Merhaba arkadaşlar,
Bu makalemizde Windows Server 2008 R2 üzerine Forefront Threat Management Gateway ( TMG ) kurulumu ve konfigürasyonunu örneklerle inceleyeceğiz, Forefront Threat Management Gateway; kullanıcıların zararlı yazılımlardan ve diğer dışarıdan gelecek tehtitlerden korunmasını, internetin iş için güvenli bir hal almasını ve verimli kullanılmasını sağlar. TMG ile yetkisiz girişleri önleme, Proxy uygulama ve HTTP/HTTPS denetleme, URL filtreleme, zararlı yazılımları önleme/denetleme gibi bir çok işlem yapabiliriz.
TMG Kurulumu
– TMG ( ISA ) Kuracağımız Server da en az 2 ethernet kartı olmalıdır.
– IP’ ler static olarak verilmelidir.
– 1. Ethernet kartına ADSL’e giden ip verilir.
– 2. Ethernet kartına LAN’a giden ip verilir.
Threat Management Gateway kurulumuna başlarken öncelikle Net Framework 3.5 ve Network Policy and Access Services’in altındaki Remote Access Service ve Routing kurulumları yapılır.
Net Framework 3.5 kurulumunu yapmak için;
Server Manager içerisinde Features Add Features Net Framework 3.5 seçilerek kurulum yapılır.
Remote Access service kurulumunu yapmak için;
Server Manager içerisinden Roles Add Roles Network Policy and Access Services Remote Acces Services & Rounting kurulumları yapılır.
Server Roles ekranında “ Network Policy and Access Services “ seçerek Next’e basarız.
Role Services ekranında “ Remote Access Service “ ve “ Routing “ seçenekleri işaretlenerek Next’e basılır.
Confirmation ekranında Install butonuna basarak kurulumu başlatırız.
Net Framework 3.5 ve Network Policy and Access kurulumları yapıldıktan sonra TMG kurulumuna geçebiliriz,
– Microsoft Forefront TMG Autorun.exe
Kuruluma başlamadan önce eksik tool lar var ise kurması için “ Run Prepation Tool “ seçeneğine tıklarız.
Gelen ekranı Next ile devam ederiz,
Bu ekranda “ I accept the terms of the License Agreements “ seçeneğini işaretleyerek lisans sözleşmesini kabul eder ve Next butonuna basarak kuruluma devam ederiz,
Installation type ekranında “ Forefront TMG services and Management “ seçeneğini işaretleyerek Next butonu ile kuruluma devam ederiz.
Finish butonuna basarak eksik tool kurulumlarını tamamlamış oluruz.
Tool kurulumu bittikten sonra Installation Wizard seçeneğine tıklayarak TMG kurulumuna başlarız,
Run Installation Wizard
Next’e basarak kuruluma başlarız,
License Agreement ekranında “ I accept the terms in the license agreement “ seçeneğini işaretleyerek lisans sözleşmesini kabul etmiş oluruz ve next butonu ile kuruluma devam ederiz.
Customer Information ekranında lisans anahtarını girerek next butonu ile kuruluma devam ederiz.
Setup Scenarios ekranında “ Forefront TMG services and Management “ seçerek Next ile kuruluma devam ederiz.
Installation Path alanından kurulumun yapılacağı uzantı seçilmektedir, biz default olarak gelen alana kurulum yaptıracağız,
Define Internal Network alanından ip aralığını belirterek next butonu ile kuruluma devam ederiz.
Ready to Install the Program ekranında Install butonu ile kurulum devam ettirilir.
Bir süre bekledikten sonra kurulum tamamlanmış olur. Kurulum işleminin tamamlanması, kurulum yaptığınız makinenin sistem gereksinimlerine göre değişiklik gösterebilir.
Kurulum tamamlanmıştır ve birazda TMG konfigürasyonu ve uygulamalarını örneklerle inceleyelim
TMG Client
1. Secure Nat Client
Client PC üzerinde ki Default Gateway’e TMG’nin ip sini yazdığımızda Secure Nat Client olur.
Avantajları
– Konfigurasyon yapılmıyor
– Client PC ye herhangi bir yazılım yüklenmiyor.
Dezavantajları
– Kullanıcı bazlı policy yapılamaz,
– Tüm policy’ler ip tabanlı yapılır.
2. Web Policy Client
Http, Https, Ftp request kulanan clientlere web Proxy client denir.
– User Base policy ( Kullanıcı yetkilerini ayarladığımız yerdir. )
– Request cache ( Girilen sayfaları cache yapmasını sağlarız. )
3. Firewall Client
Bütün diğer protokoller için kullanılır. TMG kurulum dosyasında Client\ms_fwc.msi clientlere yüklenir. Böylece kullanıcılara isim bazlı yetki verebiliriz.
Birazda TMG’nin menü ve özelliklerinden bahsetmek istiyorum, örneklerle inceleyelim;
Toolbox
Protocol : Kullanılan Protokoller bu alanda bulunur, yenisi oluşturulabilir. ( http, Https, Ftp, port vb. gibi )
Users
All Authenticated Users : Domain de ki tüm kullanıcılar.
All Users : Domain veya workgroup da ki tüm kullanıcılar.
İstersek de New User lananından user group ları oluşturabiliriz.
Content Types
İçerik kısıtlama;
Ör, youtube girebilsin fakat Flash videoları oynatamasın vb. gibi.
Schedules
Oluşturduğumuz policy’lerin çalışacağı zamanları bu alandan ekleriz.
Network Objects
Networks : internal ; içeride ki kullanıcıların tamamının ip aralığı bu alandan değiştirilir. Proxy portu da bu alandan değiştirilir.
Internal : İç networkün tamamı ( Belirlediğimiz ip aralığı )
External : İnternetin tamamı, tüm dünya
VPN Client : VPN kullanıp ağa düşen kullanıcılar anlamına gelir.
URL Set
Ör; – Gazeteler – Yasaklı Siteler – Şirket siteleri gibi kendi kullanım alanlarımıza göre tab’ların oluşturulduğu alandır.
Örneklerle TMG’de Policy oluşturmayı inceleyelim,
Herşey Serbest
Bu örneğimizde http, https ve ftp her siteye erişimi serbest olarak ayarlayacağız.
Forefront TMG Firewall Policy Task Create Access Role
Rule Name : İnternetErişimKurali
Allow ( Serbest )
Bu alandan protokolleri seçeriz, Protocol ( Select Protocols Add ) Http, Https, Ftp
Do Not enable malware inspection fort this rule ( No ) seçerek Next butonuna basarız.
Access Rule Destinations ( External )
Users Set ( WSUS varsa System and Network Service de eklenir ) All users
Finish
Apply ve Monitoring Configuration Reflesh yapılır.
Böylece internet herkese açıktır.
TMG kurulu olan pc, Client pc’ lerden farklı çalıştığı için oluşturulan policy’ ler TMG Server’ i etkilemez. Uyguladığınız Policy’ lerin çalışıp çalışmadığını TMG Server üzerinden kontrol edecekseniz eğer;
Forefront TMG Firewall Policy Ediy System Policy CRL Download “ Enabla this configuration group “ işareti kaldırılır.
CRL Download “ Enabla this configuration group “ işareti kaldırılır.
Böylece İnternet Erişimi herkese serbesttir.
Oluşturduğumuz kurala çift tıklarız To Exeptions kısmına eklediğimiz URL Set ( Siteler ) Herşey serbest kuralının tersine çalışır yani açılamaz. Her siteye erişimin olmasını istiyor ve “alcohol” içeren sitelere girilmesini istemiyorsak online casino Exceptions alanına ekleriz,
Örnekte görüldüğü üzere Alchol ve Pornography içerek sitelere giriş yapılamaz.
Engellediğimiz web sitelerini istediğimiz bir sayfaya da yönlendirebiliriz;
Örneğin Yasaklı siteler isminde bir policy oluştururuz, o sitelere girmek isteyen kullanıcıları belirlediğimiz web sitesine yönlendirebiliriz.
Bunun için takip etmemiz gereken adımlar;
Forefront TMG Create Access Rule Deny http, https, Ftp Add Internal,Localhost Yasakli Siteler ( URL Set ) All Users Finish
YasakliSiteler Policy üzerine sağ click Properties Action Redirect web client to the following URL alanına Yasaklı Siteler Policy içerisinde bulunan sitelere girildiğinde yönlendirilmesini istediğimiz web sitesi yazılır.
Apply Monitöring alanından Configuration reflesh edilir.
Böylece YasakliSiteler URL Set içinde bulunan web sayfalara girilmeye çalışıldığında otomatik olarak http://www.google.com.tr e yönlenecektir.
TMG konfigürasyonunu örneklerle incelemeye devam edelim;
– Şirkette ki kullanıcılar sadece belirlediğimiz sitelere girecek
Öncelikle Toolbox Network Object URL Set kısmına erişime izin vereceğimiz sayfaları ekleriz.
Ör, Gazeteler, Sirket Siteleri vb.
Daha sonra ; Task Create Access Rule Policy ismi Allow Selected Protocol ( http, https, ftp ) Do not enable malware inspection for this rule Access Rule Sources ( Internal, Local host )
Allow
Selected Protocol ( http, https, ftp )
Do not enable malware inspection for this rule
Access Rule Sources ( Internal, Local host )
Access Rule Destinations ( Toolbox Network Object URL SET de oluşturduğumuz Gazeteler, Sirket Siteleri )
All Users ( Herkes , Domain veya Workgroup )
Finish
Policy oluşturulmuştur, ayar uygulanır ve Monitoring alanından reflesh edilir.
Firewall Policy Apply
Monitoring TMG Reflesh Now
Böylece Gazeteler ve SirketSiteleri isminde oluşturulan URL Set içerisinde ki web siteleri dışında ki hiç bir siteye erişim sağlanamaz.
- Web de yasaklı sitelere girildiğinde ekrana gelen hata mesajını değiştirmek için;
C:\Program Files\Microsoft Forefront Threat Management Gateway\ErrorHtmls\Default.html notepad ile açılarak hata mesajı değiştirilir.
Hata mesajı değiştirildikten sonra server restart edilir. Microsoft Forefront TMG Firewall Stop & Start edilir.
Domain Name Sets
Toolbox Network Objects New Domain Name Sets
Örneğin; http://www.hurriyet.com.tr web sitesine erişim izni verdik. Hurriyet’in içerisinde Spor alanına tıkladığımızda bizi http://spor.hurriyet.com.tr adresine yönlendirdiği için erişim engellenir. Domain Name Sets alanına hurriyet.com.tr eklersek hurriyet.com.tr linkinin önüne gelen tüm adreslere erişim izni verir. Ör; http://magazin.hurriyet.com.tr, http://ekonomi.hurriyet.com.tr
Örneğimizde http://www.milliyet.com.tr adresine girilebiliyor. http://siyaset.milliyet.com.tr adresine erişim engelleniyor.
Domain Name Sets alanına *.milliyet.com.tr ekleriz.
Policy oluşturulmuştur, ayar uygulanır ve Monitoring alanından reflesh edilir.
Firewall Policy Apply
Monitoring TMG Reflesh Now
Böylece içeriği milliyet.com.tr olan tüm web sitelere erişim serbesttir.
Flash’lı Siteleri Yasaklama
Öncelikle Obje oluşturulur.
Toolbox Content Types New FlashYasak *.swf, Application/x-shockwave-flash Add
Oluşturulan Obje Policy’e eklenir.
SerbestSiteler Policy üzerine sağ click Properties Content Types “ Selected content …” oluşturduğumuz FlashYasak obje seçilir.
Firewall Policy Apply
Policy oluşturulmuştur, ayar uygulanır ve Monitoring alanından reflesh edilir.
Monitoring TMG Reflesh Now
Böylece http://www.youtube.com girilir fakat video izlenemez veya http://www.garanti.com.tr girilir fakat flash’lı alanlar resim olarak görünür.
– Upload Engelleme
Upload engelleyeceğimiz Policy üzerine sağ click Configure http Methods “ Block Specified methods (allow all others) Add POST yazılır Apply OK butonuna basılır ve Reflesh yapılır.
– Exe, msi, rar uzantılarının indirilmesini engellemek
Ayarı uygulayacağımız Policy üzerine Sağ click Configure http Block specified extensions Add .exe, .rar, .msi
– URL de belirlediğimiz kelimelere giremez
Ayarı uygulayacağımız Policy üzerine sağ click Configure http Signatures Add Oyun (kelime girilir ) Apply OK Reflesh yapılır.
Google de engellediğimiz kelime aranamaz.
Adres kısmından direkt olarak yazıldığında da engellenir.
Aşağıda ki örneklerimizde günlük hayatta çok işimize yarayacak birkaç engellemeden bahsedeceğim,
– Windows Live Messenger Engelleme
Uygulanan Policy üzerinde Configure http Signature
Search in : Request headers
HTTP header : User-Agent:
Signature : Windows Live Messenger
OK Apply Reflesh yapılır.
Böylece Windows Live Messenger engellenmiş olur.
– Block Download Attachment – Eklenen Attachment leri siler
Uygulanan Policy üzerinde Configure http Signature
Name : Block Download Attachment
Search in : Response headers
HTTP header: Content-Disposition:
Signature: attachment
Böylece hotmail, yahoo, OWA gibi web browser üzerine eklenen attachment leri engellemiş oluruz.
– Torrent Engelleme
Uygulanan Policy üzerinde Configure http Signature
Name : Torrent Block
HTTP header: User-Agent:
Signature: FDM
Böylece Torrent’I engellemiş oluruz.
Bu tür uygulama engellemelerini http://www.isaserver.org sitesi üzerinden takip edebiliriz.
Network monitor programı ile taratarak http GET Method alanında yazan kelimeler ile engelleme yapılabilir.
– Sadece Domain’de ki kullanıcıların internet erişimi olmasını istiyorsak
Policy Properties Users All Authenticated Users’ı ekleriz. All users ekli ise kaldırırız. Böylece sadece Domain de ki kullanıcılar için internet erişimi vardır.
Domain’de ki kullanıcıların İnternete girdiklerinde şifre sormasını istiyorsak
Toolbox Network Object Networks üzerine sağ click yaparak Internal Properties Web Proxy Authentication “Basic “ işaretlenir.Böylece internete çıkarken kullanıcı adı şifre sorar.
Yine aynı ekranda “ Require all users to authenticate “ işaretlersek TMG log” ları kullanıcı bazlı tutar.
İnternete girilmek istendiğinde şifre sormuş olur.
Web Sitelerinin kategorilerini görme
Forefront TMG Web Access Policy configure URL Filter General “ Enable URL Filtering “ işaretlenir Apply
Web Access Policy configure URL Filter Category Query http://www.google.com ( Search Engines )
Caching
Piyasa da TMG’nin kullanılmasının en büyük sebebi caching yapabilmesidir. Cache iki yerde yapılır. Ram ve HDD. Ram’da cache table tutulur ( garanti.com, hurriyet.com ) belli aralıklarla bunların içerikleri hdd de tutulur. Buna URL Cache denir. Default olarak cache yapmaz, cache yapılması için caching açılması gerekir.
Cache yapmasını istiyorsak;
Web Access Policy Caching Configure Web Caching Cache Settings Cache Drivers TMG çift tıklanır. Kaç GB cache yapmasını istiyorsak yazılarak OK Apply Servis restart edilir. Ve c:\urlcache klasörü oluşturur ve cache yaptığı dosyaları burada tutar.
Cache işlemini Cache Rules gore yapar.
Cache Settings Cache Rules Add Only if valid.. ( Cache’de olanı ver eksik varsa internetten çek anlamına gelir ) 1 Mb vb. External veya garanti.com
Intrusion Prevention System
Dışarıdan gelen saldırıları engeller; UDP, Ping, DNS sorgusu vb. Gibi
Intrusion Prevention System Behavioral Intrusion Detection alanından aktif edilir.
TMG Enterprise ile Standart arasında ki fark; Enterprise de birden fazla TMG arasında Replication yapılabilmesidir.
Log & Reports
– Geçmiş dataya ulaşamayız. Anlık olarak logları Start Query den görürüz.
– Firewall client ve web proxy clientlerin logları tutulur.
– Web Proxy Logging Enable Logging .. işaretlenirse log tutmaya başlar.
– Configure Web Proxy Logging file W3C ext. C:\Program Files\Microsoft Forefront Threat Management Gateway\Logs logları bu alanda tutar.
Bu makalemizde Windows Server 2008 R2 üzerine TMG kurulumu yaparak Konfigurasyonunu örneklerle inceledik, yararlı olması dileğiyle başka bir makalede görüşmek üzere,
Murat çok güzel bir makale olmuş, ellerine sağlık..
murat bey,bende bir IT uzmani olarak harika bir yazi yazmissin diyorum
Teşekkürler Adem bey,
Makalemin sonunda yararlı olması dileğiyle diye belirtmiştim, işinize yaramasına sevindim.