Объяснение режима блокировки (Lockdown Mode) брандмауэра Microsoft Forefront TMG

Published on Февраль 16, 2009 by   ·   Комментариев нет

Итак, начнем

Прежде чем приступить к чтению этой статьи, обратите внимание, что Microsoft Forefront TMG (Threat Management Gateway) все еще находится на стадии бета версии, и что-нибудь может измениться в конечной версии Microsoft Forefront TMG.

Также следует учитывать, что многое из этой статьи можно применить к ISA Server 2004 и ISA Server 2006, поскольку режим блокировки брандмауэра (Firewall Lockdown mode) практически одинаков во всех версиях. Лишь функция очередей логов (TMG Log queue) доступна только в Forefront TMG.

Первый вопрос, который вы можете задать, будет звучать так: что такое режим блокировки брандмауэра Firewall Lockdown Mode? Ответ прост. Все версии ISA Server имеют функцию, которая отключает службу брандмауэра ISA Server Firewall, когда запись логов с ISA в место назначения прерывается. Это также относится и к Microsoft Forefront TMG, за исключением того, что TMG идет с новой версией, расширяющей возможности режима блокировки, эта функция называется функцией очередей логов (Log queue feature). Чуть позже в этой статье я расскажу подробнее о данной функции.

Следующий вопрос, который вы можете задать, будет: Для чего ISA/TMG оснащены функцией блокировки брандмауэра ‘ разве она не препятствует производительности?

Нет, не препятствует. Критической функцией TMG является реагирование на атаки. Если есть атака, логи TMG будут заполняться и заполняться, и заполняться, потребуется лишь непродолжительное время после того, как TMG перезапишет более старые журналы, и если вы проанализируете атаку после ее завершения, вы не найдете никакой информации в журнале регистрации событий (логе) об атакующем. Эта и некоторые другие ситуации являются причиной, по которой TMG включается в режиме блокировки брандмауэра, когда запись логов прерывается, за исключением новой функции очереди логов.

Forefront TMG пытается сочетать необходимость в неподключенном TMG Server к интернету во время сбоев записи логов с необходимостью администраторов TMG удаленно администрировать машину по доверенной локальной сети LAN.

Когда Forefront TMG входит в режим блокировки, происходит следующее:

  • Событие запускает предупреждение для отключения службы брандмауэра. Можно задавать другие действия, когда TMG не может записать журналы в место назначения.
  • Отключение брандмауэра записывается в разделе предупреждения в функции мониторинга Microsoft Forefront TMG.

Когда TMG работает в режиме блокировки, применяются следующие функции:

FWENG.SYS (драйвер фильтрации пакетов Kernel Mode) применяется к политике брандмауэра.

Исходящий трафик с сети LOCAL HOST во все сети разрешен.

Следующие правила системной политики разрешают входящий трафик в сеть LOCAL HOST, если администратор TMG не отключил ее:

  • Разрешить удаленное управление с выбранных компьютеров с помощью консоли MMC.
  • Разрешить удаленное управление с выбранных компьютеров с помощью сервера терминала (Terminal Server).
  • Разрешить DHCP ответы с DHCP серверов на Forefront TMG.
  • Разрешить ICMP (PING) запросы с выбранных компьютеров на Forefront TMG.
  • Клиенты удаленного доступа VPN не могут получать доступ к Forefront TMG. Также доступ не предоставляется к удаленным сетям сайтов в сценариях сайт к сайту VPN.

DHCP (Dynamic Host Configuration Protocol) трафик всегда разрешен. DHCP запросы на порт 67 UDP разрешены с сети LOCAL HOST всем сетям, а также DHCP ответы на порт UDP 68.

Любые изменения этой сетевой конфигурации, внесенные в режиме блокировки, применяются только после того, как служба брандмауэра перезапущена и Forefront TMG выходит из режима блокировки. Forefront TMG не генерирует никаких предупреждений.

Выход из режима блокировки

Выход из режима блокировки брандмауэра является простым. Вам нужно лишь перезапустить службу брандмауэра. Это автоматически выводит брандмауэр из режима блокировки и возвращает TMG к нормальному рабочему состоянию. Любые изменения в конфигурации Forefront TMG применяются после его выхода из режима блокировки.

Большие очереди записи логов

LLQ (Large Logging Queue) – это новая функция в Microsoft Forefront TMG, которая помогает снизить количество раз, когда TMG входит в режим блокирования брандмауэра из-за сбоев записи логов. LLQ представляет собой локальную директорию логов на сервере TMG Server, которая используется для сохранения записей логов TMG, когда TMG не может записывать их в целевой каталог ‘ по умолчанию в версию SQL Server Express.

LLQ содержит два основных компонента, которые работают в режиме Kernel с TMG (FWENG.SYS) и в режиме Пользователь (User (Dispatcher)). Процесс в пользовательском режиме лишь читает данные с жесткого диска, а в режиме Kernel процесс Fweng производит запись на жесткий диск.

В следующей схеме показаны компоненты, используемые функцией Large Logging Queue.

Lockdown mode tmg

Рисунок 1: Новая функция очередей логов ‘ Предоставлено сайтом: http://technet.microsoft.com/en-us/library/dd183731.aspx

LLG храниться в оперативной памяти и на жестком диске. Если диспетчер (компонент чтения) не видит задержек в записи журналов, данные логов будут непосредственно записываться в базу данных журналов регистрации. Можно настроить продолжительность и количество данных, которые могут содержаться в памяти с помощью системного реестра. Есть два настраиваемых параметра реестра:

HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Fweng\Parameters\LogQueueMaxLossCount

HKYEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Fweng\Parameters\LogQueueMaxLossTimeInSeconds

Заметка: Компания Microsoft в открытую не рекомендует изменять эти параметры без обращения в поддержку Microsoft PSS!

Можно настроить папку Log Queue Storage в консоли TMG Management в закладке Журналы и отчеты (Logs & Reports). Можно использовать папку Стандартные (Standard) в каталоге установки TMG или другую директорию на сервере TMG Server. Если вы используете свою папку, она должна существовать до того, как вы измените директорию LLQ по этому пути.

Остановка брандмауэра 2003 cmd

Рисунок 2: Папка хранения очереди логов

В этой же закладке консоли TMG Management можно просматривать статус логов LLQ. Очередь логов должна быть пустой, когда запись логов осуществляется корректно.

Tmg 2010 очередь логов заполняется

Рисунок 3: Отображение очереди логов Forefront TMG

Обслуживание файлов логов

Во время атаки на ваш сервер TMG Server или внутреннюю сеть, количество записей в журналах значительно увеличивается, именно здесь и начинается проблема. Если запись логов сервера TMG Server дает сбой, генерируется стандартное сообщение об ошибке записи логов, что отключает службу брандмауэра Microsoft TMG и вводит TMG Server в режим блокировки. Такое поведение является отличной отправной точкой для атак с целью нарушения нормального обслуживания (Denial of Service attacks – DoS).

Для снижения потенциального риска нарушения записи логов вы можете оптимизировать систему в нескольких местах:

  • Используйте службу дефрагментации диска для оптимизации доступа чтения и записи на жестком диске
  • Используйте быструю и надежную систему
  • Оптимизируйте данные логов
  • Следует знать, для каких правил брандмауэра вы включаете службу записи логов
  • Следует также понимать, какие поля SQL нужно регистрировать в логах. Можно настроить поля логов в свойствах ведения логов в брандмауэре (смотрите рисунок 4 для дополнительной информации)
  • Создайте отрицающее правило с отключенной функцией ведения логов, которое отсеивает ненужный трафик, такой как NetBIOS и DHCP, заполняющий файлы логов этой ненужной информацией
  • Настройте папки логов брандмауэра и веб прокси сервера на различных дисках.
  • Если вы используете службу ведения логов SQL, измените размер роста файла или процент роста файлов для базы данных логов.

На следующем рисунке показаны свойства службы записи логов брандмауэра:

Tmg очередь журналов

Рисунок 4: Служба ведения логов SQL Express

Снижение риска подверженности лавинным атакам

Начиная с ISA Server 2000, компания Microsoft применила некоторые рудиментарные функции антиспуфинга и определения вторжений. В ISA Server 2004 были представлены дополнительные функции обнаружения атак вторжения. В ISA Server 2006 были добавлены некоторые методики борьбы со спамом. Новые технологии были включены в настройки защиты от лавинных атак (Flood Mitigation) и должны помочь в защите от угроз. С помощью этих настроек можно снизить количество генерируемых записей логов. Защита от лавинных атак должна настраиваться в зависимости от ваших потребностей, а вам следует постоянно следить за обновлением этих параметров.

Оповещения записи логов TMG

В закладке Мониторинг в консоли TMG Management можно настроить параметры оповещений для всех уведомлений TMG и в данном случае для ошибки записи логов. В закладке действий оповещений можно останавливать службу брандмауэра. Это стандартный параметр в Microsoft Forefront TMG.

Как отключить блокирование атак tmg?

Рисунок 5: Forefront TMG ‘ действия при ошибке лога

Симуляция сбоев записи логов

Для симуляции ошибки записи логов вам потребуется лишь остановить службу Microsoft SQL Server Express, и после ее остановки видно, что служба брандмауэра Microsoft Firewall продолжает работать.

Microsoft ru еьп

Рисунок 6: SQL Server Express Logging остановлена

Если перейти в закладку логов и отчетов, чтобы посмотреть статус LLQ, то вы увидите, какой из журналов непрерывно заполняется.

Microsoft forefront

Рисунок 7: Статус очереди логов ‘ очередь логов заполняется

Стандартным параметром оповещения, при котором запускается использование Log Queue, является запись отчета об этом в журнал регистрации событий Windows. Вам необходимо создать триггер события (Event trigger) или что-то подобное, что будет посылать вам уведомление об использовании LLQ.

Блокировка magent в isa 2006

Рисунок 8: Оповещения очереди логов

Заключение

В этой статье я попытался предоставить вам обзор новой функции очереди логов Microsoft Forefront TMG, чтобы вы смогли избежать или хотя бы свести к минимуму ситуации, в которых брандмауэр входит в режим блокировки во время прерывания записи логов. Я также предоставил вам обзор механизма ведения логов в Forefront TMG и того, как настраивать и работать с очередью логов в Microsoft Forefront TMG.

www.isaserver.org


Смотрите также:

Tags: , , , ,

Readers Comments (Комментариев нет)




Да человек я, человек! =)




Exchange 2007

Проведение мониторинга Exchange 2007 с помощью диспетчера System Center Operations Manager 2007 (часть 3)

Если вы хотите прочитать предыдущие части этой серии статей, перейдите по ссылкам: Проведение мониторинга Exchange 2007 с помощью диспетчера System ... [+]

Практическое рассмотрение перехода с Exchange 2003 на Exchange 2007 (часть 1)

Введение В этой статье из нескольких частей я хочу показать вам процесс, который недавно использовал для перехода с существующей среды Exchange 2003 ... [+]

Использование инструмента Exchange Server Remote Connectivity Analyzer Tool (часть 2)

Если вы пропустили первую часть этой серии, пожалуйста, прочтите ее по ссылке Использование инструмента Exchange Server Remote Connectivity Analyzer Tool (Часть ... [+]

Мониторинг Exchange 2007 с помощью диспетчера System Center Operations Manager 2007 (часть 2)

Если вы пропустили предыдущую часть этой серии статей, перейдите по ссылке Мониторинг Exchange 2007 с помощью диспетчера System Center Operations ... [+]

Подробное рассмотрение подготовки Active Directory для Exchange 2007 (часть 5)

Если вы пропустили предыдущие части этой серии статей, перейдите по ссылкам: Подробное рассмотрение подготовки Active Directory для Exchange 2007 (часть 1) ... [+]

Установка и настройка Exchange 2007 из командной строки (Часть 3)

If you missed the previous parts in this article series please read: Exchange 2007 Install and Configuration from the command line (Part ... [+]

Использование инструмента Exchange Server Remote Connectivity Analyzer Tool (часть 1)

Инструмент ExRCA Текущий выпуск инструмента предоставляется только в целях тестирования и оснащен 5 опциями: Тест подключения Outlook 2007 Autodiscover Тест подключения Outlook 2003 RPC ... [+]

Развертывание сервера Exchange 2007 Edge Transport (часть 5)

Если вы хотите прочитать предыдущие части этой серии статей, перейдите по ссылкам: Развертывание сервера Exchange 2007 Edge Transport (часть 1) Развертывание ... [+]

Установка и настройка Exchange 2007 из командной строки (часть 2)

Если вы пропустили первую статью данного цикла, пожалуйста, перейдите по ссылке: Exchange 2007 Install and Configuration from the command line (Part ... [+]

Использование интегрированных сценариев Using Exchange Server 2007 – часть 2: генерирование отчетов агента Transport AntiSpam Agent

Если вы пропустили предыдущую часть этой серии статей, перейдите по ссылке Использование интегрированных сценариев Using Exchange Server 2007 – часть ... [+]