{Бинарный} Форпост | Блог Артёма Синицына

“Think” (c) Thomas J. Watson, IBM

Добро пожаловать в ИТ-бестиарий, коллеги. Сегодня мы с Вами познакомимся с таким мифичеcким существом, как Hork Mode. Полагаю, большинство администраторов ISA Server никогда не слышали этого имени. Немногие слышали, но никак не соотносили странное словосочетание с миром межсетевых экранов вообще и ISA Server в частности. Более опытные коллеги же вздрагивали при первых звуках – “hooooooorkkk” :) Но, как известно, у страха глаза, как у героев аниме-сериалов. На самом деле Hork Mode – это название режима работы ISA Server с единственным сетевым адаптером! И поверьте мне, это реально страшно О_О

Давайте подробно разберём имеет ли данный сценарий внедрения ISA Server/TMG право на существование, его преимущества…прошу прощения, их не будет…и недостатки, недостатки, недостатки…Итак ключ на старт, педаль управления дроссельной заслонкой в пол, лязг колёс, первая звуковая…

Читать далее…

Полагаю, большинство из Вас знакомы со столь популярной в наше время темой виртуализации. Использование технологий виртуализации, в частности гипервизора Hyper-V компании Microsoft, для построения серверной инфраструктуры дает Вам целый ряд неоспоримых преимуществ. Но вместе с тем развертывание серверных приложений в виртуальной среде накладывает еще более жесткие и строгие требования к процессу планирования и дизайна Ваших информационных систем.

Это утверждение справедливо и для систем безопасности. Внедрение продуктов семейства Forefront Edge Security, таких как Microsoft ISA Server, Forefront TMG, IAG и Forefront UAG, в виртуальном окружении представляет собой достаточно непростую задачу, требующую очень серьезного подхода к её решению. Как ISA Server/TMG является корпоративным брандмауэром уровня сети, так и остальные продукты семейства Forefornt Edge Security заточены на работу с сетевым трафиком и, соответственно, сильно утилизируют ресурсы сетевой подсистемы. Этот факт становится еще более критичным в контексте виртуализации аппаратных ресурсов сетевых адаптеров. Именно помочь в разрешении подобных проблем с работой сетевой подсистемы виртуализованных межсетевых экранов ISA Server/TMG и призвана данная статья.

Читать далее…

Полагаю, читателям этого блога не стоит рассказывать, кто скрывается за тривиальным американским именем, воспетым в художественной литературе Сэмюэлом Клеменсом. Томас Шиндер не нуждается в представлении. Он давно уже стал легендой мира ISA Server/Forefront TMG.

Авторству доктора Шиндера принадлежат 6 книг всецело посвященных ISA Server, десятки сотен технических статей и докладов на тему Forefront Edge Security, ISA Server, Forefront TMG, IAG, UAG, Windows Security, Identity & Access, Remote Access Technologies. Это Том — идейный лидер, главный автор и локомотив центрального интернет-ресурса ISAServer.org. Каждый день из-под его пера выходят несколько статей и постов для таких ресурсов как ISAServer.org и WindowsSecurity.org. Последний десяток лет он ежегодно, несомненно заслуженно, получает статус Microsoft MVP.

Работоспособность Тома не может не вдохновлять :) На его научных работах выросли целые поколения системных администраторов и инженеров. Первая книга Вашего покорного слуги по ISA Server была написана Томом Шиндером. К экзамену 70–291, самому сложному на мой взгляд в треке MCSE2003:Security, я готовился по книге Тома Шиндера. Самые свежие новости о разработке Forefront TMG я подчерпывал из его блога и его докладов.

Говорить про достижения Томаса Шиндера можно ещё очень долго. Но и этого вполне хватит для того, чтобы понять моё удивление. Сегодня, как и каждый месяц, в мой почтовый ящик приходит новостная рассылка ISAServer.org, датированная ноябрём сего года. И в этом замечательном эссе сразу после феерического рассказа об официальном выходе Forefront TMG 2010 RTM, Томас Шиндер пишет о том, что он… уходит…

Читать далее…

Коллеги, нам с Вами представилась уникальная возможность стать частью нового витка в развитии Microsoft ISA Server! Мы ждали этого целых 3 года: последняя версия ISA Server датирована далеким 2006ым. В процессе ожидания в названии продукта сменились все 3 буквы: ISA –> TMG. И вчерашний вечер подарил нам с Вами, с таким нетерпением ожидаемую, трехбуквенную аббревиатуру версии – Forefront TMG 2010 RTM!

Вслед за официальным представлением Forefront Threat Management Gateway 2010 на конференции Microsoft TechEd 2009 в Берлине и моим докладом на Платформе 2010 в Москве Вы можете загрузить ознакомительную версию TMG 2010 (пока доступна только на английском, немецком и японском языках) и самим убедиться, насколько широко данный продукт расширяет возможности решений семейства Forefront Edge Security. За официальном объявлением о выходе Forefront TMG 2010 RTM Вы можете обратиться к блогу команды разработчиков Forefront TMG.

Так что пристегните ремни безопасности и приготовьтесь к взлету…Только не забудьте загрузить Forefront TMG 2010 :)

Добро пожаловать в завтра!!!

Коллеги, это наконец свершилось – вышел кандидат на выпуск Forefront TMG 2010 RC! Да-да, никаких оптических галлюцинаций. Вы можете скачать установочные пакеты Forefront TMG 2010 RC прямо сейчас!

Я уверен, этого события ждали очень многие…и ещё больше энтузиастов уже раскрыли свои объятия и пытливые умы ранним бета-версиям Forefront TMG :)

Но Release Candidate – это гораздо больше чем просто очередной бета-релиз перед выпуском окончательной версии продукта. Это СОБЫТИЕ, прямым образом влияющее на дальнейшую судьбу продукта. Я прекрасно понимаю, что вам уже не терпится перейти по ссылке для загрузки TMG RC. Но позвольте украсть у вас несколько минут и постараться раскрыть всю прелесть этой пятибуквенной аббревиатуры… Читать далее…

Завтра (3 сентября 2009 г.) состоится очередная встреча участников самарского MCP-клуба. Я уже достаточно давно не выступал на этих встречах в качестве докладчика. Посему с удовольствием принял предложения нашего бравого MCP Lead Максима Ефремова рассказать участникам об…сюрприз-сюрприз…Forefront TMG 2010 :)

В рамках данного доклада мы подробно рассмотрим следующие темы:

• Будущее семейства продуктов Forefront Edge Security & Access
• Обзор возможностей Forefront TMG 2010
• Сценарии развертывания Forefront TMG 2010
• Предоставление безопасного удаленного доступа к ресурсам сети Интернет
• Новые функции Remote Access в Forefront TMG 2010
• Интеграция в комплексную систему безопасности Forefront Protection Suite (бывший Forefront Codename Stirling)
• Сравнение с возможностями предшествующих продуктов
• И демо, демо, демо…

Обращаю Ваше внимание на то, что регистрация на данное мероприятия является обязательной. Для регистрации перейдите по ссылке и следуйте инструкциям.

Регистрация на участие в сентябрьской встрече самарского MCP-клуба

Конечно же, наша встреча, как и всегда, будет полна интерактивом. Мы обязательно будем дискутировать по всякому поводу, и без повода. Мест хватит на всех, так что милости просим :)

На множестве форумов, повященных ISA Server, неоднократно всплывал вопрос “Поддерживается ли технология VLAN в ISA Server?”

Совсем недавно лично мне пришлось услышать бросающее в дрожь утверждение: “Мы не можем заменить наш шлюз (мегазащищённый фортифицированный пограничный бастион) ИСОЙ (ISA Server), просто потому что эта самая ИСА (ISA Server) не поддерживает виланы (VLAN)” (орфография автора была сохранена с моими комментариями в скобках). К слову сказать, “шлюз” представлял собой старую железку под управлением linux-подобной ОС с настроенным базовым функционалом маршрутизатора. По мнению автора этой убойной фразы упомянутый “шлюз“ выгодно отличался от ISA Server поддержкой VLAN. Именно это наивное заблуждение сподвигло меня к написанию данной заметки.

Внимание, вопрос

Некий $t3p4N из города Самара интересуется: “Поддерживается ли VLAN в ISA Server?”

Мы с вами, уважаемые знатоки, сохраним целую минуту обсуждения и ответим сразу – и нет, и ДА! Далее мы постараемся объяснить господину ведущему столь противоречивый ответ. Читать далее…

Предисловие

За последние несколько лет технологии виртуализации приобрели огромную популярность. В частности, концепция консолидации серверных ролей за счёт миграции физических серверов в виртуальную среду превратилась из сомнительных рассказов о недалёком будущем в решение, доступное практически каждой компании. Но весь этот ажиотаж совершенно не коснулся серверных ролей, призванные защищать сетевой периметр предприятий. Я говорю о серверах удалённого доступа и корпоративных межсетевых экранах. Администраторы брандмауэров уровня сети не ринулись переводить их в виртуальное окружение. Причиной этому является целый ряд факторов.

Во-первых, аппаратные (hardware-based) брандмауэры, яркими представителями коих являются продукты семейства Cisco PIX и ASA, просто не могут работать в виртуальном окружении из-за своей архитектуры. Во-вторых, администраторы, так называемых, программных (software-based) межсетевых экранов, яркими представителями которых являются Microsoft ISA Server и Forefront TMG, считают эксплуатацию промышленных брандмауэров в виртуальном окружении не приемлемой с точки зрения безопасности. Дискуссия о подобного рода аргументации выходит за рамки моей сегодняшней заметки, но я обязательно вернусь к этой теме на страницах {Бинарного} Форпоста.

На сегодня нам будет достаточно того, что с выходом Windows Server 2008, включающем полноценный гипервизор Hyper-V для аппаратной виртуализации серверных приложений, компания Microsoft официально поддерживает эксплуатацию production-серверов с ISA Server и Forefront TMG в виртуальной среде.

Отмечу, что компания Microsoft и ранее поддерживала эксплуатацию ISA Server в виртуальной среде на платформе Microsoft Virtual Server. Но эта поддержка была “не совсем полной”, если позволите так выразиться. Дело в том, что виртуализация ISA Server в среде Microsoft Virtual Server требовала выполнения ряда дополнительных условий. А выполнение этих условий сводило на нет подавляющее большинство преимуществ работы в виртуальной среде.

За подробностями поддержки вендором работы ISA Server и Forefront TMG в виртуальном окружении можете обратиться с документу Security Considerations with Forefront Edge Virtual Deployments.

Принимая во внимание всё вышесказанное, я хочу поделиться опытом практического внедрения Microsoft ISA Server в виртуальной вреде под управлением Windows Server 2008 Hyper-V. Совсем недавно мною был завершён проект миграции физического сервера ISA Server 2004 на ISA Server 2006 в виртуальной среде Hyper-V у одного из наших заказчиков. Но обо всём по порядку.

Читать далее…

Как я и писал, вчера состоялся первый вебкаст серии “Forefront Ninjutsu”, посвящённый теме “Защита электронной почты с помощью Forefront TMG”. И хотя времени для подготовки доклада и создания достойной презентации у меня не было по причине пребывания в очередном отпуске, встреча получилась весьма интересной.

В роли приглашённого эксперта по почтовым системам уровня предприятия, в частности Microsoft Exchange Server, выступил Павел Нагаев. Паша на протяжении всего доклада не скупился на комментарии и представлял взгляд администратора почтовых систем на вопросы обеспечения безопаности внешнего доступа к службе электронной почты. За что ему выражается огромная благодарность!

В рамках встречи мы подробно рассмотрели:

• различные сценарии предоставления безопасного удалённого доступа к почтовым серверам внутренней сети компании, их преимущества и недостатки;
• почему использования маршрутизаторов, устройств преобразования сетевых адресов (NAT) и аппаратных брандмауэров транспортного уровня для публикации внутренних почтовых серверов в наши дни недостаточно с точки зрения безопасности;
• различные сценарии защиты почтовых серверов с помощью Microsoft ISA Server и Forefront TMG;
• механизм создания политики защиты электронной почты (E-Mail Protection Policy) и дополнительных правил маршрутизации почтового трафика (SMTP Route) с помощью Forefront TMG Beta 3;
• механизм настройки параметров защиты почтового трафика от спама, вредоносного кода, а также параметров контентной фильтрации с помощью Forefront TMG Beta 3;
• интеграцию Forefront TMG Beta 3 с другими продуктами безопасности, такими как Exchange Server 2010 Edge Transport Server Role Beta и Forefront Security for Exchange Server 11 Beta 2;
• и многое другое…

Для всех тех, кто по каким-либо причинам не смог принять участия в нашей онлайн-встрече, доступна запись вебкаста. Вы можете загрузить запись в наиболее подходящем для Вас формате и посмотреть доклад в любое время.

Скачать запись вебкаста “Защита электронной почты с помощью Forefront TMG” HFP, Размер: 18.12 MB, Скачали: 64 раз(а).

Скачать запись вебкаста “Защита электронной почты с помощью Forefront TMG” WMV, Размер: 13.87 MB, Скачали: 156 раз(а).

P.S. По прибытии из отпуска я приступлю к подготовке второго доклада серии “Forefront Ninjutsu”.

Итак, это свершилось. То, о чём я так долго говорил. То, что я так долго взращивал в своём сознании. Та идея, которую некоторые скептики похоронили ещё до её рождения. Идея создания серии вебкастов, посвященных непосредственно технологиям и продуктам безопасности, в частности технологиям и продуктам семейства Microsoft Forefront Security. Эта идея воплотилась в серии вебкастов, объединенных общим названием “Forefront Ninjutsu”. И сегодня мы станем свидетелями её открытия!

Первый вебкаст серии “Forefront Ninjutsu” пройдёт сегодня 25 июня 2009 г. с 21:00 до 23:00 (по московскому времени). Тема нашей встречи — “Защита электронной почты с помощью Forefront TMG”.

Как многие из вас знают, электронная почта является одним из самых старейших сетевых сервисов. Электронная почта появилась немногим позже рождения самой сети. Примечательно, что и по сей день электронная почта является одним из самых критичных сервисов любого современного бизнеса. Но, несмотря на столь долгий путь развития в несколько десятилетий, концептуально сервис электронной почты изменился незначительно. Чего нельзя сказать о методологиях организации безопасной почтовой системы. На протяжении всего существовании службы электронной почты одну концепцию безопасного подключении внешних почтовых серверов к серверам внутренней сети организации сменяла другая.

В рамках данного вебкаста мы рассмотрим различные сценарии организации безопасного подключения внешних серверов к внутренней почтовой системе компании в контексте их исторического развития. Подробно рассмотрим современные требования с точки зрения безопасности, предъявляемые к почтовым системам.

А наиболее пристальное внимание мы уделим защите электронной почты с помощью Forefront Threat Management Gateway (TMG) на ряде вопросов:

• Что такое Secure Mail Gateway?
• Как наиболее безопасно организовать внешний доступ к почтовой системе с помощью Forefront TMG?
• Как интегрировать Forefront TMG с другими продуктами защиты электронной почты, такими как Edge Transport Server Role (Exchange Server 2007/2010) и Forefront Security for Exchange Server 10/11?
• Как организовать эффективное и удобное управления всеми средствами защиты электронной почты?

Для участия в конференции вам понадобятся наушники, микрофон или же гарнитура (желательно использовать USB-гарнитуру), клиентское приложение Microsoft Office Live Meeting 2007, подключение к сети Интернет и, что самое главное, желание получения новых знаний =)

Подключиться к конференции “Защита электронной почты с помощью Forefront TMG | Forefront Ninjutsu”

(ссылка будет доступна за 30 минут до начала конференции)