работу и нам остается еще один пункт настройки - это задание параметров развертывания Forefront TMG. Здесь первым делом мы должны выбрать использование службы Центра обновления Майкрософт для обеспечения работоспособности защитных механизмов, которые использует Forefront TMG. Рисунок 11: Установка центра обновлений Майкрософт для Forefront TMG Далее производится настройка лицензий (в нашем случае пробная лицензия) и подключение необходимых модулей защиты, мы выбираем проверку наличия вредоносных программ и фильтрацию URL- адресов. Рисунок 12: Настройка параметров защиты Forefront TMG На следующем этапе нам предлагается настроить выбранные нами компоненты. Рисунок 13: Настройка обновлений антивирусных баз Здесь все оставляем в соответствии с рекомендованными параметрами и нажимаем Далее. На этом этапе компания Microsoft предлагает нам участие в уже ставшей привычной для продуктов этого вендора программе, которая помогает улучшать программное обеспечение. Для этого с нашего компьютера будут собираться некоторые данные, такие как конфигурация оборудования и информация об использовании Forefront TMG, сбор данных происходит анонимно, поэтому мы выбираем рекомендуемый нам пункт. Для тех, кто по какой-то причине не доверяет этой программе, есть возможность отказаться от участия, хотя, на мой взгляд, это абсурдно, мы уже доверили свою безопасность этому продукту, поэтому сомневаться в данной программе не имеет смысла, никакой личной информации с компьютера не собирается. Рисунок 14: Программа улучшение качества программного обеспечения На следующем шаге, нам предлагается выбрать уровень участия в программе Microsoft Telemetry Reporting. Этот сервис позволяет специалистам Microsoft улучшать шаблоны идентификации атак, а так же разрабатывать решения для устранения последствий угроз, мы соглашаемся на обычный уровень участия и нажимаем Далее. Рисунок 15: Выбор уровня участия в Microsoft Telemetry Reporting На этом действии работа мастера первоначальной настройки завершена. Рисунок 16: Запуск мастера веб-доступа Нажимаем Закрыть и тем самым сразу запускаем мастер настройки веб-доступа. Первым шагом в нем будет возможность выбора создания правил, блокирующих минимум рекомендуемых категорий URL-адресов. Рисунок 17: Правила политики веб-доступа На этом шаге мы выберем рекомендованное действие, т.е. правила будут создаваться. Далее нужно выбрать, к каким категориям веб-сайтов нужно заблокировать доступ для пользователей. При необходимости можно добавить свою группу веб-сайтов для блокировки, изменить какую-либо из предустановленных, а так же возможность создания исключений. Отношение ресурса к тому или иному типу назначения осуществляется с помощью запроса к Microsoft Reputation Service, веб-адреса передаются серверу по защищенному каналу. Рисунок 18: Категории веб-сайтов для блокировки с помощью Forefront TMG После этого мы приступаем к параметрам проверки трафика на наличие вредоносных программ. Естественно мы выбираем рекомендуемое действие, для того, чтобы наш HTTP трафик фильтровался Forefront TMG. Важно отметить опцию блокировки передачи запароленных архивов. В таких архивах вредоносные файлы или другой нежелательный контент могут передаваться специально, чтобы избежать проверки. Рисунок 19: Параметры проверки наличия вредоносных программ На следующем шаге производится настройка действия по отношению к HTTPS трафику - проверять его или нет, проверять сертификаты или нет. Рисунок 20: Параметры проверки HTTPS в Forefront TMG Мы разрешаем пользователям устанавливать HTTPS-соединения с веб-сайтами, не будем проверять этот трафик, но будем блокировать его, если сертификат, который используется, является недопустимым. Переходим к настройкам веб-кэширования часто запрашиваемого содержимого, которое используется для того, что ускорить доступ к популярным веб-сайтам и оптимизировать затраты компании на веб-трафик. Рисунок 21: Настройка веб-кэширования Включаем данную опцию и указываем место на диске и его размер, где будут храниться кэшированные данные. На этом настройка политик веб-доступа закончена. Рисунок 22: Завершение настройки веб-доступа По итогам установки и первоначальной настройки хочется сказать, что установщик позволяет сделать очень гибкую настройку Forefront TMG, множество стандартных схем предусмотрено самим установщиком, нам предоставляется возможность их редактирования, а так же возможность создания собственных условий и политик, которые в полной мере соответствуют нашим потребностям. Функциональность Forefront TMGТеперь посмотрим на внутренности Forefront TMG и по традиции начнем с интерфейса, который сделан по принципу "проще не придумаешь". Весь интерфейс делится на три столбца, каждый столбец содержит четко определенную информацию, которую он несет, ее можно разделить на три элемента:
Чтобы было более понятно, рассмотрим концепт на конкретном примере. Отображение состояния защитыРисунок 23: Панель состояния работы Forefront TMG В левой части мы видим название узла - Панель, по центру указана различная информация о модулях и статистика работы, а в самом правом столбце мы видим задачу, которую возможно выполнить - Обновить и этот концепт мы увидим, выбрав любой Это очень удобная концепция построения интерфейса, все "как на ладони" перед нашими глазами. Раздел Панель - это снимок сводки действий Forefront TMG, выполненный в реальном времени. Все важные сведения отображаются на одном экране, что помогает быстро определять и устранять возникающие проблемы. Самый первый блок мы уже рассмотрели, поэтому двигаемся дальше к разделу Наблюдение. По своей сути этот раздел является расшифровкой тех событий, которые мы наблюдаем на экране Панель. Наблюдение за событиямиРисунок 24: Наблюдение за текущим состоянием Forefront TMG Данный раздел разбит на пять вкладок:
Оповещения - это реакция Forefront TMG на определенное событие. Для простоты и использования идентичные оповещения объединяются в группы. В правом блоке нам предоставляется возможность настройки определений. Сеансы - функция наблюдения за сеансами Forefront TMG в реальном времени позволяет централизованно отслеживать клиентский трафик. Присутствует возможность изменения фильтра, приостановки и остановки сеанса наблюдения. Рисунок 25: Наблюдение за сеансами в Forefront TMG Средства проверки подключения - использую эту функцию можно выполнять регулярное наблюдение за подключениями определенного компьютера или url-адреса к компьютеру Forefront TMG. Рисунок 26: Наблюдение за проверкой подключений в Forefront TMG Службы - функция наблюдения за службами Forefront TMG в реальном времени. Есть возможность остановки и включения отдельных служб. Рисунок 27: Наблюдение за службами Forefront TMG Конфигурации - функция отслеживания репликации конфигурации на каждом элементе массива в реальном времени. Теперь мы рассмотрим раздел Политика межсетевого экрана, в котором для защиты активов сети можно определить правила политики межсетевого экрана, разрешающие или запрещающие доступ к подключенным сетям, веб-сайтам и серверам. Политики межсетевого доступаForefront TMG предоставляет возможности гибкой настройки правил и политик фильтрации трафика: добавление или удаление правил, а также внесение изменений в уже существующие правила. Рисунок 28: Политика межсетевого экрана в Forefront TMG Рисунок 29: Задачи политик межсетевого экрана в Forefront TMG Каждая из задач осуществляется с помощью понятного и доступного мастера настройки. Фильтрация веб-трафикаВ данном узле располагаются все настройки службы веб-прокси, параметры доступа пользователей к ресурсам Интернет по протоколам HTTP, HTTPS, FTP-over-HTTP (туннелированный FTP), а также параметры конфигурации модуля проверки пользовательского трафика на наличие вредоносного кода - Malware Inspection. Рисунок 30: Политика веб-доступа в Forefront TMG В правом углу мы можем наблюдать задачи, которые могут выполняться данным узлом. В состав данного узла входит компонент, который проверяет трафик на наличие malware - Malware Content Inspection. Данный модуль использует движок Microsoft Antimalware Engine и позволяет инспектировать HTTP и туннелированный FTP-трафик клиентов веб-прокси. Рисунок 31: Настройки модуля проверки трафика При загрузке файлов большого объёма пользователю может быть продемонстрирована информация о процессе проверки загружаемых файлов на наличие вредоносного кода. Теперь мы рассмотрим следующий узел, который называется Политика электронной почты. Фильтрация электронной почтыForefront TMG действует как релей между внутренними SMTP-серверами и внешними SMTP-серверами, расположенными за пределами организации, и применяет политики электронной почты к пересылаемым сообщениям. Рисунок 32: Политика фильтрации электронной почты в Forefront TMG Задачи, которые выполняются данным узлом, указаны в правом столбце, в соответствии с концепцией, которую мы разобрали вначале обзора. Следующий узел, который мы рассмотрим Система предотвращения вторжений. Система предотвращения вторжений (IPS)
Forefront TMG включает в себя систему обнаружения вторжений уровня сети (Network based Intrusion Detection System, N-IDS), разработанную Microsoft Research и именуемую GAPA. В отличие от частичной реализации функционала механизма обнаружения сетевых вторжений, используемого в ISA Server, GAPA представляет собой полноценную систему N-IDS. Microsoft обещает, что сигнатуры сетевых атак для расширения функционала GAPA будут периодически поставляться в виде пакетов обновлений через службу Microsoft Update. Рисунок 33: Система предотвращения вторжений В центральном столбце указаны названия сигнатур сетевых атак и действие, которое будет выполнено по умолчанию. Также в данном узле располагается модуль Обнаружение поведенческих вторжений, в нем можно настроить параметры для обнаружения предполагаемых вторжений на основе данных о сетевой активности. Рисунок 34: Обнаружение вторжений по поведению в Forefront TMG В этом разделе предлагается настройка параметров обнаружения для наиболее распространенных атак. Рисунок 35: Настройка обнаружений вторжений Так же присутствует обнаружение DNS-атак. Рисунок 36: Настройка правил фильтрации (параметры IP) При необходимости можно включить блокирование фрагментов IP. Рисунок 37: Настройка параметров предотвращения Flood-атаки В Forefront TMG реализована поддержка протокола SIP, а также функция VoIP (Voice over IP) NAT Traversal, позволяющая данному типу трафика проходить через шлюзы со службой преобразования сетевых адресов (NAT). Можно задать исключения IP-адресов, а так же назначить квоты SIP. Политика удаленного доступаРисунок 38: Политика удаленного доступа в Forefront TMG В этом разделе можно настроить и защитить виртуальную частную сеть VPN, которая позволяет двум компьютерам обмениваться данным через общедоступную сеть с имитацией частного подключения типа "точка-точка". В Forefront TMG реализована поддержка протокола SSTP (Secure Socket Tunneling Protocol), позволяющего туннелировать трафик VPN-сессии внутри обычного протокола HTTP в рамках SSL-сессии. Этот механизм позволяет без проблем устанавливать VPN-соединения вне зависимости от конфигурации межсетевого экрана, веб-прокси сервера или службы трансляции сетевых адресов. На данный момент эту технологию поддерживают только ОС Windows Vista SP1 и Windows Server 2008. Настройки сетиДанный узел разделен на семь вкладок:
Рисунок 39: Настройки сети в Forefront TMG В Forefront TMG реализована функция ISP Link Redundancy, которая позволяет организовать отказоустойчивое подключение к сети Интернет посредством сразу двух ISP-каналов. Причем возможно как горячее резервирование интернет-канала, так и балансировка сетевой нагрузки между интернет-каналами. Наконец-то появилась возможность направления определенного сетевого трафика через конкретный интернет-канал! Настройки самой системыЭтот узел разделен на три вкладки:
Рисунок 40: Настройки системы в Forefront TMG Вкладка Серверы представляет сведения обо всех серверах в конфигурации Forefront TMG. Фильтры приложений представляют собой дополнительный уровень безопасности и могут выполнять задачи, относящиеся к протоколу и системе, такие как проверка подлинности и проверка на наличие вирусов. Веб-фильтры могут отслеживать, анализировать и перехватывать данные, передаваемые по протоколу HTTP между локальной сетью и Интернетом. Журналы и отчетыВкладка Ведение журнала - здесь собирается информация о событиях, которые происходили на компьютере Forefront TMG. При выборе Выполнить запрос в журнале начнут появляться данные о событиях в реальном времени с детальным описанием события. Во вкладке "Отчет" создаются отчеты о работе Forefront TMG на основе файлов журнала, где регистрируются действия, выполняемые на компьютере. Отчет можно создать однократно или настроить создание периодических отчетов. Рисунок 41: Журналы и отчеты в Forefront TMG Центр обновленияРисунок 42: Центр обновления Forefront TMG В данном узле отображается состояние обновлений Майкрософт, установленных на данном сервере Forefront TMG. По умолчанию определения проверяются каждые 15 минут. Устранение неполадокНа вкладке Устранение неполадок указаны полезные ссылки на материалы по обслуживанию и устранению неполадок связанных с Forefront TMG. Рисунок 43: Устранение неполадок Когда включено Отслеживание изменений и применяется изменение конфигурации, сведение об этих изменениях заносятся в виде записи в данный раздел. Имитатор трафика позволяет оценить политики межсетевого экрана по нескольким заданным параметрам. Представление Сбор данных диагностики позволяет выполнить запрос к базе данных журнала диагностики в соответствии с критериями фильтра. На этом мы заканчиваем наш обзор Microsoft Forefront Threat Management Gateway, и нам лишь остается сделать итоговые выводы и дать оценку продукту: ВыводыForefront TMG является очень функциональным, гибким в настройке, простым в интеграции и соответствует современным требованиям по обеспечения комплексной безопасности корпоративных сетей. На наш взгляд, простота и эффективность будут склонять корпоративных клиентов к этому решению при выборе защиты для своей корпоративной сети. Forefront TMG представляет собой новое поколение систем защиты интернет-шлюза корпоративной сети, включает в себя, пожалуй, все необходимые функции и в ближайшем будущем должен серьезно потеснить своего предшественника Microsoft ISA Server 2006. К небольшим минусам Forefront TMG можно отнести отсутствие системы квотирования трафика (автоматического отключения пользователя при исчерпании лимита) и отсутствие антивирусной проверки FTP-трафика. Тем не менее, наша субъективная оценка решения Forefront Threat Management Gateway 9 из 10. |