انجمن مدیران و راهبران شبکه

انجمن مدیران و راهبران شبکه

Network Managers and Administrators
انجمن مدیران و راهبران شبکه

انجمن مدیران و راهبران شبکه

Network Managers and Administrators

ISAtrpe - ابزار لازم جهت تغییر پورت 443 در Forefront TMG 2010


دوستان و همکاران عزیزی که جهت دسترسی به SSL بر روی پورت 443  از روی پروکسی سرور Forefront TMG مشکل دارن می تونن از نرم افزار ISAtrp برای تغییر پورت استفاده نمایند. برای دانلود نرم افزار اینجا کلیک نمایید.

نحوه تهیه گزارش از سابقه اتصال کاربران VPN بر روی سرور Forfront TMG

سلام،

ممکنه برای شبکه تحت کنترل شما هم شرایطی از لحاظ امنیتی پیش بیاد که لازم باشه سابقه اتصالات کاربران راه دور که از طریق VPN به سرور ISA یا Forefront TMG متصل می شوند تحت قالب یک گزارش تهیه و بررسی نمایید.برای این منظور می توانید از روش زیر به منظور تهیه گزارش مورد نظر استفده کنید:


توجه : من مراحل تهیه گزارش رو در MS ISA 2006 توضیح دادم که شما می تونید مشابه همین مراحل رو از منوی Logs and Reports نرم افزار Forefront TMG دنبال کنید.


1- ابتدا پنجره ISA Management Console رو باز کنید.




2- در نود Monitoring  بر روی زبانه Logging کلیک کنید :



3- در این قسمت گزارشی رو با در نظر گرفتن 2 فیلتر زیر ایجاد می کنیم:

  • Logging Last 30 Days
  • Action Equals Initiated VPN Connection

4- بر روی عبارت Edit filter کلیک می کنیم تا بتونیم فیلترهای مورد نظرمون رو اضافه کنیم.


5- در منوی باز شده بر روی عبارت Log Time کلیک کنید و از منوی باز شو عبارت Last 30 Days رو انتخاب و بعد دکمه Update رو انتخاب کنید.



6- حالا بر روی منوی Action کلیک کنید، از منوی باز شوی Condition عبارت Equal رو انتخاب و از منوی بازشوی Value گزینه Initiated VPN Connection رو انتخاب و در آخر مجددا بر روی دکمه Update کلیک کنید.



7- در نهایت فیلتر ایجاد شده باید مثل تصویر زیر باشد :



8- حالا می تونید با کلیک بر روی دکمه Start Query ، گزارش مورد نظرتون رو تهیه کنید. در این گزارش به عنوان مثال سابقه اتصالات کاربران در 30 روز گذشته نمایش داده خواهد شد.



9- حالا اگه می خواین گزارش تهیه شده رو به فایل اکسلی تبدیل کنید کافیه تا از منوی سمت راست زیر عبارت Task، گزینه Copy All Result to Clipboard رو انتخاب کنید.


 

10 - و در نهایت با باز کردن یک فایل جدید در MS Excel ، اطلاعات کپی شده را Paste  کنید. 



خوب تا اینجا تونستید گزارش این موضوع که "در 30 روز گذشته چه کسی به شبکه متصل شده؟ " رو تهیه کنید ولی اگر بخواهید گزارشی در پاسخ به این سوال که "کاربران متصل شده، به چه منابعی در شبکه داخلی دسترسی پیدا کردند؟" تهیه کنید، باید فیلتر ایجاد شده رو به شکل زیر تغییر بدید :


11- خوب مطمئنا اگر با سیستم های فایروالی نظیر ISA,Forefront TMG یا Cisco ASA آشنایی داشته باشید قطعا می دونید که برای اینکه کاربران گروه VPN بتونن بعد از اتصال به شبکه، به منابع مجازی بر روی شبکه که شما تعیین می کنید دسترسی داشته باشند، نیاز به ایجاد یک Access Rule به شکل زیر خواهد بود :



توجه کنید که در این مثال، نام تعیین شده برای این Firewall Policy عبارت " VPN Inbound Access" می باشد.


12 - خوب حالا فیلتر تهیه شده در مرحله قبل رو بصورت زیر ویرایش کنید :


13- حالا با کلیک بر روی دکمه Start Query میتونید گزارش منابع دسترسی شده توسط کاربران VPN رو تهیه کنید.




موفق و سربلند باشید.

پیکربندی امکان load balance و ISP Failover در Forefront TMG 2010

Configuration of ISP Redundancy

Microsoft Forefront TMG 2010



با سلام و عرض تبریک به مناسبت فرا رسیدن سال جدید و نوروز باستانی ایران زمین، در این بخش قصد دارم نحوه پیکربندی و بهره برداری از امکان جدید ISP Redundancy دیواره آتش Microsoft Forefront TMG 2010  رو براتون شرح بدم. این امکان جدید به شما اجازه میده تا برای تامین پهنای باند اینترنت شرکت یا سازمان خودتون از دو ISP مختلف بصورت موازی و همزمان استفاده کنید و علاوه بر اینکه سرعت دسترسی به اینترنت رو از طریق امکان Load balance افزایش میدین ، قابلیت اعتماد در دسترسی مداوم به اینترنت رو هم از طریق امکان Fail over فراهم خواهید کرد.


و اما ...


پیکربندی ISP Redundancy با قابلیت پشتیبانی از امکانات Load balance + Fail over :


مرحله اول : 

ابتدا کنسول Forefront TMG Management رو باز کرده و مطابق شکل زیر بر روی نود Networking در پانل سمت چپ کنسول کلیک کنید.




مرحله دوم : 

در این مرحله ویزارد پیکربندی ISP Redundancy باز شده و شما رو تا آخرین مرحله پیکربندی این امکان هدایت خواهد کرد.



در پنجره باز شده بر روی دکمه Next کلیک کنید تا وارد مرحله بعد شوید.


مرحله سوم :

در این مرحله شما دو انتخاب خواهید داشت:

1- ISP Load balancing

2- ISP Fail over




در حالت اول شما Forefront TMG رو برای حالتی پیکربندی می کنید که می خواین در آن واحد از هر دو پهنای باند اینترنتتون استفاده کنید. در این وضعیت Forefront درخواست های دسترسی به External Zone یا همون اینترنت رو به ترتیب بین دو لینک اینترنتتون تقسیم می کنه و در ضمن اگر یکی از خطوط اینترنتتون Down بشه بقیه درخواست ها رو تا Up شدن اون لینک از طریق لینک دیگه ارسال می کنه. به نظر من این بهترین انتخاب برای پیکربندی ISP Redundancy خواهد بود.

در حالت دوم شما Forefront رو در حالتی پیکربندی می کنید که همیشه یک لینک رو به عنوان لینک Primary استفاده کنه و تنها در صورتیکه این لینک Fail شد سراغ لینک بعدی بره.


مرحله چهارم :

در این قسمت من همون گزینه اول رو انتخاب می کنم و دکمه Next رو می زنم.


قبل از اینکه ادامه کار رو پیش بریم باید بریم سراغ پیکربندی تنظیمات کارت شبکه سرورمون. در این وضعیت سرور شما نیاز به 3 کارت شبکه داره که یکی از اونها به شبکه LAN متصله و دوتای دیگه هر کدوم به مودم ADSL متناظر با ISP های مختلف تامین کننده پهنای باند اینترنتتون متصل خواهند بود. روی هر کدوم از کارت شبکه ها هم با دقت تنظیمات IP ، Subnet mask ، Default Gateway و از همه مهمتر DNS متناظر با ISP مربوطه رو پیکربندی کنید و در ضمن به پیغام ویندوز مبنی بر امکان بروز اختلال در شبکه به واسطه تنطیم چند Default gateway هم توجهی نکنید. واسه هر کدوم از لینک ها هم یک نام مرتبط انتخاب کنید تا در مرحله بعدی دچار سردرگمی نشید.


خوب به کنسول مدیریتی Forefront برگردید. دکمه Next رو انتخاب کنید تا پنجره زیر رو مشاهده کنید.


در این مرحله باید تنظیمات مربوطه به ISP شماره 1 رو به Forefront معرفی کنید. در این مثال عبارات EXTERN و INTERN نام کارت شبکه های متصل به مودم های ADSL هستند که ابتدا اولین نام رو به عنوان اولین ISP انتخاب می کنیم. (در اینجا EXTERN)

 در این قسمت با انتخاب نام ISP نرم افزار Forefront تنظیمات کارت شبکه متناظر با این لینک رو نشان خواهد داد. البته این اطلاعات در مرحله بعد قابل ویرایش خواهند بود.


دکمه Next  رو انتخاب کنید تا به برحله بعد بروید.



این همون پنجره ای هست که شما می تونید تنظیمات کارت شبکه متناظر با هر ISP رو مجدد ویرایش کنید.


نکته کلیدی در این قسمت انتخاب صحیح DNS متناظر با هر ISP خواهد بود. در حقیقت Forefront با انتخاب و تغییر آدرس DNS برای هر درخواست دسترسی به اینترنت و مسیریابی بر اساس این IP Address بین دو پهنای باند در دسترس عملیات Load balance انجام خواهد داد.


بر روی دکمه Next کلیک و به مرحله بعد برید.



در این قسمت Forefront بر اساس اطلاعات وارد شده نسبت به ایجاد اطلاعات مسیریابی مناسب در Routing table اقدام خواهد کرد. دکمه OK رو کلیک کنید تا وارد مرحله بعدی شوید.


مرحله پنجم :


مشابه مرحله قبل نسبت به پیکربندی تنظیمات ISP دوم اقدام کنید تا وارد مرحله نهایی شوید.


مرحله آخر :


این قسمت آخرین مرحله از تنظیمات ISP Redundancy خواهد بود. مطابق شکل زیر در این قسمت قادر خواهید بود تا نحوه توزیع در خواست های دسترسی به اینترنت را بر روی لینک های مختلف مشخص کنید. به عنوان مثال اگر پهنای باند یکی از ISP ها دو برابر ISP دیگه باشه می تونید با لغزاندن ولوم مشخص شده در تصویر زیر Forefront رو مجبور به استفاده بیشتر از این لینک کنید.




با انتخاب دکمه Next عملیات پیکربندی ISP Redundancy پایان خواهد یافت.


موفق و پیروز باشید.




راه حل مشکل عدم دسترسی به شبکه در Microsoft Forefront TMG 2010





پیغام خطای گزارش شده توسط  Forefront TMG 2010 :


Denied Connection

Log type: Firewall service

Status: A packet was dropped because Forefront TMG determined that the source IP address is spoofed.



Iman Mojtahedin Yazdi - Forefront TMG 2010 - IP Spoofing




شرح ماجرا و نحوه عکس العمل Forefront TMG در مقابل Spoofed Packets :


مکانیزم دفاعی سیستم فایروال Microsoft Forefront به نحوی است که اگر یک بسته اطلاعات با سورس IP مربوط به یکی از رنج شبکه های سگمنت Internal بر روی کارت شبکه متصل به شبکه External دریافت شود انتظار میرود که این بسته اطلاعات از جانب فایروال Drop شود. شیوه تحلیل سیستم IDS سرور Forefront به منظور تشخیص معتبر بودن یک بسته دریافتی بصورت زیر است به عبارت دیگر یک بسته اطلاعات معتبر است اگر دارای دو شرط زیر باشد:

· The IP address is included in the IP address ranges assigned to the network of the network adapter through which it was received.

· The routing table indicates that traffic destined to that address can be routed through a network adapter belonging to that network.


در صورتیکه Source IP بسته دریافتی از سوی Forefront بر اساس دو قانون فوق معتبر شناخته نشود، Forefront بسته دریافتی را Drop نموده و با صدور یک Event نسبت به ایجاد یک گزارش از نوع IP Spoofing alert  اقدام خواهد نمود.


در سناریویی که من تجربه کردم، سرور Forefront  به عنوان VPN Server پیکربندی شده بود و با وجود اینکه کاربران VPN در لحظات ابتدایی راه اندازی سرور همانطور که انتظار می رفت به اینترنت دسترسی داشتند اما پس از گذشت چند لحظه تمامی بسته های ارسال شده توسط کاربران VPN توسط سرور فایروال Drop می شدند.


راه حل :


با مشاهده گزارشSpoofing توسط سرور Forefront TMG  اولین قدم حصول اطمینان از این موضوع است که رنج IP تنظیم شده برای VPN Client ها با رنج IP شبکه Internal یا Perimeter همپوشانی (Overlap) نداشته باشد.

دومین موردی که می تواند بصورت ناخواسته باعث وقوع این وضعیت نامطلوب در عملکرد Forefront شده باشد ، عدم تنظیم Default Gateway بر روی حداقل یکی از کارت شبکه های مربوط به سرور Forefront است و دقیقا مشکل بوجود آمده برای من نیز همین مطلب بود. دلیل اینکه من تنظیمات Default Gateway را بر روی سرور انجام نداده بودم این بود که نحوه دسترسی سرور Forefront در سناریوی مورد بحث من از طریق یک مودم ADSL محقق می گردید که به دلیل موارد امنیتی آن را در مود Bridge پیکربندی کرده بودم. بنابر این دسترسی به اینترنت از طریق یک اتصال از نوع PPOE بر روی سرور بر قرار می شد. لذا با وجود این مطلب نیازی به تنظیم Default Gateway بر روی کارت شبکه متصل به مودم نبود اما همین مطلب باعث ایجاد رفتار نامطلوب در نحوه عملکرد سیستم IDS سرور Forefront شده بود.


موفق و پیروز باشید (;

آشنایی با قابلیت ها و بررسی نرم افزار امنیتی MS Forefront TMG

آشنایی با قابلیت ها و بررسی نرم افزار امنیتی

Microsoft Forefront TMG 2010




فهرست :

  1. چکیده
  2. واژه های کلیدی
  3. مقدمه
  4. معرفی نرم افزار MS Forefront TMG
  5. معرفی امکانات و قابلیت های نرم افزار امنیتی MS Forefront TMG
  6. نهانگاه (Cache)
  7. محیط چند شبکه ای (Multi-Network)
  8. دیواره آتش (Firewall)
  9. مقایسه سیستم فایروالینگ MS Forefront با فایروال های سخت افزاری
  10. انتشار سرویس(Service Publishing)
  11. تهدیدها و معایب


======================================================

1-  چکیده

در این مستند، ابتدا نرم افزار MS Forefront TMG معرفی می شود. سپس ویژگی ها، ابزارها، نحوه مدیریت، ساختار اصلی، معماری و نحوه عملکرد آن مورد بررسی قرار می گیرد. مهمترین توانایی های این نرم افزار امنیتی به شرح موارد زیر است:

  • دیواره آتش با قابلیت فیلترینگ در تمام لایه های هفت گانه شبکه (State-full Firewall)
  • پراکسی (Proxy Server)
  • تعادل بار ترافیک شبکه (Network Load Balance)
  • نهان سازی اطلاعات عبوری (Server Cache)
  • مسیریابی بین سگمنت های شبکه (Network Routing)
  • پشتیبانی از شبکه های خصوصی مجازی (VPN Server)
  • ثبت عملکرد کاربران و گزارش آن
  • مشاهده و نظارت بر فعالیت کاربران
  • امکان اعمال سیاست های مدیریتی در خصوص دسترسی کاربران به اینترنت بر اساس نام های کاربری و گروه های موجود در دامین، نوع محتوی، میزان پهنای باند مصرفی، زمان دسترسی و ...
  • ایجاد و مدیریت DMZ
  • ایجاد مرکز احراز هویت کاربران (CA)
  • امکان کنترل و مدیریت محتوای ترافیک عبوری بر اساس نوع نرم افزار و داده و یا مشخصات سرویس دهنده مانند :

http, https, ftp, yahoo messenger, Skype, .pdf, .swf, .GIF, .jpeg, .mp3, .avi, …

ادامه مطلب ...