PsY-workspace ISA/TMG Server

Läste igår på min kollegas blogg (itblogg.aafloen.se) att Microsoft hade släppt en beta av nya antiviruset med arbetsnamn “Morro” .

Det här är en ersättare för Microsoft Live OneCare som var ett antivirus (enbart nåbart för vissa länder), det är alltså ett antivirus för privatpersoner och kan inte manageras centralt. Alltså inte en ersättare till Forefront Client som för övrigt kommer med en version 2 inom kort, vilket kommer vara mer integrerat i Stirling.

En sak som MSE har och som vi saknar i FCS är det här:

Högerklick och scanning direkt i en mapp…
Å andra sidan finns det en anledning att inte Forfront Client har det än som har med säkerhetsklassning att göra. Det medför stora risker att implementera den här typen av tjänst vilket jag inte kommer gå in på nu. Jo, jag vet att andra antivirus har det, vilket kanske säger mer om dessa än om Forfront Client ;)

I övrigt är MSE väldigt simpelt och användarvänligt men saknar “Software Explorer” och andra fina finesser som finns i Forefront Client.

Efter att ha testat av URL filtreringen i TMG Beta 3 har jag kommit fram till några slutsatser.

TMG klarar av att kategorisera URLer både för SecureNAT och proxy klienter!

För en NATad klient sker namnuppslagningen lokalt mellan klient och DNS, klienten efterfrågar sedan efter information baserat på IP till TMG Servern, därav skulle det kunna blir problem att filtrera på URL. TMG löser detta genom att göra en namnuppslagning på klientens IP förfrågan.

Min labb miljö:
DNS 192.168.168.10     -     TMG 192.168.168.1    -     INTERNET

En network monitor logg  från TMG ser ut enligt nedan:

1    192.168.168.1     192.168.168.10    DNS    (Standard query), Query  for 14.113.248.87.in-addr.arpa of type PTR on class Internet
2    192.168.168.10    ns2.yahoo.com   DNS    QUERY Query  for 14.113.248.87.in-addr.arpa of type PTR on class Internet
3    ns2.yahoo.com   192.168.168.10    DNS    QUERY Response - Success, Array
4    192.168.168.10    192.168.168.1      DNS    QUERY, Response – Success

Allt lirar perfekt och jag förväntar mig då också att TMG Serverns loggar och rapporter fylls upp med korrekt URL på varje förfrågan även för NATade klienter, vilket har varit en brist i ISAns rapportering. Dock blev det en besvikelse, enbart proxyklienter fyller rapporter och loggar med snygga listor på besökta webbplatser. NATade klienter visar enbart på IP precis som vanligt, vilket är konstigt då TMG har informationen. Jag har ställt frågan till utvecklingsteamet och hoppas innerligt att det här blir löst till skarp release.

I övrigt är det en fröjd att jobba i nya TMG och jag ser fram emot att få tid över att hårdtesta Intrution Prevention System (IPS)

En efterlängtad funktion som jag velat blogga om länge har äntligen blivigt offentlig.
URL Filtrering kommer vara en inbyggd funktion i Forefront Threat Managemt Gateway (TMG) och vi kan säga farväl till ännu några tredjepartsleverantörer.
TMG kommer ha full koll på om sidan du surfar till hör till News, Pornography, Violence o.s.v.

Genom den här funktionen kommer du att få enorma möjligheter att styra surftrafiken. Exempel att enbart tillåta nyhetssidor under lunchtid, förhindra ”Nudity” för en grupp av unga användare och stoppa pornografi för alla. Möjligheterna är många, en annan vanlig konfiguration kommer vara att man aktiverar ”HTTPS inspection” för alla kategorier utom Bank och vårdsidor.
Oavsett vilka regler du sätter upp kommer du få bättre rapporter över proxytrafiken där du ser belastningen över dessa kategorier.

I slutet på förra året träffade jag en av TMG-utvecklarna och fick se den här funktionen, jag var då tvungen att testa hur ”Sverige-vänlig” funktionen var, genom att testa en liten värmländsk tidning (vf.se) och den markerades som ”Newspaper”. Jag vågar dock inte lova att den lösningen jag fick se under NDA är samma som kommer i den skarpa versionen. Det sägs dock bli tredje gången gillt, att URL filtreringen finns med i Beta 3 av TMG :)

Funktionsmässigt slår TMG mot en onlinetjänst hos Microsoft och cachar lokalt. Du kan inte titta i listan, men göra uppslag mot den för att se vad den kategoriserar en viss URL som. Med hjälp av såkallade ”Overrides” kan du ta bort och lägga till URL från en viss kategori.

Jag tror inte att jag är ensam om att vänta på den här produkten!

En ny version av verktyget ISABPA har nu släppts, det fungerar från ISA 2004 till TMG Business Edition.
Produkten skapades från början för att underlätta för Microsofts Support avdelning som skall kunna ge support över hela världen och behövde på ett snabbt sätt få information om en ISA installation. Det har nu byggts på och innehåller kontroller av din uppsättning som jämnförs med Microsoft Best Practice. Tack vare vanliga fel som kommer in till supporten och felrapporter som skickas in av användare runt om världen växer information och förhindrar mer och mer felkonfigurationer.
Ta chansen och få gratis översyn av din ISA!
Snabblänk http://isabpa.com

Jag kan varmt rekommendera den färdiga labb och demo-miljön på Forefront Stirling Beta 2 från Microsoft. Färdiga VHD (Virtual Hard Disks) som du enkelt tar in i din HyperV miljö. Kravet är dock att du har en 64bitars host då alla server-roller är 64 bitars. Jag sitter enbart med 4Gb i ram, kunde ha 3-4 maskiner som högst igång efter att ha minskat minne för en del maskiner. Det gäller dock att ha tålamod och inte vara allt för stressad, soffläge med datorn i knät framför tv var perfekt :)

http://technet.microsoft.com/en-us/evalcenter/cc339029.aspx

Naturligtvis prioriterade jag att testa Forefront Threat Managemt Gateway (TMG) till en början.

HTTPS inspektion

En funktion som fått många säkerhetsmedvetna att rynka på näsan men efter en stunds fundering kommit på andra tankar. En krypterad SSL tunnel är ju trots allt det bästa sättet för en hacker att jobba ostört utan att brandväggsadministratören har en aning om vad som sker.

När klienten frågar efter https sida upprättas en SSL session mellan webbservern och TMG, trafiken dekrypteras och inspekteras för att sedan krypteras på nytt och skickas i en ny SSL tunnel till klienten. SSL sessionen mellan TMG och klienten bygger på en intern certifikatlösning.
Antingen kör du med din egen CA lösning eller så använder du TMG selfsigned certifikat. Du genererar enkelt ett nytt certifikat från "HTTPS Outbound Inspection" wizarden. Det krävs dock att du installlerar root certifikatet i den lokala storen "Trusted Root Certification Authorities" på TMG Servern (vilket du klart och tydligt informeras om).
För att klienterna i sin tur skall lita på ISAns certifikat måste root certifikatet även installeras på klienterna, enklast görs detta via Active Directrory. Wizarden ger dig möjlighet att automatiskt skapa en Grupp Policy som löser detta och du kan även göra det manuellt om AD saknas.
Under beta perioden måste du själv mata in de siter som inte skall inspekteras. Den färdiga produkten hoppas jag innehåller URL kategorisering där du enbart väljer att exempelvis undanta banksidor.
Microsofts egna URLer är de enda som är exkluderade som standard :)

OBSERVERA! Se till att "Client Notification" är påslaget. Risken att bli stämd för att ha inspekterad krypterad trafik utan att ha informerad användarna är överhängande!

IPS

Enormt underbart, det är precis det här jag hoppats på. En Intrution Prevention System funktion med fördefinierade definitioner på vanliga typer av attacker. Här syns vilka bulletiner som definitionen hör till.
Som standard är definitionerna enbart inställda på att larma, larmen syns i TMG konsollen men skickar även uppgifterna till Forefront (stirling) konsolen. Några enkla klick så blockeras även attacken utan user-attention.

  
Exempelvis den här signaturen som då känner av en remote code exekvering i ett ActiveX objekt.

E-mail protection

En efterlänktad funktion där vi lägger mailscanning och SPAM filtret direkt på ISA servern med samma funktionalitet som vi haft i Forefront for Exchange. Även här väljer du ut vilka externa antivirusmotor du vill använda för att ta så mycket malware som möjligt. En funktionsrik SPAM funktion med allt man önskar sig.