Εισαγωγή

Ο Forefront

Threat Management Gateway (TMG) 2010, είναι διαθέσιμος εδώ και περίπου έξι μήνες από την Microsoft. Παρόλα αυτά στα πλαίσια της διαδικασίας εξέλιξης και βελτιστοποίησης του συγκεκριμένου προϊόντος η Microsoft, παρουσιάσε πριν από λίγες ώρες την τελική έκδοση του Service Pack 1 του TMG 2010. Εκτός από τις συνηθισμένες διορθώσεις bugs, το συγκεκριμένο update περιλαμβάνει νέα χαρακτηριστικά και βελτιωμένη λειτουργικότητα. Τα νέα αυτά χαρακτηριστικά περιλαμβάνουν βελτιώσεις στο URL filtering, enhanced reporting, και integration με το Windows

BranchCache. Σε αυτό το άρθρο θα παρουσιάσουμε αναλυτικά τα καινούρια αυτά χαρακτηριστικά.

 

Βελτιώσεις στο URL Filtering

Μια σειρά βελτιώσεων αναπτύχθηκαν για το URL filtering στο TMG 2010 SP1.

Ορισμένες από αυτές είναι οι παρακάτω :

User override for blocked categories – Με την έκδοση TMG RTM, σε μια κατηγορία URL επιτρέπετε ή δεν επιτρέπετε η πρόσβαση, χωρίς να παρέχεται η δυνατότητα στον χρήστη να συνεχίσει με δική του απόφαση στην συγκεκριμένη ιστοσελίδα στην οποία ο TMG δεν επιτρέπει την πρόσβαση. Το καινούριο χαρακτηριστικό override επιτρέπει στους διαχειριστές του συστήματος (Administrator), να προειδοποιούν αποτελεσματικά τους χρήστες σχετικά με την πρόθεσή τους να επισκεφθούν ορισμένες ιστοσελίδες, παρέχοντάς τους την δυνατότητα να συνεχίσουν εφόσον το επιλέξουν βάση κανόνα ασφαλείας σε επίπεδο χρήστη.Ένα τέτοιο παράδειγμα η απαγόρευση πρόσβασης σε Online

Communities category, έτσι ώστε να μην είναι δυνατή η χρήση ιστοσελίδων όπως το FaceBook και το Twitter,εμφανίζοντας στους χρήστες μια σελίδα 'soft' block, βάση της οποίας ενημερώνονται ότι μπορούν να συνεχίσουν την πλοήγηση στην συγκεκριμένη ιστοσελίδα, αλλά η πρόσβασή τους βρίσκεται υπό παρακολούθηση και καταγράφεται. (Monitoring & Logging)

 

Για να ρυθμίσουμε το blocked category override, δημιουργούμε έναν access rule ο οποίος δεν επιτρέπει την πρόσβαση σε μια συγκεκριμένη κατηγορία ιστότοπων (URL Category) όπως συνηθίζεται σε αυτές τις περιπτώσεις. Πριν από την εφαρμογή του συγκεκριμένου κανόνα (applying

the configuration), κάνουμε δεξί - κλικ στον συγκεκριμένο κανόνα και επιλέγουμε το Properties.

Figure 1

Εν συνεχεία επιλέγουμε το Action tab, και αμέσως μετά επιλέγουμε το option Allow

user override. Επιπροσθέτως έχουμε την δυνατότητα εφόσον το επιθυμούμε να ορίσουμε και την χρονική διάρκεια κατά την οποία θα επιτέπεται το override.

Figure 2

Συνεπώς όταν ένας χρήστης προσπαθεί να έχει πρόσβαση σε μια συγκεκριμένη ιστοσελίδα, στην οποία η πρόσβαση δεν επιτρέπεται λόγω του υφιστάμενου access

rule, ο κανόνας είναι έτσι ρυθμισμένος ώστε επιτρέπει στον χρήστη το override. Έτσι όταν εμφανίζεται στην οθόνη του χρήστη το block page αυτή περιλαμβάνει και την δυνατότητα του Override Access Restriction.

Figure 3

Εφόσον ο χρήστης επιλέξει το override του block της συγκεκριμένης ιστοσελίδας για να συνεχίσει την πλοήγηση σ'αυτήν,

ο TMG πολύ απλά κάνει bypass στον κανόνα rule και συνεχίζει την επεξεργασία. Αυτή η διαδικασία είναι ζωτικής σημασίας, διότι απλά σημαίνει ότι ο χρήστης θα πρέπει να έχει πρόσβαση διαμέσου κάποιου άλλου κανόνα στην πολιτική ασφαλείας (Policy Rule Order) για να έχει εξασφαλισμένη την πρόσβαση στην ιστοσελίδα την οποία επιθυμεί να επισκεφτεί. Στην αντίθετη περίπτωση η πρόσβαση δεν επιτέπεται.

Enterprise category override – Αυτό το νέο χαρακτηριστικό επιτρέπει τα category overrides να ρυθμίζονται σε enterprise level. Στο παρελθόν έαν είχαμε πολλαπλούς (multiple) arrays, τα category overrides έπρεπε να ρυθμιστούν σε κάθε array ξεχωριστά. (individually)

Για να ρυθμίσουμε τα enterprise-level category overrides, επιλέγουμε το Enterprise

node στο console tree.

Figure 4

Εν συνεχεία στο Tasks pane, κάνουμε κλικ στο Configure URL Category

Overrides link.

Figure 5

Τα Category overrides τα οποία καθορίζονται σε αυτό το σημείο έχουν ισχύ για όλα τα arrays τα οποία είναι μέλη του Enterprise.

Figure 6

Request information available for block page redirects – Για οργανισμούς οι οποίοι επιλέγουν να μην χρησιμοποιήσουν τα native TMG block pages, αλλά αντ' αυτών να κάνουν redirect τα denied requests σε κάποιον άλλον web server (Για να έχουν το πλεονέκτημα του scripting το οποίο δεν είναι διαθέσιμο στο

TMG block page), επιπρόσθετη πληροφορία είναι πλέον διαθέσιμη στο query

string η οποία επιτρέπει στους administrators να παρουσιάσουν ενδελεχή πληροφόρηση (detailed information) στα δικά τους (custom) block pages. Το redirect query string μπορεί πλέον να περιλαμβάνει πληροφορία σχετική με το original request, όπως το αιτούμενο URL, το

category name, το category ID, καθώς και το user override option.

Για να ρυθμίσουμε το redirect σε κάποιον άλλο web server όταν ένα αίτημα γίνεται μη επιτρεπτό - μη αποδεκτό από το

URL filtering, κάνουμε διπλό κλικ στον access rule, εν συνεχεία επιλέγουμε το Action

tab, και τέλος κάνουμε κλικ στο Advanced… button.

Figure 7

Επιλέγουμε την option του Redirect web client to the following URL:.

Καθορίζουμε το destination URL με βάση το ακόλουθο format:

http://<server_name>/default.aspx?OrigUrl=[DESTINATIONURL]&Category=[urlCATEGORYNAME]&CategoryId=[urlCATEGORYID]&ArrayGUID=[OVERRIDEGUID]

Figure 8

Τα πεδία (fields) τα οποία περιλαμβάνονται στο query string καθορίζονται (mapped) όπως παρακάτω :

[DESTINATIONURL] = URL του μη επιτρεπόμενου αιτήματος (denied request).

[urlCATEGORYNAME] = Όνομα του category του μη επιτρεπόμενου αιτήματος στο οποίο ανήκει.

[urlCATEGORYID] = ID number του category του μη επιτρεπόμενου αιτήματος στο οποίο ανήκει.

[OVERRIDEGUID] = Array GUID το οποίο χρησιμοποιείται για το blocked category

override.

Ενσωμάτωση (Integration) της υπηρεσίας Branch Cache

Το TMG SP1 τώρα περιλαμβάνει και τηνυποστήριξη του integrated hosted-mode τουWindows

BranchCache. Όταν ο TMG εγκαθίσταται σε λειτουργικό σύστημα Windows Server 2008 R2 Enterprise

edition, τότε το BranchCache μπορεί να ρυθμιστεί και να διαχειρίζεται απευθείας από την TMG management console. Για να ρυθμίσουμε το BranchCache με τον TMG SP1, επιλέγουμε το Firewall Policy node στο console tree.

Figure 9

Στο Tasks pane, κάνουμε κλικ στο Configure BranchCache

link.

Figure 10

Επιλέγουμε την option του Enable BranchCache (Hosted Cache Mode).

Figure 11

Εν συνεχεία επιλέγουμε το Authentication tab, και αμέσως μετά κάνουμε κλικ στο Select…

buttonέτσι ώστε να επιλέξουμε το πιστοποιητικό (certificate) το οποίο θα παρουσιάσει ο TMG στους χρήστες (client

computers) για ταυτοποίηση (authentication).

Figure 12

Επιπροσθέτως μας παρέχεται η δυνατότητα να επιλέξουμε το Storage tab και να καθορίσουμε μια εναλλακτική τοποθεσία (alternate location) για να αποθηκεύσουμε την cache οριοθετώντας το ποσοστό του partition το οποίο μπορεί να χρησιμοποιηθεί για cache.

Figure 13

Reporting Enhancements

Ορισμένες ουσιώδεις αλλαγές έχουν πραγματοποιηθεί και στο reporting του TMG SP1. Η εμφάνιση (look-and-feel) των reports έχει αλλάξει ελαφρώς έτσι ώστε να δείχνει πιο μοντέρνο. Τώρα είναι διαθέσιμο ένα καινούριο user activity report το οποίο παρέχει λεπτομερή αναφορά όσον αφορά το individual user access, και τα υπόλοιπα reports επίσης περιλαμβάνουν επιπρόσθεστη πληροφορία - λεπτομέρεια σχετικά με τα user category overrides και την απόδοση του BranchCache. Για να δημιουργήσουμε ένα activity report, κάνουμε highlight το Logs

& Reports node στο console tree.

Figure 14

Στο Tasks pane, κάνουμε κλικ στο Create User Activity Report

Job link.

Figure 15

Ο New User Activity Report Job Wizard ξεκινά. Εισάγουμε ένα χαρακτηριστικό όνομα για το συγκεκριμένο report.

Figure 16

Επιλέγουμε την επιθυμητή χρονική περίοδο Report Period για το υπό κατασκευή report.

Figure 17

Εισάγουμε τα ονόματα και τις ΙΡ διευθύνσεις (name(s) and/or IP address(es)) του χρήστη ή των χρηστών για τον οποίο ή τους οποίους θα δημιουργήσουμε το report. Πολλαπλοί χρήστες ή ΙΡ διευθύνσεις (Multiple users or IP addresses) μπορούν να συμπεριληφθούν, διαχωριζόμενοι από semicolons. Εάν οι χρήστες είναι μέλη ενός domain, χρησιμοποιούμε το DOMAIN\USERNAME

format όπως αυτό παρουσιάζεται παρακάτω.

Figure 18

Μόλις ολοκληρωθεί κάνουμε δεξί κλικ στο report και επιλέγουμε Generate and

View Report.

Figure 19

Figure 20

Βελτιώσεις στο Monitoring

Η πληροφορία η οποία αφορά το BranchCache performanceπλέον εμφανίζεται με τον πλέον ενδεδειγμένο τρόπο στο dashboard του TMG management console.

Figure 21

Νέα BranchCache alert definitions περιλαμβάνονται επίσης.

Figure 22

Συμπέρασμα

Το TMG Service Pack 1 όχι μόνον περιλαμβάνει αναβαθμίσεις (updates) οι οποίες διορθώνουν λογικά λάθη (bug fixes),αλλά συνάμα περιλαμβάνει και μια σειρά από νέα χαρακτηριστικά σε συνδυασμό με τον εμπλουτισμό με καινούριες δυνατότητες ήδη υπαρχόντων χαρακτηριστικών. Συγκεκριμάνα στο URL filtering, η δυνατότητα του override option επιτρέπει στους administrators

να προειδοποιούν τους χρήστες ότι η επίσκεψη σε συγκεκριμένους ιστότοπους μπορεί μεν να επιτρέπεται, αλλά αυτό ταυτόχρονα δεν ενθαρρύνεται διότι θα βρίσκονται πάντοτε υπό στενό έλεγχο. Επίσης το enterprise-level category override θα διευκολύνει την διαχείριση πολλαπλών συστημάτων που περιλαμβάνουν πολλαπλά arrays, η δε προσθήκη του user activity reporting είναι ιδιαίτερα ευπρόσδεκτη.

Το BranchCache integration θα απλοποιήσει τα branch office

deployments εξαλείφοντας την ανάγκη για έναν αποκλειστικό (dedicated) BranchCache server.

Ολοκληρώνοντας το SharePoint 2010 υποστηρίζεται πλήρως από τον TMG SP1.