Skip Ribbon Commands
Skip to main content

Quick Launch

 

 Ryhmän

 
 Kuvaus
 Keskustelut
 IT-Wikit
 Dokumentit
 Linkit
 Jäsenet
 Kuvat
ITpro.fi > Asiantuntijaryhmät > Tietoturva
 

 Tietoturvan asiantuntijaryhmä

 

 Ryhmän vetäjänä toimii Petri Ala-Annala, allaolevaa blogia ylläpitävät ryhmän jäsenet.
lokakuu 10
TMG 2010 SP2 ja UAG 2010 SP1 update 1 saataville
by  Mika SeitsonenNo presence information  on 10.10.2011 22:25

Auvisen Ari kirjoitteli aiemmin tänään, jotta mainitut paketit ovat saatavilla. Ensimmäisen ehdin jo yhteen koneeseen asentamaan. Tarkemmat pakettien sisällön kuvaavat kb-artikkelit ovat vielä tuloillaan, mutta huomasin ainakin sen, että TMG SP2 vaatii asentuakseen TMG SP1 Update 1:n, josta kirjoittelin aiemmin. ​Lync Web Service - ja CRM -julkaisujen tuki ovat ainakin tervetulleita. TMG:n versionumeron näet TMG:n hallintakonsolin Help-valikosta > About Forefront Threat Management Gateway... Näkyy tämän SP2:n versio olevan 7.0.9193.500. Ei ole vielä ​http://blog.forefront-tmg.de/?page_id=27 taulukot päivittyneet näiden pakettien osalta, mutta eiköhän huomenna ole jo päivä uus :)

Permanent Link to Post | Email Post Link | Number of Comments 0 Comment(s)
joulukuu 09
UAG 2010 Service Pack 1 saatavana
by  Mika SeitsonenNo presence information  on 9.12.2010 0:45

Forefront UAG (Unified Access Gateway) 2010 on vihdoin saanut ensimmäisen korjauspakettinsa! Ensimmäisen vuotensa aikana tuotteeseen​ on tullut kaksi pienempiä parannuksia ja korjauksia sisältävää päivityspakettia (Update 1 ja 2) ja marraskuussa 2010 julkaistu tietoturvapäivitys http://www.microsoft.com/technet/security/bulletin/ms10-089.mspx. Päivityksistä on hyvä yhteenveto versionumeroineen tuoteryhmän blogissa.

Ladattavana SP 1 löytyy toistaiseksi:

  • Pelkkänä päivityspakettina; .exe-asennuspaketti ja myös SP 1-tietämyksellä päivitetty .chm
  • SP 1:n sisältävänä 120 päivän testipakettina; DVD:n ISO-kuva

Paketissa on mukana myös TMG SP 1 ja TMG SP 1 Update 1. Sen sijaan pari viikkoa sitten julkistettu TMG SP 1 Update 2 pitää ladata ja asentaa erikseen.

Uudet toiminnot löytyvät mukavasti Technetin taulukosta.

Huhtikuussa 2009 järjestetyssä ITpro.fi-asiantuntijaryhmien tapaamisessa pidin DirectAccess-rastia ja siten tuli muistaakseni puolisen tusinaa DirectAccess-esittelyä pidettyä rastilla käyneille eri ryhmille. Ylivoimaisesti eniten kysymyksiä herätti DirectAccess-yhteyksien seuranta. Tuolloin käsittelin pelkkää Windows Server 2008 R2 -käyttöjärjestelmän DirectAccess-toimintoa, jossa seurantamahdollisuudet olivat lähes olemattomat. Vielä UAG:n DirectAccess-toimintokaan ei paljon asiaa parantanut, sillä käytännössä monitorointi tarkoitti IPSec-auditoinnin määritystä päälle UAG-palvelimella ja käyttöjärjestelmän tietoturvalokin analysointia PowerShell-komennolla. Nyt SP1:ssä nähdään, että palaute on mennyt perille ja siihen on myös reagoitu :) Palvelun ja sitä toteuttavien adapterien toimintaa voi seurata Web Monitorilla:



Sarakkeiden leveyttä ei valitettavasti voi muuttaa, mutta osin piilossa olevan sarakkeen otsikko on "Teredo Relay". Vastaava graafinen seurantatyökalu on ollut "alusta lähtien" käyttöjärjestelmän DirectAccess-toiminnossa.

Samalla Web Monitorilla voi nyt myös seurata (haluttuja) aktiivisia DirectAccess-yhteyksiä:

Web Monitorin avulla voi analysoida UAG:n tapahtumalokeja DirectAccess-tapahtumien osalta:



Myös TMG:n lokinseurantaan on mahdollista lisätä DirectAccess-yhteyksien seuranta. Tätä varten on valmis suodatin, joka löytyy nimellä <Forefront UAG asennuskansio>\common\bin\da\monitoring\DaLogFilter.xml. Alla olevasta kaappauksesta (jossa olen muuttanut oletussuodatinta näyttämään edeltävän 7 vuorokauden tapahtumat oletuksena olevan lähes reaaliaikaisen näkymän sijaan) näkyy, että suodatinrivi ei ole kovin ihmeellinen:

DirecAccess-käyttöönottovelhosta voi nähdä lähes kaikki muut DirectAccess-parannukset:

Group Policy -objektit voi nyt nimetä haluamillaan nimillä tai niiden asetukset voidaan tuoda valmiiksi luotuihin GPO:hin:



Muita DirectAccess-parannuksia ovat:

  • mahdollisuus määrittää DirectAccess ainoastaan työasemien etähallintaan ja ylläpitoon ns. IPsec infrastructure -tunnelia hyödyntäen. Tällöin käyttäjille ei tarjota mahdollisuutta etäyhteyksiin eli ns. IPsec intranet -tunnelia ei avata lainkaan. Tällaista ratkaisua esitteli Accenturen edustaja kesäkuun TechEd North America -konferenssin useammassa luennossa ja siitä löytyy myös tuoteryhmän blogista
  • DirectAccess Connectivity Assistant (DCA) v. 1.5 ja sen määritys suoraan DirectAccess-käyttöönottovelholla. V. 1.0 piti erikseen ladata ja sen ADMX/ADML-tiedostot tuoda koneelle, jolla Group Policy -asetukset määritettiin
  • käyttäjän vahva todennus toimikortin sijaan kertakäyttömerkkijonon avulla. SecurID-tuki löytyy suoraan ja tuki RADIUS OTP -palvelimille on lisättävissä
  • sekä DirectAccess-työasemien että -palvelinten valinta joko tietoturvaryhmän tai nyt myös organisaatioyksikön (OU) perusteella
  • terveystilan perusteella tehtävän valtuutuksen toteutettavan NAP (Network Access Protection) -toiminnon käyttöönoton pidemmälle viety automatisointi
  • kaiken (siis myös internetiin suuntautuvan) verkkoliikenteen pakotus yrityksen yhteyden kautta kulkevaksi. Tällöin voidaan esimerkiksi web proxy -palvelimella toteuttaa haittaohjelmien skannaus ja suodatus jo verkon reunalla. Oletuksena DirectAccess käyttää ns. split -tunnelointia, jossa vain haluttuihin DNS-domaineihin (esim. toimialueen DNS-nimi) kohdistuva liikenne ohjataan DirectAccess IPsec-tunneleihin ja muu liikenne suoraan internettin

SP1:n käyttöönotto meni yhden noodin tuotanto-UAG-palvelimellamme vajaassa puolessa tunnissa, koska TMG SP1 jo aiemmin asennettu. Muutamia kahden noodin array:tä olen päivittänyt ja niissä on ilmennyt haasteita erityisesti NLB:n (Network Load Balancing) päivittymisessä. Asennusohjeessa vaiheessa 9 mainittu array master -palvelimen toisen aktivoinnin vaatimus on toteutunut toistaiseksi kaikissa array-päivityksissäni seuraavan virheen jälkeen:


Toisella aktivoinnilla tuota virhettä ei ole enää tullut :) Sen sijaan luottamukseni Web Monitorin web-pohjaiseen Array Monitoriin ei ole kovin korkella :( Päivittämällä sitkeästi ko. työkalun näkymää seuraavista virheistä olen päässyt eroon:

Erityisesti SP 1-asennuksessa tuo ei ole tahtonut toimia ja niinpä olen turvautunut TMG:n palveluiden hallintaan, josta eri noodien NLB-palvelua (navigointipuusta Monitoring > Services-välilehti) tuntuu luotettavammin pääsevän ylläpitämään. Lopputuloksena demoympäristössä toimiva UAG array, jossa sekä DirectAccess että useita erilaisia julkaisuja :)

Erityisen tärkeä ja mielenkiintoinen uusi toiminto UAG SP 1:ssä on ADFS-integraatio. Siitä "joskus" lisää, mutta siltä varalta, että kestää...: http://www.msteched.com/2010/Europe/sia321

Permanent Link to Post | Email Post Link | Number of Comments 748 Comment(s)
syyskuu 21
Päivitys Forefront TMG SP1:een saatavana
by  Mika SeitsonenNo presence information  on 21.9.2010 7:40

Paketti "Software Update 1 for Microsoft Forefront Threat Management Gateway (TMG) 2010 Service Pack 1" tuli saataville eilen ja sen myötä Exchange 2010 SP1:n voi asentaa myös Exchange Edge -roolin omaavaan TMG-palvelimeen (kts. Jompen blogi). Bugikorjausten lisäksi tässä paketissa on myös uusia toimintoja:​

Permanent Link to Post | Email Post Link | Number of Comments 3025 Comment(s)
kesäkuu 24
Forefront TMG (Threat Management Gateway) 2010 SP1 saatavana
by  Mika SeitsonenNo presence information  on 24.6.2010 10:03
TMG:n Service Pack 1 on ladattavissa (http://www.microsoft.com/downloads/details.aspx?displaylang=en&FamilyID=f0fd5770-7360-4916-a5be-a88a0fd76c7c). Uusista ominaisuuksista hyvä yhteenveto kaappauksineen: http://www.isaserver.org/tutorials/Whats-New-Forefront-Threat-Management-Gateway-TMG-2010-Service-Pack1.html. Ko. yhteenvedossa on mukana SP1:n mahdollistama toiminto "valinnainen ohitus", jossa käyttäjää varoitetaan sivuston kuulumisesta tiettyyn kategoriaan, mutta annetaan hänelle mahdollisuus mennä ko. sivustolle. Muutenkin uskon TMG:n web-surffauksen suodatustoiminnon ja HTTP/HTTPS-liikenteen skannauksen haittaohjelmien varalta kiinnostavan ainakin niitä organisaatioita, jotka käyttävät ISA Server:iä Web Proxynä.
 
Muita mielenkiintoisia uusia toimintoja ovat mm.:
  • TMG:n määritys Hosted Brachcache -palvelimeksi suoraan TMG:n hallintakäyttöliittymästä; tämä tervetullut lisä Windows 7:n yleistyessa nopeasti
  • Mahdollisuus asentaa TMG Read-only domain controller-palvelimeen, jolloin etätoimipisteessä tarvittavien palvelinten lukumäärää voidaan vähentää
  • Tuki Sharepoint 2010:n julkaisuun
 
Kokeilin asennuksen sekä TMG-palvelimeen että myös UAG-palvelimeen (jonka "alla" aina TMG). Jälkimmäisessä tulee ilmoitus:
 
TMG 2010 SP1 asennus UAG-palvelimeen aiheuttaa varoituksen
 
Tämän voi Release Notesin (http://technet.microsoft.com/en-us/library/ff686708.aspx) mukaisesti ohittaa (Ignore), koska tiedostot päivitetään asennuksen viimeistelevän uudelleen käynnistyksen yhteydessä. Demoympäristössä TMG:llä suojattu UAG toimi vielä DirectAccess- sekä HTTPS-julkaisuskenaarioissa SP1-päivityksen jälkeenkin :)
 
Asennusohjeiden (http://technet.microsoft.com/en-us/library/ff717843.aspx) asennusvaiheet vähän ensin hämäsivät, mutta eihän tuossa ollut muusta kyse kuin polun .msp-paketin koko polun kopioinnista leikepöydälle ja sieltä "ylennettyyn" komentokehotteeseen.
Permanent Link to Post | Email Post Link | Number of Comments 0 Comment(s)
tammikuu 14
Forefront Edge -tuotteiden ja Network Monitor 3:n dokumentaatiota
by  Mika SeitsonenNo presence information  on 14.1.2010 7:11
Microsoft Forefront -tuoteperheen verkon reunan suojaustuotteet, Threat Management Gateway (TMG) 2010 (ex-ISA Server) ja Unified Access Gateway (UAG) 2010 (ex-IAG) ovat nyt saatavilla ja niiden dokumentaatio paranee myös koko ajan. TMG-tuoteryhmän blogissa oli hyvä kooste TMG:n dokumentaatiosta jota löytyy Technetistä. Vaikka Technetissä on esim. laitevaatimukset, kannattaa tuota tuoteryhmän blogia myös seurata, siitä esimerkkinä viesti, jossa käyttäjämääriin suhteuttuja suosituksia. On vaan nuo käyttäjämäärät sellaisia, että PK-sektorille eivät juuri osu... UAG:n dokumentaatio on myös saatu Technetiin. Vielä kun tulisivat nuo dokumentit saataville myös Word-muodossa lukukokemuksen ja offline-käytettävyyden parantamiseksi, niin hyvä.
 
Aika usein tulee kursseilla näytettyä Network Monitor 3:a, joka useimmille asiantuntijoille tuntuu olevan uusi tuttavuus. TMG:stä on ensi kuussa tulossa Microsoft Pressin kirja, Forefront TMG 2010 Administrator’s Companion, ja nyt olivat laittaneet tarjolle kaksi kappaletta (+sisällysluettelon). Näistä kappaleista jälkimmäinen käsittelee Network Monitorin kolmoversiota TMG:n vianselvityksen apuna. Tuo on kuitenkin sen verran geneerinen asia, että parinkymmenen sivun kappaleen voi lukaista ja samalla nähdä muutamia esimerkkejä siitä, kuinka TMG:n muutamassa skenaariossa työkalua hyödynnetään. Lisäinfoa löytyy Network Monitorin tuoteryhmän blogista. Ja kuulemma joillekin Wireshark on sitten tutumpi... Loistavana esimerkkinä Adrian Dimcev:in blogi, jossa hän käy läpi ISA/TMG-juttuja jokseenkin seikkaperäisesti :)
Permanent Link to Post | Email Post Link | Number of Comments 6343 Comment(s)
joulukuu 18
UAG 2010 testiversio vihdoin ladattavana
by  Mika SeitsonenNo presence information  on 18.12.2009 15:30
Microsoft julkisti pari viikkoa sitten Forefront -tuoteperheen kaksi "verkon reunan" tuotetta: Threat Management Gateway (TMG) 2010 ja Unified Access Gateway (UAG) 2010. Tuolloin kerrottiin, että UAG menisi tuotantoon kuun puolessa välissä ja aika liki onnistuivat :) Testiversio tuli tänään ladattavaksi ja lopullisen version pitäisi olla Volume License -sivustolla tammikuun alussa. TMG:n osalta kävi samoin eli ns. evaluation-versio tuli ensin ladattavaksi ja muutama viikko myöhemmin tuote tuli myös MSDN, Technet ja VL-sivustoille.
 
TMG on ISA Server 2006:n uusi versio ja UAG puolestaan korvaa IAG:n (Intelligent Application Gateway) 2007:n.
 
UAG:stä lyhyt kuvaus esim.: http://isaserver.org/tutorials/Microsoft-Forefront-UAG-Overview-Microsoft-Forefront-UAG.html. UAG:n asennuksessa asentuu TMG, joka ei kuitenkaan ole tuettu kaikissa skenaarioissa.
 
UAG:n käyttöönottoa kannattaa harkita erityisesti DirectAccess-käyttöönoton yhteydessä, mutta myös muissa julkaisuissa (exim. Exchange ja Sharepoint).
 
 
Permanent Link to Post | Email Post Link | Number of Comments 1192 Comment(s)
marraskuu 06
Varmennepalvelulle staattinen portti
by  Mika SeitsonenNo presence information  on 6.11.2009 7:55
Kb-artikkeli 832017 kertoo varmenne (sertifikaatti) palvelun käyttävän RPC-portin 135 lisäksi dynaamisia yläportteja. Joskus voi olla tarvetta rajoittaa liikenne esim. palomuurista johtuen staattiseen porttiin. Tämä onnistui vielä Windows Server 2003 -varmennepalvelimessa suoraan, mutta Windows Server 2008/R2:ssa DCOM:in käyttöoikeuksia joutuu muuttamaan rekisteristä ennen kuin muutoksen pääsee tekemään.
Permanent Link to Post | Email Post Link | Number of Comments 5 Comment(s)
marraskuu 20
Miltä kuulostaisi sähköposti ilman roskapostia?
by  Petri Ala-AnnalaNo presence information  on 20.11.2008 20:42
Kuluneen viikon aikana olen itpro.fi sähköpostissani saanut nauttia erinomaisen hiljaisesta roskapostiliikenteestä. ITviikon uutisessa viitataan CERT-FI kirjoitukseen Roskapostin määrä notkahti merkittävästi jossa arvioidaan jopa kahteen kolmasosaan "normaalista". Henkilökohtaiset kokemukseni ovat jopa 1/6 osaan tippunut roskapostin määrä joka vaikuttaa positiivisesti ylläpitäjän ja postin lukijan jokapäiväiseen elämään ja suojaukseen käytettyihin resursseihin. Aika paljon vaikutusta on siis yhden toimijan palveluiden blokkaamisella ja botnetverkkojen isännän yhteyksien loppumisella.
 
Miettikää millainen maailma olisi ilman roskapostia ja loputtomalta tuntuvaa torjuntaa?
Permanent Link to Post | Email Post Link | Number of Comments 1056 Comment(s)
marraskuu 15
WPA TKIP suojattujen langattomien verkkojen liitokset narisevat
by  Petri Ala-AnnalaNo presence information  on 15.11.2008 19:59
Viime ja tällä viikolla on käyty vilkasta keskustelua WPA suojauksen murentumisesta tai ainakin uusia tutkimusalueita ja murtovektoreita on löytynyt. Saksalaiset opiskelijat julkistivat viime viikolla tutkimustuloksia WEP ja WPA suojauksien heikkouksista, joka löytyy täältä: Practical attacks against WEP and WPA.
 
WPA on laajalti käytössä, ja vaikka suoranaista, automatisoitua hyökäystä ei ole vielä olemassa, on ko. tutkimus avannus uusia tapoja hyökätä WPA ja TKIP salattua langatonta liikennettä vasten, hyödyntäen ARP protokollan heikkouksia. Tämä mahdollistaa IP liikenteen uudelleenassosioinnin eri langattomaan sovittimeen tai verkkoon suhteellisen helposti.
 
WPA ja AES sekä hyvät jaetut salasanat (yli 20 merkkiä, vahvoja salasanoja tai lauseita, jotka eivät helpolla brute forcella avaudu) suojaavat edelleen langattomia verkkoja - WPA2, AES ja varmenteet ovat vahvemmissa yritysverkoissa tavoittelun arvoisia lujuutensa vuoksi.
Permanent Link to Post | Email Post Link | Number of Comments 11 Comment(s)
syyskuu 26
ISA Server -päivityksiä
by  Mika SeitsonenNo presence information  on 26.9.2007 21:50
Sekä ISA Server 2004 että 2006 -versioiden konfiguraation tarkistustyökalu ISA Server Best Practice Analyzerin versio 5.5 tuli saataville heinäkuussa. Tuotteessa nyt mukana mm. BPA2Visio, jolla saa luotua Visiolla kaavion oman ISA-palvelimen yhteyksistä ja verkoista.
 
ISA Server 2004 SP3 tuli jo kesän kynnyksellä saataville ja samaa toiminnallisuutta (mm. Exchange Server 2007 -palveluiden julkaisu) sisältävä ISA Server 2006 Supportability Update tuli vihdoin tarjolle pari viikkoa sitten. Molemmissa on korjausten lisäksi mm. seuraavia parannuksia:
  • Parannuksia ISA Server hallintakonsoliin
    • Troubleshooting-noodi
  • Parantunut lokien seuranta
    • Eri tyyppisten lokitapahtumien näyttäminen väreillä
  • Parannettu lokien suodatus
    • Tallennettavat suodattimet
  • Diagnostiikkalokien keräys
    • Yli 200 uutta tapahtumaa
    • Keräys Event Viewerin uuteen lokiin
ISA Server 2006 -päivityspaketista tarkemmin kb-artikkelissa http://support.microsoft.com/kb/939455.
Permanent Link to Post | Email Post Link | Number of Comments 3 Comment(s)
1 - 10Next
 

 Jäsenet

 
SukunimiUse SHIFT+ENTER to open the menu (new window).
  
EtunimiUse SHIFT+ENTER to open the menu (new window).
  
Ala-AnnalaPetri
KallbergTommi
PerälampiJussi
 

 Linkit

 
There are currently no favorite links to display.