Vállalati határvédelmi megoldások
A Forefront Threat Management Gateway 2010 (TMG) illetve a Forefront Unified Access Gateway 2010 (UAG) a Microsoft vállalati szegmensbe szánt, komplex és fejlett szolgáltatásokat hordozó legújabb határvédelmi megoldásai. Az ebbe a csoportba tartozó, tipikusan a nyilvános és a privát hálózatok között működő termékekkel szemben támasztott igények magasak és dinamikusan változnak. Ennek okai között szerepel az a körülmény, hogy a támadási, behatolási, adat- és információszerzési kísérletek is rendszeresen megújulnak, másrészt a szervezetek igényei - például a távoli munkavégzéssel kapcsolatos elvárásokkal kapcsolatban - is rendre bővülnek.
E két, legtöbbször a hárombetűs rövidítéseikkel jelölt termék néhány dologban hasonló, de talán még több dologban eltérő jegyeket mutat.
Nézzük először, hogy melyek az alapvetően eltérő vonások:
- A TMG széleskörű szolgáltatásokkal rendelkezik, míg az UAG lényegesen behatároltabb, de ebből következően egy szűkebb területen (alkalmazás publikálás) jelentősen mélyebb képességekkel rendelkezik.
- Technikai szempontból az egyik fő különbség az, hogy TMG, két irányban, azaz forward/reverse proxyként is működik, míg az UAG kifejezetten csak a bejövő kapcsolatokra koncentrál.
- Egy másik fontos különbség, hogy az UAG "alatt" kötelezően egy, az UAG számára dedikált TMG is dolgozik, míg a TMG alatt már csak az operációs rendszer működik.
- A TMG rendelkezik egy speciális ún. Enterprise kiadással, a magasabb rendelkezésre állás, valamint a célzottan nagyvállalati környezetbe dedikált szolgáltatások miatt, az UAG-ból viszont egyetlen kiadás létezik.
Mi a közös ezekben a termékekben?
- Mindkettő a Forefront családba tartozik, és mindkettő a jelenlegi biztonsági kiszolgáló hullám tagja (közvetlen elődjüknek az ISA Server 2006, illetve az Internet Application Gateway 2007 számít).
- Minimum Windows Server 2008 64-bites platformot igényelnek.
- Mindkét termék támogatja a Windows Server 2008 R2-ben megjelent DirectAccess technológiát, de ez lehetne akár egy sarkos különbség is, hiszen e támogatás szintje és integráltsága nagyon eltérő.
- Mindkettő NAP kompatibilis és kissé különböző módon ugyan, de integráltan támogatják a Vista SP1-ben bemutatkozó új VPN típust, az SSTP-t (Secure Socket Tunneling Protocol).
- Mindkettő virtualizálható (Hyper-V), természetesen bizonyos feltételek mellett, illetve elérhetőek speciális hardverbe (appliance) építve is.
- Az erre alkalmas vállalati környezetben a két szoftver egyaránt felügyelhető például a System Center Operations Managerrel és a hozzájuk tartozó dedikált felügyeleti csomagok segítségével.
Threat Management Gateway
A TMG az ISA Serverek utódja, gyakorlatilag tíz éven belül a negyedik elem ebben a szűk családban. A TMG hagyományosan egy tűzfal (több hálózati rétegben, pl. legfelül a HTTP filterrel, illetve számos alkalmazásszűrővel) web proxy, cache és publikáló eszköz a belső, vagy perimeter hálózatban elhelyezett szervereink számára (gondoljunk például az univerzális Exchange Server vagy Sharepoint támogatásra). Ide tartozik még a VPN szerver szerepkör integrálása is, illetve számos olyan kisebb-nagyobb szolgáltatás, mint pl. a Flood Mitigation, amely a DoS támadások elleni védelemben játszhat szerepet.Az Enterprise kiadás oldaláról olyan nagyvállalati jellegű szolgáltatásokat is érdemes megemlíteni, mint pl. a CARP (Cache Array Routing Protocol, azaz elosztott gyorsítótár), vagy a beépített NLB támogatás, illetve a külön konfigurációtároló szerepkör, - amit a TMG-ben immár EMS-nek (Enterprise Management Server) hívunk - amely képes immár az Enterprise kiadások mellett a Standard példányok konfigurációjának tárolására is.
Az eddigi felsorolt képességek az ISA szerverekre is igazak (minden ISA Server 2006 SP1 funkcionalitást megkapunk a TMG-ben is), azonban rengeteg újdonság is érkezik a termékkel, ezeket taglaljuk kicsit részletesebben.
Web antivírus/antimaleware védelem
A TMG ezen új megoldása a HTTP folyamot figyeli és szűri, méghozzá az integrált és frissíthető adatbázisa segítségével. A vizsgálat több részből áll, mivel a folyamat legelején már belső klienstől induló kérés is szűrésre kerülhet, majd az engedélyezés után a visszatérő forgalomba is beavatkozik a TMG, azaz ellenőrzi, pontosabban ellenőrzésre küldi az adott választ. Konkrétan a Malware Inspection Filter (MIF) webszűrő az, ami átnézi a proxy által megjelölt http kérés törzsét. A webszűrő tehát villámgyorsan átnézi az anyagot, (a tartalom típusától függően kétféle módszer létezik a menetközbeni vizsgálatra), pontosítja a letöltés időzítését, majd visszaadja a proxynak, és ha nincs gond, akkor mehet minden tovább a felhasználó felé. Ha viszont bármilyen okból nincs rendben a tartalom, akkor a TMG megpróbálja megtisztítani azt (a motor pl. a Forefront Client Security / Windows Defender / MSE által is használt Malware Protection Engine). Ha a folyamat sikeres, akkor az adat kézbesítésre kerülhet, de ha sikertelen, akkor a rendszer egy HTML üzenet formájában értesítési a felhasználót, amiből kiderül, hogy a forgalom blokkolásra került. Ezen vizsgálat alanyai lehetnek a tömörített fájlok is, illetve blokkolást is beállíthatunk a titkosított fájlok, vagy a túl nagyméretű fájlok esetén. Az összes lehetőség globálisan, illetve szabályonként is ki-/ bekapcsolható.
URL szűrés
A TMG a Microsoft Reputation Services szolgáltatást használva képes több mint 100 fő-, illetve alkategóriákba szervezett webcímek tízezreit a tűzfalszabályokban felhasználni. Így, az érvényes vállalati házirend alapján, az adott URL-ek tiltása, vagy éppen engedélyezése nagyon egyszerű feladattá válik. Természetesen tesztelés céljából egyedi URL-ek lekérdezése a TMG konzolon is lehetséges, illetve a gyorsabb elérés miatt az adatbázis gyorsító tárazása is megoldott.
HTTPS vizsgálat
A saját (web)szervereink HTTPS forgalmának szigorú ellenőrzését már régóta tudja az ISA Server, azaz egy tanúsítvánnyal ellátott OWA forgalom esetén az ISA "visszafejti" a klienstől érkező kérést, ráereszti pl. a http filterét, majd terminálja az SSL kapcsolatot. Ezután a publikáló szabály típusától függően újra titkosít (vagy nem, azaz adott esetben http-ként küldi tovább), és csak ezután kapja meg az Exchange Server a kérést.
A TMG-vel a lehetőségeink tovább mutatnak ennél, ugyanis bármilyen HTTPS folyamnál képes ezt a visszafejtés/terminálás/ellenőrzés procedúrát elvégezni, persze a tanúsítványok kezelésében némi plusz módosítással. Ez az ellenőrzés immár nemcsak a HTTP filtert, hanem az összes új szűrési formát is jelenti, a malware vizsgálattól a NIS-ig (lásd később). Az ügyfélgépek az új tűzfal kliens segítségével erről a vizsgálatról - beállítástól függően – értesítést is kaphatnak, illetve kivételeket is felvehetünk a TMG konzolon.
A HTTPS vizsgálattal összekapcsolva (vagy akár enélkül is) a TMG képes a rajta keresztül folyó forgalomban megjelenő tanúsítványok vizsgálatára is, a lejárat, az érvényesség, vagy éppen a visszavonási listák ellenőrzése céljából.
E-mail biztonság
A TMG egyszerűsíti és költséghatékonyabbá teszi az eddig csak külön, például a Perimeter hálózatba elhelyezett Exchange Edge szerepkör megvalósítását, hiszen immár a TMG szerverre is telepíthető ez a képesség. Ekkor közvetlenül a konzolról szabályozható a vírus- és kéretlen levélszűrés. Emellett arra is lehetőségünk van, hogy a Forefront Protection 2010 for Exchange kiszolgáló szoftver is a TMG-re kerüljön, azaz ekkor a lényegesen magasabb színvonalú és széleskörűen konfigurálható szűrés mellett a levélfolyam részletes monitorozása is könnyedén elérhetővé válik. Természetesen az Exchange, illetve a FPE 2010 licenszekre ebben az esetben is szükség van.
Network Inspection System (NIS)
Ahhoz, hogy a rendszergazdák folyamatosan naprakész állapotban tartsák a védett hálózat operációs rendszereit, illetve alkalmazásait, régóta vannak megfelelő eszközök egy Windows hálózatban, de ez sokszor időigényes és komplikált folyamat. A teljesen új elemként bemutatkozó NIS pontosan itt segít, mivel képes arra, hogy a tűzfalon átmenő forgalom alapos elemzése során felismerje az ismert sérülékenységet kihasználó támadásokban alkalmazott jellemző szignatúrákat, és ezek után blokkolja az adott host felé menő forgalmat. Azaz egy támadó akkor sem lesz képes kihasználni egy adott hibát, ha még nem történt meg az összes végpont frissítése, hiszen a kísérlet már a hálózat határán működő TMG szervernél elakad.
De mi a helyzet a NIS esetén a gyorsasággal? A hetek helyett itt órákról beszélünk, azaz a sérülékenység felfedése után a Microsoft Malware Protection Center munkatársai azonnal hozzákezdenek a jellemző lenyomat elkészítéséhez, ellenőrzéséhez és teszteléséhez, és még aznap bizonyosan ki is adják a szignatúrát. A NIS frissítési mechanizmusa pedig lehetővé teszi, hogy akár direktben a Microsoft Update, akár a rendszerünkben már megtalálható WSUS/SCE/SCCM segítségével frissüljön az adatbázisa, ezáltal blokkolható legyen a rosszindulatú forgalom. A NIS „motorháztetejét” felnyitva egy bonyolult, sok komponensből álló rendszer részeként a GAPA protokollelemző platformra (és benne a GAPAL protokoll leíró nyelvre) bukkanunk, amely a Microsoft Research tudományos-kutató részlegének fejlesztése.
ISP Redundancy
Mennyire régóta várunk arra, hogy a különböző Internetes kapcsolatainkat (azaz több External hálózatot) megfelelő módon kezelni tudja az ISA Server? Az ISA-ban ez vágyunk már nem fog teljesülni, a TMG-ben viszont igen. Az ISP-R két, működésében erősen eltérő típust nyújt: először is a "Failover"-t, amikor is a két beállított kapcsolat között automatikus váltás történik - abban az esetben, ha az egyik (konkrétan az elsődleges) megáll. Ha később ez az elsődleges kapcsolatunk visszatér a tetszhalálból, akkor természetesen megint változik a helyzet, csak fordított előjellel, de szintén automatikusan. A másik típus a "Load balancing", amikor is megoszthatjuk a két kapcsolat között a használat arányát, egy ún. "Load Balancing Factor" csúszkán, százalékosan.
Unified Access Gateway
Az UAG az Internet Application Gateway (IAG) 2007 utódja, egy webes alkalmazás publikáló eszköz, amely elsősorban egy portál formájában teszi elérhetővé a szervezetünk erőforrásait, illetve szolgáltatásait. A felügyelt gépeinktől kezdve a szimpla internet kávézós gépekig, a böngészőktől a mobil eszközökig, a munkatársainktól a külső partnerekig, az SSL VPN kapcsolatoktól a DirectAccess-ig minden formában és környezetben elérhetővé válik az, amit közzéteszünk. Mindez természetesen fokozottan biztonságos határok között, amelyeket elképesztően granuláris házirendek és feltételek konfigurálásával tudunk biztosítani.Alkalmazás-publikálás
Az UAG esetén a webes alkalmazások, vagy farmok publikálása egy alkalmazás rétegben történő alapos vizsgálattal összekötött reverse proxy szolgáltatást jelent. Az UAG rengeteg alkalmazás optimalizáló lehetőséget biztosít, és ez nemcsak a Microsoft termékekkel, hanem a külső gyártóktól származó alkalmazásokkal kapcsolatban is igaz.
A már meglévő Remote Desktop Services (leánykori nevén Terminal Services) infrastruktúra viszonylag egyszerűen beimportálható az UAG portálba, természetesen a RemoteApp alkalmazásokkal, illetve a Remote Desktop Services Gateway konfigurációval együtt.
Az UAG képes a nem webes alkalmazások egyszerű és biztonságos közzétételére is, a socket, vagy a port forwarding technika segítségével. Értelemszerűen ekkor is megvan a lehetőség arra, hogy az alkalmazás futtatásához az UAG kérje a hitelesítést a felhasználótól. Emellett a vállalati VPN kapcsolatok is publikálhatóak, azaz a portálon keresztül elérhetővé tehető a Forefront UAG Network Connectorral, vagy éppen SSTP-vel, sőt, a publikálás kiterjesztésével a fájlszerverekhez, illetve a hálózati megosztásokhoz történő hozzáférés is biztosítható.
DirectAccess
Az UAG integráltan - a konzolon keresztül - és teljes körűen tartalmazza a Windows Server 2008 R2 DirectAccess képességét, megengedve ezt a speciális távoli elérést, de ezen is túl is mutat néhány extra képességgel:
- A Windows 2003 Server, vagy nem Windows alkalmazásszerverek IPv4-es támogatása.
- SSL VPN hozzáférés a Vista/XP, vagy nem Windows-os kliensek számára, beleértve a különböző mobil eszközöket is.
- Skálázhatóság és felügyeleti lehetőségek kibővítése a beépített NLB képességgel.