دوستان و همکاران عزیزی که جهت دسترسی به SSL بر روی پورت 443 از روی پروکسی سرور Forefront TMG مشکل دارن می تونن از نرم افزار ISAtrp برای تغییر پورت استفاده نمایند. برای دانلود نرم افزار اینجا کلیک نمایید.
سلام،
ممکنه برای شبکه تحت کنترل شما هم شرایطی از لحاظ امنیتی پیش بیاد که لازم باشه سابقه اتصالات کاربران راه دور که از طریق VPN به سرور ISA یا Forefront TMG متصل می شوند تحت قالب یک گزارش تهیه و بررسی نمایید.برای این منظور می توانید از روش زیر به منظور تهیه گزارش مورد نظر استفده کنید:
توجه : من مراحل تهیه گزارش رو در MS ISA 2006 توضیح دادم که شما می تونید مشابه همین مراحل رو از منوی Logs and Reports نرم افزار Forefront TMG دنبال کنید.
1- ابتدا پنجره ISA Management Console رو باز کنید.
2- در نود Monitoring بر روی زبانه Logging کلیک کنید :
3- در این قسمت گزارشی رو با در نظر گرفتن 2 فیلتر زیر ایجاد می کنیم:
4- بر روی عبارت Edit filter کلیک می کنیم تا بتونیم فیلترهای مورد نظرمون رو اضافه کنیم.
5- در منوی باز شده بر روی عبارت Log Time کلیک کنید و از منوی باز شو عبارت Last 30 Days رو انتخاب و بعد دکمه Update رو انتخاب کنید.
6- حالا بر روی منوی Action کلیک کنید، از منوی باز شوی Condition عبارت Equal رو انتخاب و از منوی بازشوی Value گزینه Initiated VPN Connection رو انتخاب و در آخر مجددا بر روی دکمه Update کلیک کنید.
7- در نهایت فیلتر ایجاد شده باید مثل تصویر زیر باشد :
8- حالا می تونید با کلیک بر روی دکمه Start Query ، گزارش مورد نظرتون رو تهیه کنید. در این گزارش به عنوان مثال سابقه اتصالات کاربران در 30 روز گذشته نمایش داده خواهد شد.
9- حالا اگه می خواین گزارش تهیه شده رو به فایل اکسلی تبدیل کنید کافیه تا از منوی سمت راست زیر عبارت Task، گزینه Copy All Result to Clipboard رو انتخاب کنید.
10 - و در نهایت با باز کردن یک فایل جدید در MS Excel ، اطلاعات کپی شده را Paste کنید.
خوب تا اینجا تونستید گزارش این موضوع که "در 30 روز گذشته چه کسی به شبکه متصل شده؟ " رو تهیه کنید ولی اگر بخواهید گزارشی در پاسخ به این سوال که "کاربران متصل شده، به چه منابعی در شبکه داخلی دسترسی پیدا کردند؟" تهیه کنید، باید فیلتر ایجاد شده رو به شکل زیر تغییر بدید :
11- خوب مطمئنا اگر با سیستم های فایروالی نظیر ISA,Forefront TMG یا Cisco ASA آشنایی داشته باشید قطعا می دونید که برای اینکه کاربران گروه VPN بتونن بعد از اتصال به شبکه، به منابع مجازی بر روی شبکه که شما تعیین می کنید دسترسی داشته باشند، نیاز به ایجاد یک Access Rule به شکل زیر خواهد بود :
توجه کنید که در این مثال، نام تعیین شده برای این Firewall Policy عبارت " VPN Inbound Access" می باشد.
12 - خوب حالا فیلتر تهیه شده در مرحله قبل رو بصورت زیر ویرایش کنید :
13- حالا با کلیک بر روی دکمه Start Query میتونید گزارش منابع دسترسی شده توسط کاربران VPN رو تهیه کنید.
موفق و سربلند باشید.
Microsoft Forefront TMG 2010
با سلام و عرض تبریک به مناسبت فرا رسیدن سال جدید و نوروز باستانی ایران زمین، در این بخش قصد دارم نحوه پیکربندی و بهره برداری از امکان جدید ISP Redundancy دیواره آتش Microsoft Forefront TMG 2010 رو براتون شرح بدم. این امکان جدید به شما اجازه میده تا برای تامین پهنای باند اینترنت شرکت یا سازمان خودتون از دو ISP مختلف بصورت موازی و همزمان استفاده کنید و علاوه بر اینکه سرعت دسترسی به اینترنت رو از طریق امکان Load balance افزایش میدین ، قابلیت اعتماد در دسترسی مداوم به اینترنت رو هم از طریق امکان Fail over فراهم خواهید کرد.
و اما ...
پیکربندی ISP Redundancy با قابلیت پشتیبانی از امکانات Load balance + Fail over :
مرحله اول :
ابتدا کنسول Forefront TMG Management رو باز کرده و مطابق شکل زیر بر روی نود Networking در پانل سمت چپ کنسول کلیک کنید.
مرحله دوم :
در این مرحله ویزارد پیکربندی ISP Redundancy باز شده و شما رو تا آخرین مرحله پیکربندی این امکان هدایت خواهد کرد.
در پنجره باز شده بر روی دکمه Next کلیک کنید تا وارد مرحله بعد شوید.
مرحله سوم :
در این مرحله شما دو انتخاب خواهید داشت:
1- ISP Load balancing
2- ISP Fail over
در حالت اول شما Forefront TMG رو برای حالتی پیکربندی می کنید که می خواین در آن واحد از هر دو پهنای باند اینترنتتون استفاده کنید. در این وضعیت Forefront درخواست های دسترسی به External Zone یا همون اینترنت رو به ترتیب بین دو لینک اینترنتتون تقسیم می کنه و در ضمن اگر یکی از خطوط اینترنتتون Down بشه بقیه درخواست ها رو تا Up شدن اون لینک از طریق لینک دیگه ارسال می کنه. به نظر من این بهترین انتخاب برای پیکربندی ISP Redundancy خواهد بود.
در حالت دوم شما Forefront رو در حالتی پیکربندی می کنید که همیشه یک لینک رو به عنوان لینک Primary استفاده کنه و تنها در صورتیکه این لینک Fail شد سراغ لینک بعدی بره.
مرحله چهارم :
در این قسمت من همون گزینه اول رو انتخاب می کنم و دکمه Next رو می زنم.
قبل از اینکه ادامه کار رو پیش بریم باید بریم سراغ پیکربندی تنظیمات کارت شبکه سرورمون. در این وضعیت سرور شما نیاز به 3 کارت شبکه داره که یکی از اونها به شبکه LAN متصله و دوتای دیگه هر کدوم به مودم ADSL متناظر با ISP های مختلف تامین کننده پهنای باند اینترنتتون متصل خواهند بود. روی هر کدوم از کارت شبکه ها هم با دقت تنظیمات IP ، Subnet mask ، Default Gateway و از همه مهمتر DNS متناظر با ISP مربوطه رو پیکربندی کنید و در ضمن به پیغام ویندوز مبنی بر امکان بروز اختلال در شبکه به واسطه تنطیم چند Default gateway هم توجهی نکنید. واسه هر کدوم از لینک ها هم یک نام مرتبط انتخاب کنید تا در مرحله بعدی دچار سردرگمی نشید.
خوب به کنسول مدیریتی Forefront برگردید. دکمه Next رو انتخاب کنید تا پنجره زیر رو مشاهده کنید.
در این مرحله باید تنظیمات مربوطه به ISP شماره 1 رو به Forefront معرفی کنید. در این مثال عبارات EXTERN و INTERN نام کارت شبکه های متصل به مودم های ADSL هستند که ابتدا اولین نام رو به عنوان اولین ISP انتخاب می کنیم. (در اینجا EXTERN)
در این قسمت با انتخاب نام ISP نرم افزار Forefront تنظیمات کارت شبکه متناظر با این لینک رو نشان خواهد داد. البته این اطلاعات در مرحله بعد قابل ویرایش خواهند بود.
دکمه Next رو انتخاب کنید تا به برحله بعد بروید.
این همون پنجره ای هست که شما می تونید تنظیمات کارت شبکه متناظر با هر ISP رو مجدد ویرایش کنید.
نکته کلیدی در این قسمت انتخاب صحیح DNS متناظر با هر ISP خواهد بود. در حقیقت Forefront با انتخاب و تغییر آدرس DNS برای هر درخواست دسترسی به اینترنت و مسیریابی بر اساس این IP Address بین دو پهنای باند در دسترس عملیات Load balance انجام خواهد داد.
بر روی دکمه Next کلیک و به مرحله بعد برید.
در این قسمت Forefront بر اساس اطلاعات وارد شده نسبت به ایجاد اطلاعات مسیریابی مناسب در Routing table اقدام خواهد کرد. دکمه OK رو کلیک کنید تا وارد مرحله بعدی شوید.
مشابه مرحله قبل نسبت به پیکربندی تنظیمات ISP دوم اقدام کنید تا وارد مرحله نهایی شوید.
مرحله آخر :
این قسمت آخرین مرحله از تنظیمات ISP Redundancy خواهد بود. مطابق شکل زیر در این قسمت قادر خواهید بود تا نحوه توزیع در خواست های دسترسی به اینترنت را بر روی لینک های مختلف مشخص کنید. به عنوان مثال اگر پهنای باند یکی از ISP ها دو برابر ISP دیگه باشه می تونید با لغزاندن ولوم مشخص شده در تصویر زیر Forefront رو مجبور به استفاده بیشتر از این لینک کنید.
با انتخاب دکمه Next عملیات پیکربندی ISP Redundancy پایان خواهد یافت.
موفق و پیروز باشید.
پیغام خطای گزارش شده توسط Forefront TMG 2010 :
Denied Connection
Log type: Firewall service
Status: A packet was dropped because Forefront TMG determined that the source IP address is spoofed.
شرح ماجرا و نحوه عکس العمل Forefront TMG در مقابل Spoofed Packets :
مکانیزم دفاعی سیستم فایروال Microsoft Forefront به نحوی است که اگر یک بسته اطلاعات با سورس IP مربوط به یکی از رنج شبکه های سگمنت Internal بر روی کارت شبکه متصل به شبکه External دریافت شود انتظار میرود که این بسته اطلاعات از جانب فایروال Drop شود. شیوه تحلیل سیستم IDS سرور Forefront به منظور تشخیص معتبر بودن یک بسته دریافتی بصورت زیر است به عبارت دیگر یک بسته اطلاعات معتبر است اگر دارای دو شرط زیر باشد:
· The IP address is included in the IP address ranges assigned to the network of the network adapter through which it was received.
· The routing table indicates that traffic destined to that address can be routed through a network adapter belonging to that network.
در صورتیکه Source IP بسته دریافتی از سوی Forefront بر اساس دو قانون فوق معتبر شناخته نشود، Forefront بسته دریافتی را Drop نموده و با صدور یک Event نسبت به ایجاد یک گزارش از نوع IP Spoofing alert اقدام خواهد نمود.
در سناریویی که من تجربه کردم، سرور Forefront به عنوان VPN Server پیکربندی شده بود و با وجود اینکه کاربران VPN در لحظات ابتدایی راه اندازی سرور همانطور که انتظار می رفت به اینترنت دسترسی داشتند اما پس از گذشت چند لحظه تمامی بسته های ارسال شده توسط کاربران VPN توسط سرور فایروال Drop می شدند.
راه حل :
با مشاهده گزارشSpoofing توسط سرور Forefront TMG اولین قدم حصول اطمینان از این موضوع است که رنج IP تنظیم شده برای VPN Client ها با رنج IP شبکه Internal یا Perimeter همپوشانی (Overlap) نداشته باشد.
دومین موردی که می تواند بصورت ناخواسته باعث وقوع این وضعیت نامطلوب در عملکرد Forefront شده باشد ، عدم تنظیم Default Gateway بر روی حداقل یکی از کارت شبکه های مربوط به سرور Forefront است و دقیقا مشکل بوجود آمده برای من نیز همین مطلب بود. دلیل اینکه من تنظیمات Default Gateway را بر روی سرور انجام نداده بودم این بود که نحوه دسترسی سرور Forefront در سناریوی مورد بحث من از طریق یک مودم ADSL محقق می گردید که به دلیل موارد امنیتی آن را در مود Bridge پیکربندی کرده بودم. بنابر این دسترسی به اینترنت از طریق یک اتصال از نوع PPOE بر روی سرور بر قرار می شد. لذا با وجود این مطلب نیازی به تنظیم Default Gateway بر روی کارت شبکه متصل به مودم نبود اما همین مطلب باعث ایجاد رفتار نامطلوب در نحوه عملکرد سیستم IDS سرور Forefront شده بود.
موفق و پیروز باشید (;
آشنایی با قابلیت ها و بررسی نرم افزار امنیتی
Microsoft Forefront TMG 2010
فهرست :
======================================================
1- چکیده
در این مستند، ابتدا نرم افزار MS Forefront TMG معرفی می شود. سپس ویژگی ها، ابزارها، نحوه مدیریت، ساختار اصلی، معماری و نحوه عملکرد آن مورد بررسی قرار می گیرد. مهمترین توانایی های این نرم افزار امنیتی به شرح موارد زیر است:
http, https, ftp, yahoo messenger, Skype, .pdf, .swf, .GIF, .jpeg, .mp3, .avi, …