Αγαπητοί συνάδελφοι της κοινότητας σκοπός του συγκεκριμένου άρθρου είναι να παρουσίασουμε τον τρόπο με τον οποίο μπορούμε να κάνουμε
publish τις δικές μας external DNS services χρησιμοποιώντας τον TMG 2010. Φυσικά κάποιος εύλογα θα ρωτήσει για ποιό λόγο θα θέλαμε να το πραγματοποιήσουμε αυτό; Απλά ο λόγος είναι ένας και μόνος Α Σ Φ Α Λ Ε Ι Α.

Εφαρμόζοντας αυτήν την τεχνική, διασφαλίζουμε ότι δικοί μας BIND servers βρίσκονται - κρατούνται ασφαλείς στο εσωτερικό δίκτυο, χρησιμοποιώντας κανόνες για secure web publishing για όλες τις Internet facing services, έχοντας το πλεονέκτημα το οποίο απορρέει από το DNS
application filtering του TMG 2010, χαρακτηριστικό το οποίο επιτρέπει την επιπλέον θωράκιση από επιθέσεις των δικών μας name servers. Θεωρήστε την τεχνική της DMZ παλαιά και ξεπερασμένη, σε αντίθεση με το secure publishing το οποίο αποτελεί το νέο hotness.

Η διαδικασία αυτή είναι πάρα πολύ εύκολη στην υλοποίηση της. Οι μόνες προϋποθέσεις που απαιτούνται είναι η ύπαρξη external ip address για τον TMG 2010, καθώς επίσης ότι το εξωτερικό Firewall (external firewall), είναι ρυθμισμένο να επιτρέπει το UDP 53 inbound από το Internet.

Κάνουμε Log In στον TMG server, και εν συνεχεία τρέχουμε την Forefront TMG management
console.

• Κάνουμε στο Right-click Firewall Policy, και επιλέγουμε New, Non-Web Server Protocol
  Publishing Rule…
   

• Καταχωρούμε ένα όνομα (Name) για τον κανόνα publishing rule external dns, και εν συνεχεία κάνουμε κλικ στο Next.
  

• Εισάγουμε την εσωτερική IP διεύθυνση (internal ip.addr) του δικού μας BIND server,και εν συνεχεία κάνουμε κλικ στο Next.
  
  

• Από την εμφανιζόμενη drop down list, επιλέγουμε το DNS Server protocol. Μπορούμε να κάνουμε κλικ στο Properties, μετά στο Parameters έτσι ώστε να είμαστε σίγουροι ότι αυτό επιτρέπει το TCP 53
  Inbound, και το UDP 53 στο Receive και Send. Θα πρέπει να επιτρέπουμε πρόσβαση μόνονσ το UDP 53
  από το Internet. Όπως γίνεται αντιληπτό αυτό είναι σωστό. Εν συνεχεία κάνουμε κλικ στο Next.
  Σκοπός μας είναι να επιτρέψουμε την πρόσβαση στην πόρτα TCP 53 εφόσον θα χρειαστούμε να κάνουμε τα οποιαδήποτε zone transfers πάνω από το Internet… Οι κανόνες του TMG υποθέτουν πως αυτή η διαδικασία θα χρειαστεί. Μπορούμε να καθορίσουμε ένα νέο φίλτρο για τον DNS, αλλά κατά την άποψή μου αυτό στην παρούσα φάση δεν είναι απαραίτητο, εάν ποτέ χρειαστούμε να εγκαταστήσουμε έναν επιπλέον DNS server ο οποίος κάνει transfer πάνω από το Internet, διαδικασία την οποία μπορούμε να ελέγξουμε από το perimeter firewall χωρίς να χρειαστούμε να κάνουμε την οποιαδήποτε αλλαγή στον TMG.

• Επιλέγουμε την external address η οποία πρόκειται να χρησιμοποιηθεί για το DNS
  publishing.
   

• Κάνουμε κλικ στο Next, και αμέσως μετά κάνουμε κλικ στο Finish, εν συνεχεία κάνουμε access στα properties του συγκεκριμένου κανόνα (publishing
  rule). Εκτός και αν ο δικός μας TMG server αποτελεί την default gateway, τότε το ρυθμίζουμε με τέτοιο τρόπο έτσι ώστε τα
  requests να φαίνονται ότι έρχονται από τον TMG server.
  

• Σκοπός μας είναι να βελτιστοποιήσουμε τα default DNS application filter settings*. Για να το πραγματοποιήσουμε αυτό, επιλέγουμε το Intrusion Prevention, εν συνεχεία επιλέγουμε το Behavioural Intrusion
  Detection, μετά κάνουμε κλικ στο Configure Detection Settings for Common Network
  Attacks, και αμέσως μετά κάνουμε κλικ στο DNS Attacks tab. Κάνουμε Check στο κουτάκι του "DNS zone
  transfer" με σκοπό την επιπλέον προστασία εναντίον κακόβουλων επιθέσεων. (Στα Αγγλικά : to further protect against bad guys trying to pull your
  entire zone)
   
  Εάν για τον οποιοδήποτε λόγο χρειαστούμε έναν ακόμη DNS server ο οποίος θα κάνει "pull zone transfers over the Internet",
  θα χρειαστεί να αποεπιλέξουμε αυτή την επιλογή.

• Από το top της συγκεκριμένης κονσόλας, κάνουμε κλικ στο Apply, εισάγουμε την αλλαγή στην περιγραφή του configuration, και αμέσως μετά κάνουμε κλικ στο Apply για να ολοκληρώσουμε.
  

*Αναγνώριση των επιθέσεων DNS (Detection of DNS attacks)

Η πληροφορία η οποία προέρχεται αυτούσια από το TechNet, μας δίνει την δυαντότητα να αντιληφθούμε από τι επιθέσεις προστατεύει ο TMG
τους DNS servers. Για τον λόγο αυτό παραθέτω το κείμενο στην Αγγλική γλώσσα.

The DNS Filter, which is installed with Forefront TMG, intercepts and
analyzes all inbound DNS traffic destined for the Internal network and
other protected networks. If DNS attack detection is enabled, you can
specify that the DNS Filter will check for the following types of
suspicious activity.

• DNS host name overflow. A DNS response for a host
  name exceeds a certain fixed limit (255 bytes). Applications that do not
  check the length of the host names may overflow internal buffers when
  copying this host name, allowing a remote attacker to execute arbitrary
  commands on a targeted computer.
• DNS length overflow. A DNS response for an IP
  address exceeds the specified length of 4 bytes. By crafting a DNS
  response with a longer value, some applications executing DNS lookups
  will overflow internal buffers, allowing a remote attacker to execute
  arbitrary commands on a targeted computer. Forefront TMG also checks
  that the value of RDLength does not exceed the size of the rest of the
  DNS response.
• DNS zone transfer. A client system uses a DNS
  client application to transfer zones from an internal DNS server.

Όταν αναγνωρίζονται offending packets, τότε αυτά απορρίπτονται, και αυτομάτως δημιουργείται ένα event
το οποίο μας ενημερώνει ότι υπάρχει ένα DNS Intrusion alert. Μπορούμε να ρυθμίσουμε έτσι ώστε τα alerts τα εγείρονται γι' αυτά τα events, να μας ενημερώνουν άμεσα ότι αναγνωρίστηκε μια επίθεση (Attack Detection). Αντιστοίχως όταν δημιουργείται ένα DNS Intrusion event πέντε φορές κατά την διάρκεια ενός δευτερολέπτου και αφορά DNS zone transfer, τότε εγείρεται ένα DNS Zone Transfer
Intrusion alert. Από την αρχική ρύθμιση του TMG (By default), όταν εγείρονται applicable
predefined alerts, δεν πρόκειται να εμφανιστούν ξανά μέχρι να γίνουν reset χειροκίνητα. Είναι στην διακριτική μας ευχέρεια να ρυθμίσουμε το συγκεκριμένο alert να μας αποστέλει ένα email, ή να ενεργοποιεί μια συγκεκριμένη ενέργεια εφόσον το απαιτούμαι, ή απλά μπορούμε να χρησιμοποιούμε το logging για να κρατούμε ένα ιστορικό για το δίκτυο μας.

• Για λόγους σύνδεσης με την προηγούμενη έκδοση του TMG-2010, η διαδικασία ρύθμισης του ISA 2006 είναι σχεδόν ταυτόσιμη, με μόνη διαφοροποίηση ότι το Intrusion Detection βρίσκεται κάτω από το Configuration, στο General
  section.