Пояснення режиму блокування брандмауера Microsoft Forefront TMG

Перш ніж почати читати цю статтю, зверніть увагу, що Microsoft Forefront TMG (Threat Management Gateway) все ще знаходиться на стадії бета версії, і що-небудь може змінитися в кінцевій версії Microsoft Forefront TMG.

Також слід враховувати, що багато з цієї статті можна застосувати до ISA Server 2004 та ISA Server 2006, оскільки режим блокування брандмауера (Firewall Lockdown mode) практично однаковий у всіх версіях. Лише функція черг логів (TMG Log queue) доступна лише у Forefront TMG.

Перше питання, яке ви можете поставити, звучатиме так: що таке режим блокування брандмауера Firewall Lockdown Mode? Відповідь проста. Усі версії ISA Server мають функцію, яка відключає службу брандмауера ISA Server Firewall, коли запис логів із ISA у місце призначення переривається. Це також стосується Microsoft Forefront TMG, за винятком того, що TMG йде з новою версією, що розширює можливості режиму блокування, ця функція називається функцією черг логів (Log queue feature). Трохи пізніше у цій статті я розповім докладніше про цю функцію.

Наступне питання, яке ви можете поставити, буде: Для чого ISA/TMG оснащені функцією блокування брандмауера хіба вона не перешкоджає продуктивності?

Ні, не перешкоджає. Критичною функцією TMG є реагування на атаки. Якщо є атака, логи TMG будуть заповнюватися і заповнюватися, і заповнюватися, знадобиться лише нетривалий час після того, як TMG перезапише більш старі журнали, і якщо ви проаналізуєте атаку після її завершення, ви не знайдете жодної інформації в журналі реєстрації подій (лозі) про атакуючому. Ця та деякі інші ситуації є причиною, через яку TMG включається в режимі блокування брандмауера, коли запис логів переривається,крім нової функції черги логов.

Forefront TMG намагається поєднувати необхідність у непідключеному TMG Server до інтернету під час збоїв запису логів із необхідністю адміністраторів TMG віддалено адмініструвати машину по довіреній локальній мережі LAN.

Коли Forefront TMG входить у режим блокування, відбувається таке:

  • Подія запускає попередження для вимкнення служби брандмауера. Можна задавати інші дії, коли TMG не може записати журнали на місце призначення.
  • Вимкнення брандмауера записується у розділі попередження у функції моніторингу Microsoft Forefront TMG.

Коли TMG працює в режимі блокування, застосовуються такі функції:

FWENG.SYS (драйвер фільтрації пакетів Kernel Mode) застосовується до політики брандмауера.

Вихідний трафік із мережі LOCAL HOST у всі мережі дозволено.

Наступні правила системної політики дозволяють вхідний трафік у мережу LOCAL HOST, якщо адміністратор TMG не відключив її:

  • Дозволити дистанційне керування з вибраних комп'ютерів за допомогою консолі MMC.
  • Дозволити дистанційне керування з вибраних комп'ютерів за допомогою сервера терміналу (Terminal Server).
  • Дозволити DHCP відповіді з серверів DHCP на Forefront TMG.
  • Дозволити ICMP (PING) запити з вибраних комп'ютерів на Forefront TMG.
  • Клієнти віддаленого доступу VPN не можуть отримати доступ до Forefront TMG. Також доступ не надається до віддалених мереж сайтів у сценаріях сайту до сайту VPN.

DHCP (Dynamic Host Configuration Protocol) трафік завжди дозволено. DHCP запити на порт 67 UDP дозволено з мережі LOCAL HOST усім мережам, а також DHCP відповіді на порт UDP 68.

Будь-які зміни цієї конфігурації мережі, внесені в режимі блокування,застосовуються лише після того, як служба брандмауера перезапущена та Forefront TMG виходить з режиму блокування. Forefront TMG не генерує жодних попереджень.

Вихід із режиму блокування

Вихід із режиму блокування брандмауера є простим. Вам потрібно лише перезапустити службу брандмауера. Це автоматично виводить брандмауер із режиму блокування та повертає TMG до нормального робочого стану. Будь-які зміни в конфігурації Forefront TMG застосовуються після виходу з режиму блокування.

Великі черги запису логів

LLQ (Large Logging Queue) – це нова функція в Microsoft Forefront TMG, яка допомагає знизити кількість разів, коли TMG входить у режим блокування брандмауера через збої запису логів. LLQ є локальною директорією логів на сервері TMG Server, яка використовується для збереження записів логів TMG, коли TMG не може записувати їх у цільовий каталог ' за замовчуванням у версію SQL Server Express.

LLQ містить два основних компоненти, які працюють у режимі Kernel з TMG (FWENG.SYS) та у режимі Користувач (User (Dispatcher)). Процес в режимі користувача лише читає дані з жорсткого диска, а в режимі Kernel процес Fweng робить запис на жорсткий диск.

У наступній схемі показані компоненти, які використовуються функцією Large Logging Queue.

Рисунок 1: Нова функція черг логів

LLG зберігається в оперативній пам'яті та на жорсткому диску. Якщо диспетчер (компонент читання) не бачить затримок у записі журналів, дані логів безпосередньо записуватимуться до бази даних журналів реєстрації. Можна налаштувати тривалість та кількість даних, які можуть бути у пам'яті за допомогою системного реєстру. Є два параметри реєстру, що настроюються:

Нотатка :Компанія Microsoft відкрито не рекомендує змінювати ці параметри без звернення на підтримку Microsoft PSS!

Можна налаштувати папку Log Queue Storage у консолі TMG Management у закладці Журнали та звіти (Logs & Reports). Можна використовувати папку Стандартні (Standard) у каталозі установки TMG або іншу директорію на сервері TMG Server. Якщо ви використовуєте свою папку, вона повинна існувати до того, як ви зміните директорію LLQ цим шляхом.

режиму

Малюнок 2: Папка зберігання черги логів

У цій закладці консолі TMG Management можна переглядати статус логів LLQ. Черга логів має бути порожньою, коли запис логів здійснюється коректно.

режиму

Малюнок 3: Відображення черги логів Forefront TMG

Обслуговування файлів логів

Під час атаки на ваш сервер TMG Server або внутрішню мережу кількість записів у журналах значно збільшується, саме тут і починається проблема. Якщо запис логів TMG Server дає збій, генерується стандартне повідомлення про помилку запису логів, що відключає службу брандмауера Microsoft TMG і вводить TMG Server в режим блокування. Така поведінка є чудовою відправною точкою для атак з порушення нормального обслуговування (Denial of Service attacks – DoS).

Для зниження потенційного ризику порушення запису логів можна оптимізувати систему в декількох місцях:

  • Використовуйте службу дефрагментації диска для оптимізації доступу до читання та запису на жорсткому диску
  • Використовуйте швидку та надійну систему
  • Оптимізуйте дані логів
  • Потрібно знати, для яких правил брандмауера ви включаєте службу запису логів
  • Також слід розуміти, які поля SQL потрібно реєструвати в логах. Можна налаштувати поля логів увластивості ведення логів у брандмауері (дивіться малюнок 4 для додаткової інформації)
  • Створіть заперечне правило з відключеною функцією ведення логів, яке відсіює непотрібний трафік, такий як NetBIOS і DHCP, що заповнює файли логів цією непотрібною інформацією
  • Налаштуйте папки логів брандмауера та веб-проксі сервера на різних дисках.
  • Якщо ви використовуєте службу ведення логів SQL, змініть розмір файлу або відсоток зростання файлів для бази даних логів.

На наступному малюнку показані властивості служби запису логів брандмауера:

пояснення

Рисунок 4: Служба ведення логів SQL Express

Зниження ризику схильності до лавинних атак

Починаючи з ISA Server 2000, компанія Microsoft застосувала деякі рудиментарні функції антиспуфінгу та визначення вторгнень. У ISA Server 2004 було представлено додаткові функції виявлення атак вторгнення. У ISA Server 2006 було додано деякі методики боротьби зі спамом. Нові технології були включені в налаштування захисту від лавинних атак (Flood Mitigation) та повинні допомогти у захисті від загроз. За допомогою цих налаштувань можна знизити кількість генерованих записів логів. Захист від лавинних атак повинен налаштовуватись залежно від ваших потреб, а вам слід постійно стежити за оновленням цих параметрів.

Оповіщення запису логів TMG

У закладці Моніторинг у консолі TMG Management можна налаштувати оповіщення для всіх повідомлень TMG і в цьому випадку для помилки запису логів. У закладці дій сповіщень можна зупинити службу брандмауера. Це стандартний параметр Microsoft Forefront TMG.

Малюнок 5: Forefront TMG ' дії при помилці лога

Симуляція збоїв запису логів

Для симуляції помилки запису логів вампотрібно лише зупинити службу Microsoft SQL Server Express, і після її зупинки видно, що служба брандмауера Microsoft Firewall продовжує працювати.

пояснення

Рисунок 6: SQL Server Express Logging зупинено

Якщо перейти в закладку логів і звітів, щоб переглянути статус LLQ, ви побачите, який із журналів безперервно заповнюється.

брандмауера

Рисунок 7: Статус черги логів ' черга логів заповнюється

Стандартним параметром оповіщення, при якому запускається використання Log Queue, є запис звіту про це журнал реєстрації подій Windows. Вам необхідно створити тригер події (Event trigger) або щось подібне, що надсилатиме вам повідомлення про використання LLQ.

режиму

Рисунок 8: Оповіщення черги логів

Висновок

У цій статті я спробував надати вам огляд нової функції черги логів Microsoft Forefront TMG, щоб ви змогли уникнути або хоча б звести до мінімуму ситуації, в яких брандмауер входить у режим блокування під час переривання запису логів. Я також надав вам огляд механізму ведення логів у Forefront TMG та того, як налаштовувати та працювати з чергою логів у Microsoft Forefront TMG.