{Бинарный} Форпост | Блог Артёма Синицына

Предисловие

За последние несколько лет технологии виртуализации приобрели огромную популярность. В частности, концепция консолидации серверных ролей за счёт миграции физических серверов в виртуальную среду превратилась из сомнительных рассказов о недалёком будущем в решение, доступное практически каждой компании. Но весь этот ажиотаж совершенно не коснулся серверных ролей, призванные защищать сетевой периметр предприятий. Я говорю о серверах удалённого доступа и корпоративных межсетевых экранах. Администраторы брандмауэров уровня сети не ринулись переводить их в виртуальное окружение. Причиной этому является целый ряд факторов.

Во-первых, аппаратные (hardware-based) брандмауэры, яркими представителями коих являются продукты семейства Cisco PIX и ASA, просто не могут работать в виртуальном окружении из-за своей архитектуры. Во-вторых, администраторы, так называемых, программных (software-based) межсетевых экранов, яркими представителями которых являются Microsoft ISA Server и Forefront TMG, считают эксплуатацию промышленных брандмауэров в виртуальном окружении не приемлемой с точки зрения безопасности. Дискуссия о подобного рода аргументации выходит за рамки моей сегодняшней заметки, но я обязательно вернусь к этой теме на страницах {Бинарного} Форпоста.

На сегодня нам будет достаточно того, что с выходом Windows Server 2008, включающем полноценный гипервизор Hyper-V для аппаратной виртуализации серверных приложений, компания Microsoft официально поддерживает эксплуатацию production-серверов с ISA Server и Forefront TMG в виртуальной среде.

Отмечу, что компания Microsoft и ранее поддерживала эксплуатацию ISA Server в виртуальной среде на платформе Microsoft Virtual Server. Но эта поддержка была “не совсем полной”, если позволите так выразиться. Дело в том, что виртуализация ISA Server в среде Microsoft Virtual Server требовала выполнения ряда дополнительных условий. А выполнение этих условий сводило на нет подавляющее большинство преимуществ работы в виртуальной среде.

За подробностями поддержки вендором работы ISA Server и Forefront TMG в виртуальном окружении можете обратиться с документу Security Considerations with Forefront Edge Virtual Deployments.

Принимая во внимание всё вышесказанное, я хочу поделиться опытом практического внедрения Microsoft ISA Server в виртуальной вреде под управлением Windows Server 2008 Hyper-V. Совсем недавно мною был завершён проект миграции физического сервера ISA Server 2004 на ISA Server 2006 в виртуальной среде Hyper-V у одного из наших заказчиков. Но обо всём по порядку.

Читать далее…

Как я и писал, вчера состоялся первый вебкаст серии “Forefront Ninjutsu”, посвящённый теме “Защита электронной почты с помощью Forefront TMG”. И хотя времени для подготовки доклада и создания достойной презентации у меня не было по причине пребывания в очередном отпуске, встреча получилась весьма интересной.

В роли приглашённого эксперта по почтовым системам уровня предприятия, в частности Microsoft Exchange Server, выступил Павел Нагаев. Паша на протяжении всего доклада не скупился на комментарии и представлял взгляд администратора почтовых систем на вопросы обеспечения безопаности внешнего доступа к службе электронной почты. За что ему выражается огромная благодарность!

В рамках встречи мы подробно рассмотрели:

• различные сценарии предоставления безопасного удалённого доступа к почтовым серверам внутренней сети компании, их преимущества и недостатки;
• почему использования маршрутизаторов, устройств преобразования сетевых адресов (NAT) и аппаратных брандмауэров транспортного уровня для публикации внутренних почтовых серверов в наши дни недостаточно с точки зрения безопасности;
• различные сценарии защиты почтовых серверов с помощью Microsoft ISA Server и Forefront TMG;
• механизм создания политики защиты электронной почты (E-Mail Protection Policy) и дополнительных правил маршрутизации почтового трафика (SMTP Route) с помощью Forefront TMG Beta 3;
• механизм настройки параметров защиты почтового трафика от спама, вредоносного кода, а также параметров контентной фильтрации с помощью Forefront TMG Beta 3;
• интеграцию Forefront TMG Beta 3 с другими продуктами безопасности, такими как Exchange Server 2010 Edge Transport Server Role Beta и Forefront Security for Exchange Server 11 Beta 2;
• и многое другое…

Для всех тех, кто по каким-либо причинам не смог принять участия в нашей онлайн-встрече, доступна запись вебкаста. Вы можете загрузить запись в наиболее подходящем для Вас формате и посмотреть доклад в любое время.

Скачать запись вебкаста “Защита электронной почты с помощью Forefront TMG” HFP, Размер: 18.12 MB, Скачали: 97 раз(а).

Скачать запись вебкаста “Защита электронной почты с помощью Forefront TMG” WMV, Размер: 13.87 MB, Скачали: 243 раз(а).

P.S. По прибытии из отпуска я приступлю к подготовке второго доклада серии “Forefront Ninjutsu”.

Итак, это свершилось. То, о чём я так долго говорил. То, что я так долго взращивал в своём сознании. Та идея, которую некоторые скептики похоронили ещё до её рождения. Идея создания серии вебкастов, посвященных непосредственно технологиям и продуктам безопасности, в частности технологиям и продуктам семейства Microsoft Forefront Security. Эта идея воплотилась в серии вебкастов, объединенных общим названием “Forefront Ninjutsu”. И сегодня мы станем свидетелями её открытия!

Первый вебкаст серии “Forefront Ninjutsu” пройдёт сегодня 25 июня 2009 г. с 21:00 до 23:00 (по московскому времени). Тема нашей встречи — “Защита электронной почты с помощью Forefront TMG”.

Как многие из вас знают, электронная почта является одним из самых старейших сетевых сервисов. Электронная почта появилась немногим позже рождения самой сети. Примечательно, что и по сей день электронная почта является одним из самых критичных сервисов любого современного бизнеса. Но, несмотря на столь долгий путь развития в несколько десятилетий, концептуально сервис электронной почты изменился незначительно. Чего нельзя сказать о методологиях организации безопасной почтовой системы. На протяжении всего существовании службы электронной почты одну концепцию безопасного подключении внешних почтовых серверов к серверам внутренней сети организации сменяла другая.

В рамках данного вебкаста мы рассмотрим различные сценарии организации безопасного подключения внешних серверов к внутренней почтовой системе компании в контексте их исторического развития. Подробно рассмотрим современные требования с точки зрения безопасности, предъявляемые к почтовым системам.

А наиболее пристальное внимание мы уделим защите электронной почты с помощью Forefront Threat Management Gateway (TMG) на ряде вопросов:

• Что такое Secure Mail Gateway?
• Как наиболее безопасно организовать внешний доступ к почтовой системе с помощью Forefront TMG?
• Как интегрировать Forefront TMG с другими продуктами защиты электронной почты, такими как Edge Transport Server Role (Exchange Server 2007/2010) и Forefront Security for Exchange Server 10/11?
• Как организовать эффективное и удобное управления всеми средствами защиты электронной почты?

Для участия в конференции вам понадобятся наушники, микрофон или же гарнитура (желательно использовать USB-гарнитуру), клиентское приложение Microsoft Office Live Meeting 2007, подключение к сети Интернет и, что самое главное, желание получения новых знаний =)

Подключиться к конференции “Защита электронной почты с помощью Forefront TMG | Forefront Ninjutsu”

(ссылка будет доступна за 30 минут до начала конференции)

В прошлый раз, рассказывая о новых функциях недавно вышедшего Forefront TMG Beta 3, я упоминал об URL Filtering в свете самого фундаментального нововведения. Причин тому есть сразу несколько, но обо всём по порядку.

Предыстория

Любой администратор, отвечающий за предоставление доступа компании к ресурсам сети Интернет, рано или поздно сталкивается с необходимостью этот самый доступ ограничить, как бы парадоксально это ни звучало.

Полагаю, большинство российских администраторов ISA Server хотя бы раз создавало на самой вершине политики брандмауэра запрещающее правило доступа к таким полезным ресурсам, как odnoklassniki.ru, vkontakte.ru  и иже с ними.

Да, ISA Server позволяет контролировать доступ к ресурсам сети Интернет за счёт запрещающих правил политики брандмауэра (Firewall Policy), наборов URL-адресов (URL Set), наборов доменных имен (Domain Name Set), гибких настоек HTTP-фильтра на уровне приложений и так далее. Проблема в том, что делать это всё приходиться ручками. А так как сеть Интернет динамична по своей природе, созданный вчера набор адресов всех социальных сетей и сайтов знакомств сегодня уже не актуален. Вот и приходиться администратору день за днём разгребать файлы журналов, выуживать из них адреса и сетевые имена и добавлять их в запрещающее правило. А завтра снова в бой, покой нам только снится…

Ну, конечно, не всё ещё прогнило в датском королевстве. Сообщество делится предварительно созданными наборами доменных имен и URL-адресов для ISA Server, разбитых на типовые категории. Правда, многих администраторов, воспользовавшихся данными наборами (служб категоризации на дому), тут же настигает ошеломляющее открытие – сайт Яндекс почему-то оказывается в категории “Детская порнография” и финансовый директор не может получить к нему доступ (что, согласитесь, естественно), а вот сервис, подобный LovePlanet, – в разделе “Finance”, от чего офис-менеджер Люда может посвятить весь рабочий день общению с иностранными гуру фондовых рынков =)

Читать далее…

“It takes us One Step Closer to the edge and we are NOT about to break…”

Вольная интерпретация текста композиции

Linkin Park – One Step Closer

Ещё на конференции Microsoft TechEd 2009, проходившей в мае сего года в славном городе Los Angeles, сотрудники Майкрософт продемонстрировали Forefront Threat Management Gateway (TMG) Beta 3. Но, к нашему великому сожалению, на тот момент Forefront TMG Beta 3 отсутствовала в публичном доступе. По этой самой причине нам оставалось довольствоваться чтением и просмотром немногочисленных интервью с конференции, слабо освящающих подробности о последней версии Forefront TMG. Такому безобразию просто должен быть придти конец =)

Именно приходом конца этому безобразию и было ознаменовано 9 июня 2009 года. Версия Forefront TMG Beta 3 стала доступна публично! “Да чем же она хороша?” – спросите вы. “Спросите об этом мальчишку, что в доме напротив живёт” (с) Ярослав Смеляков.

Шучу, конечно. Далеко ходить не нужно. Спросите лучше меня :)

Читать далее…