Windows Server 2008 R2 TMG Kurulum ve Konfigürasyon

Murat İbrahim Kantar 13 Temmuz 2012 3
Windows Server 2008 R2  TMG Kurulum ve Konfigürasyon

Merhaba arkadaşlar,

 

Bu makalemizde Windows Server 2008 R2 üzerine Forefront Threat Management Gateway ( TMG ) kurulumu ve konfigürasyonunu örneklerle inceleyeceğiz, Forefront Threat Management Gateway; kullanıcıların zararlı yazılımlardan ve diğer dışarıdan gelecek tehtitlerden korunmasını, internetin iş için güvenli bir hal almasını ve verimli kullanılmasını sağlar. TMG ile yetkisiz girişleri önleme, Proxy  uygulama ve HTTP/HTTPS denetleme, URL filtreleme, zararlı yazılımları önleme/denetleme gibi bir çok işlem yapabiliriz.

 

TMG Kurulumu

–          TMG ( ISA ) Kuracağımız Server da en az 2 ethernet kartı olmalıdır.

–          IP’ ler static olarak verilmelidir.

–          1. Ethernet kartına ADSL’e giden ip verilir.

–          2. Ethernet kartına LAN’a giden ip verilir.

Threat Management Gateway  kurulumuna başlarken öncelikle Net Framework 3.5 ve Network Policy and Access Services’in altındaki Remote Access Service ve Routing kurulumları yapılır.

 

Net Framework 3.5 kurulumunu yapmak için;

Server Manager  içerisinde  Features Add Features Net Framework 3.5 seçilerek kurulum yapılır.

 

Remote Access service kurulumunu yapmak için;

Server Manager içerisinden  Roles Add Roles Network Policy and Access Services   Remote Acces Services & Rounting  kurulumları yapılır.

Server Roles ekranında “ Network Policy and Access Services “ seçerek Next’e basarız.

 

Role Services ekranında “ Remote Access Service “  ve “ Routing “ seçenekleri işaretlenerek Next’e basılır.

 

Confirmation ekranında Install butonuna basarak kurulumu başlatırız.

 

Net Framework 3.5 ve Network Policy and Access kurulumları yapıldıktan sonra TMG kurulumuna geçebiliriz,

 

–          Microsoft Forefront TMG Autorun.exe

 

Kuruluma başlamadan önce eksik tool lar var ise kurması için  “ Run Prepation Tool “ seçeneğine tıklarız.

 

 

Gelen ekranı Next ile devam ederiz,

 

Bu ekranda “ I accept the terms of the License Agreements “ seçeneğini işaretleyerek lisans sözleşmesini kabul eder ve Next butonuna basarak kuruluma devam ederiz,

 

Installation type ekranında “ Forefront TMG services and Management “ seçeneğini işaretleyerek Next butonu ile kuruluma devam ederiz.

 

Finish butonuna basarak eksik tool kurulumlarını tamamlamış oluruz.

 

Tool kurulumu bittikten sonra Installation Wizard seçeneğine tıklayarak TMG kurulumuna başlarız,

Run Installation Wizard

 

Next’e basarak kuruluma başlarız,

 

License Agreement ekranında “ I accept the terms in the license agreement “ seçeneğini işaretleyerek lisans sözleşmesini kabul etmiş oluruz ve next butonu ile kuruluma devam ederiz.

 

Customer Information ekranında lisans anahtarını girerek next butonu ile kuruluma devam ederiz.

 

Setup Scenarios ekranında “ Forefront TMG services and Management “ seçerek Next ile kuruluma devam ederiz.

 

Installation Path alanından kurulumun yapılacağı uzantı seçilmektedir, biz default olarak gelen alana kurulum yaptıracağız,

 

Define Internal Network alanından ip aralığını belirterek next butonu ile kuruluma devam ederiz.

 

 

 

Ready to Install the Program ekranında Install butonu ile kurulum devam ettirilir.

 

 

 

Bir süre bekledikten sonra kurulum tamamlanmış olur. Kurulum işleminin tamamlanması, kurulum yaptığınız makinenin sistem gereksinimlerine göre değişiklik gösterebilir.

Kurulum tamamlanmıştır ve birazda TMG konfigürasyonu ve uygulamalarını örneklerle inceleyelim

TMG Client

1. Secure Nat Client

Client PC üzerinde ki Default Gateway’e TMG’nin ip sini yazdığımızda Secure Nat Client olur.

Avantajları

–          Konfigurasyon yapılmıyor

–          Client PC ye herhangi bir yazılım yüklenmiyor.

Dezavantajları

–          Kullanıcı bazlı policy yapılamaz,

–          Tüm policy’ler ip tabanlı yapılır.

 

2. Web Policy Client

Http, Https, Ftp request kulanan clientlere web Proxy client denir.

–          User Base policy ( Kullanıcı yetkilerini ayarladığımız yerdir. )

–          Request cache ( Girilen sayfaları cache yapmasını sağlarız. )

3. Firewall Client

Bütün diğer protokoller için kullanılır. TMG kurulum dosyasında Client\ms_fwc.msi clientlere yüklenir. Böylece kullanıcılara isim bazlı yetki verebiliriz.

 

Birazda TMG’nin menü ve özelliklerinden bahsetmek istiyorum, örneklerle inceleyelim;

Toolbox

Protocol : Kullanılan Protokoller bu alanda bulunur, yenisi oluşturulabilir. ( http, Https, Ftp, port vb. gibi )

 

Users

All Authenticated Users : Domain de ki tüm kullanıcılar.

All Users : Domain veya workgroup da ki tüm kullanıcılar.

İstersek de New User lananından user group ları oluşturabiliriz.

 

Content Types

İçerik kısıtlama;

Ör, youtube girebilsin fakat Flash videoları oynatamasın vb. gibi.

 

Schedules

 Oluşturduğumuz policy’lerin çalışacağı zamanları bu alandan ekleriz.

 

Network Objects

Networks : internal ; içeride ki kullanıcıların tamamının ip aralığı bu alandan değiştirilir. Proxy portu da bu alandan değiştirilir.

Internal : İç networkün tamamı ( Belirlediğimiz ip aralığı )

External : İnternetin tamamı, tüm dünya

VPN Client : VPN kullanıp ağa düşen kullanıcılar anlamına gelir.

 

URL Set

Ör;  – Gazeteler – Yasaklı Siteler – Şirket siteleri gibi kendi kullanım alanlarımıza göre tab’ların oluşturulduğu alandır.

  Örneklerle TMG’de Policy oluşturmayı inceleyelim,

 

 Herşey Serbest   

 Bu örneğimizde http, https ve ftp her siteye erişimi serbest olarak ayarlayacağız.

 Forefront TMG Firewall Policy Task Create Access Role

Rule Name : İnternetErişimKurali

 

Allow ( Serbest )

 

Bu alandan protokolleri seçeriz, Protocol  ( Select Protocols Add ) Http, Https, Ftp

 

Do Not enable malware inspection fort this rule ( No ) seçerek Next butonuna basarız.

 

 

 

Access Rule Destinations ( External )

 

Users Set  ( WSUS varsa System and Network Service de eklenir ) All users

 

Finish

 

Apply  ve Monitoring Configuration Reflesh yapılır.

 Böylece internet herkese açıktır.

 

TMG kurulu olan pc, Client pc’ lerden farklı çalıştığı için oluşturulan policy’ ler TMG Server’ i etkilemez. Uyguladığınız Policy’ lerin çalışıp çalışmadığını TMG Server üzerinden kontrol edecekseniz eğer;

Forefront TMG Firewall Policy Ediy System Policy CRL Download “ Enabla this configuration group “ işareti kaldırılır.

 

CRL Download “ Enabla this configuration group “ işareti kaldırılır.

 

Böylece İnternet Erişimi herkese serbesttir.

 

Oluşturduğumuz kurala çift tıklarız To Exeptions kısmına eklediğimiz URL Set ( Siteler ) Herşey serbest kuralının tersine çalışır yani açılamaz. Her siteye erişimin olmasını istiyor ve “alcohol” içeren sitelere girilmesini istemiyorsak online casino Exceptions alanına ekleriz,

 

Örnekte görüldüğü üzere  Alchol ve Pornography içerek sitelere giriş yapılamaz.

Engellediğimiz web sitelerini istediğimiz bir sayfaya da yönlendirebiliriz;

Örneğin Yasaklı siteler isminde bir policy oluştururuz, o sitelere girmek isteyen kullanıcıları belirlediğimiz web sitesine yönlendirebiliriz.

Bunun için takip etmemiz gereken adımlar;

Forefront TMG Create Access Rule Deny http, https, Ftp Add   Internal,Localhost   Yasakli Siteler ( URL Set )   All Users Finish

YasakliSiteler Policy üzerine sağ click Properties Action Redirect web client to the following URL alanına Yasaklı Siteler Policy içerisinde bulunan sitelere girildiğinde yönlendirilmesini istediğimiz web sitesi yazılır.

 

Apply Monitöring alanından Configuration reflesh edilir.

 Böylece YasakliSiteler URL Set içinde bulunan web sayfalara girilmeye çalışıldığında otomatik olarak http://www.google.com.tr e yönlenecektir.

TMG konfigürasyonunu örneklerle incelemeye devam edelim;

 –          Şirkette ki kullanıcılar sadece belirlediğimiz sitelere girecek

 Öncelikle Toolbox  Network Object URL Set kısmına erişime izin vereceğimiz sayfaları ekleriz.

Ör, Gazeteler, Sirket Siteleri vb.

 

Daha sonra ; Task Create Access Rule Policy ismi Allow Selected Protocol ( http, https, ftp )   Do not enable malware inspection for this rule Access Rule Sources ( Internal, Local host )  

 

Allow

 

Selected Protocol ( http, https, ftp )

 

Do not enable malware inspection for this rule   

 

Access Rule Sources ( Internal, Local host )

 

Access Rule Destinations ( Toolbox Network Object URL SET de oluşturduğumuz Gazeteler, Sirket Siteleri )  

 

All Users ( Herkes , Domain veya Workgroup )

 

Finish   

 

Policy oluşturulmuştur, ayar uygulanır ve Monitoring alanından reflesh edilir.

Firewall Policy Apply  

 

Monitoring TMG Reflesh Now

Böylece Gazeteler ve SirketSiteleri isminde oluşturulan URL Set içerisinde ki web siteleri dışında ki hiç bir siteye erişim sağlanamaz.

 

  • Web de yasaklı sitelere girildiğinde ekrana gelen hata mesajını değiştirmek için;

C:\Program Files\Microsoft Forefront Threat Management Gateway\ErrorHtmls\Default.html notepad ile açılarak hata mesajı değiştirilir.

Hata mesajı değiştirildikten sonra server restart edilir. Microsoft Forefront TMG Firewall Stop & Start edilir.

 

 

Domain Name Sets 

Toolbox Network Objects New Domain Name Sets

Örneğin;  http://www.hurriyet.com.tr web sitesine erişim izni verdik. Hurriyet’in içerisinde Spor alanına tıkladığımızda bizi http://spor.hurriyet.com.tr adresine yönlendirdiği için erişim engellenir. Domain Name Sets alanına hurriyet.com.tr eklersek  hurriyet.com.tr linkinin önüne gelen tüm adreslere erişim izni verir. Ör; http://magazin.hurriyet.com.tr, http://ekonomi.hurriyet.com.tr

 Örneğimizde http://www.milliyet.com.tr adresine girilebiliyor. http://siyaset.milliyet.com.tr adresine erişim engelleniyor.

 

Domain Name Sets alanına  *.milliyet.com.tr ekleriz.

 

Policy oluşturulmuştur, ayar uygulanır ve Monitoring alanından reflesh edilir.

Firewall Policy Apply  

 

Monitoring TMG Reflesh Now

 

Böylece  içeriği milliyet.com.tr olan tüm web sitelere erişim serbesttir.

 

Flash’lı Siteleri Yasaklama

 Öncelikle Obje oluşturulur.

Toolbox Content Types   New    FlashYasak *.swf, Application/x-shockwave-flash Add  

 

Oluşturulan Obje Policy’e eklenir.

SerbestSiteler Policy üzerine sağ click Properties Content Types    “ Selected content …” oluşturduğumuz FlashYasak obje seçilir.

 

Firewall Policy Apply

Policy oluşturulmuştur, ayar uygulanır ve Monitoring alanından reflesh edilir.

 

Monitoring TMG Reflesh Now

 

Böylece http://www.youtube.com girilir fakat video izlenemez veya http://www.garanti.com.tr girilir fakat flash’lı alanlar resim olarak görünür.

 

–          Upload Engelleme 

 Upload engelleyeceğimiz Policy üzerine sağ click Configure http Methods “ Block Specified methods (allow all others)  Add POST yazılır Apply OK  butonuna basılır ve  Reflesh yapılır.

–          Exe, msi, rar uzantılarının indirilmesini engellemek

 Ayarı uygulayacağımız Policy üzerine Sağ click Configure http Block specified extensions Add .exe, .rar, .msi 

 

 

–          URL de belirlediğimiz kelimelere giremez

 Ayarı uygulayacağımız Policy üzerine sağ click Configure http Signatures Add Oyun (kelime girilir ) Apply OK Reflesh yapılır.

Google de engellediğimiz kelime aranamaz.

 

Adres kısmından direkt olarak yazıldığında da engellenir.

 

Aşağıda ki örneklerimizde günlük hayatta çok işimize yarayacak birkaç engellemeden bahsedeceğim,

 

–          Windows Live Messenger Engelleme

Uygulanan Policy üzerinde Configure http Signature

Search in : Request headers

HTTP header : User-Agent:

Signature : Windows Live Messenger

OK Apply Reflesh yapılır.

Böylece Windows Live Messenger engellenmiş olur.

 

–          Block Download Attachment – Eklenen Attachment leri siler

Uygulanan Policy üzerinde Configure http Signature

Name : Block Download Attachment

Search in : Response headers

HTTP header: Content-Disposition:

Signature: attachment

Böylece hotmail, yahoo, OWA gibi web browser üzerine eklenen attachment leri engellemiş oluruz.

 

–          Torrent Engelleme

  Uygulanan Policy üzerinde Configure http Signature

Name : Torrent Block

HTTP header: User-Agent:

Signature: FDM

Böylece Torrent’I engellemiş oluruz.

 

Bu tür uygulama engellemelerini http://www.isaserver.org sitesi üzerinden takip edebiliriz.

Network monitor programı ile taratarak http GET Method alanında yazan kelimeler ile engelleme yapılabilir.

–          Sadece Domain’de ki kullanıcıların internet erişimi olmasını istiyorsak

  Policy Properties Users All Authenticated Users’ı ekleriz. All users ekli ise kaldırırız. Böylece sadece Domain de ki kullanıcılar  için internet erişimi vardır.

 

Domain’de ki kullanıcıların İnternete girdiklerinde şifre sormasını istiyorsak

 Toolbox Network Object Networks üzerine sağ click yaparak Internal  Properties Web Proxy Authentication   “Basic “ işaretlenir.Böylece internete çıkarken kullanıcı adı şifre sorar.

Yine aynı ekranda “ Require all users to authenticate “ işaretlersek TMG log” ları kullanıcı bazlı tutar.

 

İnternete girilmek istendiğinde şifre sormuş olur.

 

Web Sitelerinin kategorilerini görme

 Forefront TMG Web Access Policy configure URL Filter General “ Enable URL Filtering “ işaretlenir Apply

 

Web Access Policy configure URL Filter Category Query http://www.google.com ( Search Engines )

 

 

Caching

Piyasa da TMG’nin kullanılmasının en büyük sebebi caching yapabilmesidir. Cache iki yerde yapılır. Ram ve HDD.  Ram’da cache table tutulur ( garanti.com, hurriyet.com ) belli aralıklarla bunların içerikleri hdd de tutulur. Buna URL Cache denir. Default olarak cache yapmaz, cache yapılması için caching açılması gerekir.

Cache yapmasını istiyorsak;

Web Access Policy Caching Configure Web Caching Cache Settings Cache Drivers TMG çift tıklanır. Kaç GB cache yapmasını istiyorsak yazılarak OK Apply  Servis restart edilir.  Ve c:\urlcache klasörü oluşturur ve cache yaptığı dosyaları burada tutar. 

 

Cache işlemini Cache Rules gore yapar.

Cache Settings Cache Rules Add Only if valid.. ( Cache’de  olanı ver eksik varsa internetten çek anlamına gelir )  1 Mb vb.  External veya garanti.com

 

Intrusion Prevention System

Dışarıdan gelen saldırıları engeller; UDP, Ping, DNS sorgusu vb. Gibi

Intrusion Prevention System Behavioral Intrusion Detection alanından aktif edilir.

 

TMG Enterprise ile Standart arasında ki fark; Enterprise de birden fazla TMG arasında Replication yapılabilmesidir.

 

Log & Reports

–          Geçmiş dataya ulaşamayız. Anlık olarak logları Start Query den görürüz.

–          Firewall client ve web proxy clientlerin logları tutulur.

–          Web Proxy Logging Enable Logging .. işaretlenirse log tutmaya başlar.

–          Configure Web Proxy Logging file W3C ext.    C:\Program Files\Microsoft Forefront Threat Management Gateway\Logs logları bu alanda tutar.

Bu makalemizde Windows Server 2008 R2 üzerine TMG kurulumu yaparak Konfigurasyonunu örneklerle inceledik, yararlı olması dileğiyle başka bir makalede görüşmek üzere,

 

3 Comments »

  1. Faik GENÇ 14 Temmuz 2012 at 09:48 - Reply

    Murat çok güzel bir makale olmuş, ellerine sağlık..

  2. Adem Kocaturk 03 Mart 2013 at 10:26 - Reply

    murat bey,bende bir IT uzmani olarak harika bir yazi yazmissin diyorum

  3. Murat İbrahim Kantar 03 Mart 2013 at 11:50 - Reply

    Teşekkürler Adem bey,

    Makalemin sonunda yararlı olması dileğiyle diye belirtmiştim, işinize yaramasına sevindim.

Yorum Bırak »