Forefront TMG 2010 Network Inspection System özelliğinin yapılandırması ve aktifleştirilmesi
Microsoft’ un son çıkardığı firewall olarak bildiğimiz TMG 2010 ISA Server’ a istinaden bir çok yeni özellikle beraber sunulmuştur. Bunlardan en önemli olanlardan birisi NIS (Network Inspection System) dir.
Çalışma prensibine biraz bakalım…
TMG Network Inspection System Microsoft tarafından yayınlanan güvenlik (security) bültenlerini esas alarak gelen paketlerde malware kontrolünü yaparak networke ulaşmadan gerçekleştirebilmektedir. Bilinmesi gereken bir diğer hususda NIS Application Level seviyesinde çalışmaktadır. TMG 2010 ile gelen NIS özelliği izmalama (signature) tabanına göre zararlı yazılımların tespiti yapabilmektedir. Bildiği üzere bir çok worm ve malware türleri networke erişim sağladığı zaman sistemin işleyişinde ve networkde aksamalara sebep olmaktadır.
İşte bu yüzden NIS her zaman kendisini ve veritabanı nı güncelleyerek imza (signature) bilgisine bakarak güvenlik sağlayacaktır.
Kısaca NIS’ hakkında bilgi edindikden sonra bu özelliği nasıl konfigüre edeceğimize ve aktifleştireceğime geçelim.
Forefront TMG Management konsolumuzu açıyoruz. NIS’ i aktifleştirmek ve yapılandırmak için sol menüde bulunan Intrusion Prevention System linkine geliyoruz. Karşınıza daha önceden aktifleştirilmiş ve güncelleştirilmiş ise yukarıda signature bilgilerinin bulunduğu içerik gelecektir. Fakat default kurulumlarda NIS özelliğini aktifleştirmeden işlemler yapıyoruz. NIS signature bilgilerini güncellemek için ve aktifleştirmek için bir kaç adım takip edeceğiz.
İlk olarak Update Center’ a geliyoruz. Bu kısımda Malware Inspection ve Network Inspection System özelliklerinin kurulmayıp güncellemelerinin yapılmadığı göreceksiniz.
Malware Inspection ve Network Inspection System özelliklerinin kurulumu ve güncellemelerinin yapılabilmesi için üzerlerine sağ click yapıyoruz ve Check for and Install New Definations diyoruz.
Bu özelliklerin kurulum ve güncellemeleri tamamlandıkdan sonra yukarıdaki gibi check lenerek aktifleştirildiğini görmelisiniz.
Kurulum ve güncelleştirmeleri tamamladıkdan sonra Intrusion Prevention Systemlinkine geliyoruz. İlk başta görmediğiniz signature bilgilerinin geldiğini görebileceksiniz. Artık NIS üzerinde konfigürasyon yapmaya geçebiliriz. Bunun için ilk önce Tasks tabında bulunan Configure Properties diyoruz. Karşımıza gelen pencerede General tabında bulunan Enable NIS kutucuğunu işaretliyoruz.
Exception Tabında Network Inspection System’ in tarama işlemini yapmasını istemediğimiz web sitelerini, domainleri ve networkleri belirtebiliriz. Bunun için Add butonuna basarak ekleyebiliriz.
Definition Updates tabına geliyoruz. Bu kısımda güncelleştirmeler nekadar sıklıkla yapılacağını, yeni güncelleştirmeler mevcutsa neyapıcağını belirlediğimiz kısımdır. İlk kısımda Automatic definition update action kısmında uygulanacak aksiyonu belirlediğimiz kısımdır. Bu alanda üç farklı seçenek karşımıza gelmektedir ki ilki önerilen Check for and install update dir. Ben güncellemeler kontrol edildikden sonra varsa eğer otomatik olarak yüklemesini istiyorum.
Automatic polling frequency kısmında güncelleştirme olup olmadığını kontrol edeceği zaman sıklığını belirlediğimiz kısımdır. Burada En yüksek 15 dk, En düşük 4 Saat de bir güncelleştirme mevcutluğunu kontrol etme sıklığını belirliyoruz.
Trigger an alert if no updates are installed within this number of days kısmı default olarak 45 gün gelmektedir. Bu ayarda belirlenen gün içerisinde herhangi bir güncelleme olmazsa Alert oluşturacaktır. Default süresi bu özellik için aslında geç bir süre bu süre zarfında yayılan bir zararlı yazılıma mağruz kalma olasılığınız mevcuttur. Ben bu yüzden 10 güne ayarlıyorum ki belirlediğim gün içerisinde güncelleştirme olmazsa Alert oluştursun.
Definition Updates tabı içerisinde alt kısımda bulunan Version Control… butonuna geliyoruz. Bu kısımda önceden yüklenmiş olan update versiyonları nı burada görebilirsiniz. Örnek olarak yaptığınız en sonki update versiyon güncellemesinden sonra bazı sorunlar ile karşılaştınız fakat bir önceki update versiyonu sorunsuz çalışıyordu burada bir önceki update versiyonu nu seçip aktif edebilirsiniz.
Protocol Anomalies Policy tabında uygulanan ve çalışan protokollerin standart dışı davranışlarında buna ne şekilde cevap vereceğini belirlediğimiz kısımdır. Bazı uygulamalar hazırlanırken kodlamalarında bulunan sorunlar yüzünden protokolleri alışılmışın dışında kullanabilmektedirler. Tabiki bu bir network ataklarına teşebbül olabilmektedir. İşte burada NIS’ in budurumlarda bağlantıya izinmi yoksa engelmi koyacağını belirlediğimiz kısımdır. Default olarak Allow gelmesine rağmen Block lanması gerekmektedir.
Network Inspection System güncellemesinden sonra gelen signaturelarımızdan bir tanesini inceleyelim. General tabında baktımızda bu zararlı yazılımla karşılaştığında ne gibi bir aksiyon alacağını belirleyebiliriz.Set the response policy for this signature Microsoft default seçili bu zararlı yazılıma karşı signature’ ın aktif olduğunu ve sadece tespit edeceğini gösteriyor. Bu zararlı yazılımı gördüğünde tespit etmenin dışında blocklamasını ve izin vermesini isterseniz Override‘ ı seçip response kısmından block veya allow’ u da seçebilirsiniz.
Detail tabına geliyoruz. Bu kısımda signature hakkında detaylı bilgleri edinebilirsiniz. Bu bilgiler içerisinde bu zararlı yazılımın önem seviyesini hangi security bulten ile yayınlandığına dair bilgiler edinebilirsiniz.
TMG 2010 ile gelen bu bileşeni sistemlerimizde kullanmamızda fayda var. Bu sayede sisteme girmek isteyen bir çok zararlı yazılımı network’ e sokmadan önlemiş olacağız.
Umarım sizlere faydalı olacaktır…