Forefront Security for Office Communications Server

tarafından 7 Mayıs 2010 tarihinde Microsoft kategorisine yazıldı.

Merhaba;

Microsoft ‘un güvenlik ürünü olan Forefront ile alakalı yeni bir makalede yeniden birlikteyiz.Önceki bölümlerde Forefront Client Security ile alakalı kurulum,gelen yenilikler ve özellikler gibi konulara değinmiştik.Artık bu bölümden sonra Forefront Server Security tarafındaki ürünleri inceliyeceğiz.Bu bölümde ise Forefront Server ailesinin ürünü olan,Forefront Server Security for Office Communications Server(OCS)’ı inceleyeceğiz.

Microsoft’un sunduğu yeni forefront ailesinde mevcut IT altyapınız ile kolay entegre olan,yönetim,dağıtım ve raporlamada basitlik sağlayan ve size ayrıntılı güvenlik koruması sağlayan güvenlik ürünleri ailesidir.Daha önceki bölümlerde bu aileyi 4 ana başlık altında incelemiştik.Günümüzde tehditler daha tehlikeli bir hal almıştır.Ortaya çıkan bütün zararlı içerikler daha gelişmiş ve kar amaçlı olarak kullanımaya farkında olmadan zorlanmaktadır.Aynı zamanda uygulamalara yönelik olarak sık bir şekilde güncellenmektedir.Bu tür sakıncaların önüne geçebilmek için hem şirketinizde hem de evinizde çok sayıda farklı teknolojilere sahip olan çözümleri kullanabilirisiniz.Standart ev bilgisayarı senaryosunda değil ama şirket network senaryosunda böyle bir seçim yapmak size hem maliyetli olabileceği gibi aynı zamanda yönetim zorluğunada sebep olucaktır.Örnek olarak,şirket networkünde karşılaşabileceğiniz her türlü zararlı içeriği engelleyebilmek için Kaspersky,Norton Antivirus,Nod32 ve McAffee gibi farklı antivirus motorlarını tercih edebilirsiniz.Aynı zamanda işinizi sanşa bırakmamış olup,bir tanesinin yakalıyamadığını bir başkasının bulmasını sağlıyabilirsiniz.Ancak böyle bir çözüm size maliyetli olacak ve yönetimi tek bir merkezden sağlıyamıyacaksınız.Ve kullandığınız bütün antivirüs motorları hakkında mutlaka gerekli bilgiye de sahip olmak zorundasınız.

Bu dezavantajların dışında çok sayıda yönetim konsolu olduğundan dolayı düzgün bir şekilde raporları takip edemiyeceksiniz.Her arayüzden ayrı ayrı raporları incelemeniz ve takip etmeniz gerekmektedir.Evet arkadaşlar,farklı antivirüs çözümlerini kullanmak gerçekten sağlam bir çözümdür ancak yukarıdaki dezavantajalara sahiptir.Tüm bu maliyet ve yönetim karışıklığına karşın, Microsoft bu konuda tam 8 adet farklı antivirüs motorunu kullanan ForeFront Client ve Server Security ailesini geliştirmiştir.Çözüm olarak gayet stabil bir şekilde çalışan bu ürünü böyle bir amaç için tercih edebilirsiniz. Bir başka makalemde bu ürün ailesinede değineceğim.Tabi ki bunun dışında herkesin kendisine göre tercih edip kullanmış olduğu çözümlerde olabilir.

Forefront Security For Office Communications Servers(OCS) 2007

Her şirket senaryosunda kullanıcıların birbirleriyle anlık olarak bilgi paylaşımı için Instant Messaging gibi uygulamalar tercih edilebilir.Örneğin,bir kullanıcı şirket içerisindeki ve ya dışında ulaşması gereken herhangi bir kişi veya kuruma telefon,mail,vb gibi methodları kullanarak erişebilir.Telefon maliyetli olabilir.Sürekli olarak mail ile haberleşmek ise şirket içerisinde ki mail serverımız üzerindeki yükü artırabilir.Bu ve bunun gibi sebeplerden dolayı genellikle Instant Messaging gibi uygulamalar şirketler tarafından tercih edilmektedir.Örneğin,Messenger, Office Communications Servers ile birlikte kullanılan Office Live Communicator 2007,GoogleTalk,vb…

OCS ile,bir şirketin farklı şubelerinde yer alan kullanıcıların Smartphone ile ücretsiz olarak anlık mesajlaşma ve VOIP trafiğini bu sunucu rolü üzerinden yönetebiliriz.Bunların yanında e-mail atabilir ve dosya da gönderebiliriz.Office Communications Servers(OCS) ile birlikte kullanılan Office Live Communicator dışındaki uygulamaların şirket içerisinde kullanılması durumunda tam olarak yönetim bizde değildir.Ya da bir örnek vermek gerekirse,Messenger konuşmalarını engellemek için ISA Server’ı kullanmanız gerekmektedir.Tabi ki bu tür uygulamaların kullanıcılar tarafından suistimal edilebilme ihtimali vardır.Yani iş ile alakasız olarak da bu tür uygulamalar üzerinden arkadaş,sevgili,vs hoş sohbet muhabbet yapılabilir.Aynı zamanda bu yolla istenmeyen zararlı içerikler şirket içerisindeki bilgisayarlara farkında olmadan bulaştırılabilir. İşte böyle bir durumu kontrol edebilmek için OCS üzerine Forefront for OCS kurarak şirket içi veya şirket dışı ile gerçekleşen mesajlaşmaları anlık olarak kontrol edebiliriz.

image001

Forefront for OCS ile keyword kullanarak içerik filtrelemesi yapabilmekteyiz ki böyle bir şey diğer Instant Messaging uygulamalarında yapılamaz.Aynı zamanda dosya tipine göre de filtrelemeler yapabilmekteyiz.Özetle,eğer şirket içerisinde Instant Messaging uygulaması olarak OCS kullanıyorsak gerçekleştirilen her türlü mesajlaşmayı,gönderilen ekli dosyaların tamamını filtreleyebiliriz.

Forefront Security For Office Communications Servers(OCS) 2007 Üzerindeki Konfigürasyon Seçenekleri

Toplamda 4 ana başlık altında Forefront ile birlikte kullanabileceğimiz seçenekleri tanımaya başlıyalım.

1)SETTINGS

2)FILTERİNG

3)OPERATE

4)REPORT

1)SETTINGS

a)Scanjob: Bu seçenek altında 1 adet IM Scanjob yöntemi bulunmaktadır.Bu Scanjob ile Inbound,Outbound ve Internal mesajlaşma trafiğini yönetebiliriz.

image002

b)Antivirüs : Bu bölümde IM Scanjob yöntemini konfigüre edebiliriz.

image003

IM Scanjob’ın hangi virus yazılımlarınu kullancağını File Scanners bölümünde seçiyoruz. Bu virüs yazılımının Action bölümü içinde hangi eylemlerin yapılması gerektiğinide biz karar veriyoruz.

image004

image005

Bias Kavramı ve Özellikleri

Bias bölümü içinde Forefront Server Securty for OCS için performansını etkileyecek eylemi güvenlik anlayışımıza göre biz belirleyebiliyoruz. Tavsiye edilen Favor Performance olup diğer seçenekler ise şöyledir.

Maximum Certainty:Bütün mesajları seçilmiş bulunan bütün virus tarama motorları ile taramaktadır.Yani seçilen 5 antivirüs motoru ile de mailler taranmak zorundadır.Eğer bir motor çevrimdışı ise (örneğin, güncelleniyorsa), mesaj veya dosyalara o motor çevrimiçi olana kadar tarama yapılmayacaktır.

Favor Certainty: Güncel olarak hazır olmayan virus yazılımlarını  kullanmaksızın taramasını gerçekleştirecektir. Her öğe güncel olan tüm kullanılabilir motorlar ile taranır.

Neutral: En az 3 virus tarama motorunu kullanarak %50 performans ile taramasını gerçekleştirir.

Favor Performance: Sunucu CPU yüküne göre, ürünler gelen öğeleri taramak için motor sayısını ayarlarlar. Bunu MEM derecelendirmelerine göre yaparlar. Tarama motorlarının %25’i kullanılır.

Maximum Performance: Bütün mailleri seçilmiş olan virus tarama motorlarının sadece bir tanesini kullanarak taramayı gerçekleştirir. Bunu MEM dereceleri belirler.Performans bakımından hızlıdır ancak güvenlik düşüktür.

image006

Forefront Multiple Engine Manager(MEM) sistemi, aktif tüm motorların performansını izler ve geçmişte yeni tehditleri tespit etmede ne kadar iyi performans gösterdiğini ve virüs tanımlarının ne kadar güncel olduğunu derecelendirir. Bu skorlar (veya MEM derecelendirmeleri) ve yöneticiye özel ayarlar, (performans üzerinde denetim) hangi motorların daha sık kullanılacağını belirler.

c)Scanner Updates

Bu bölümde Forefront üzerinde çalışan antivürs motorlarının updatelerini nereden ve hangi sıklıkla ypaıcağını ayarlıyabiliriz.Ekstra olarak da Scanner İnformatin bölümündede antivrüs motorlarının versiyon numaralarını ve en son ne zman update yapıktıkları bilgisini görebilmekteyiz.Ayrıca Network Update Path bölümünde belirteceğimiz bir UNC Path ile updatelerin networkdeki hernagi bir lokasyondan yüklenbilmesini sağlıyabiliriz.Bu senaryoyu WSUS offline olduğu zaman ve internet updateleri çekemediği durumlarda kullanabiliriz.

image007

Eğer path’i değiştirdiyseniz ve tekrar default oalrak kullanılan http pathine dönebiliriz.Artı olarak secondary bölümünü de ikincil bir path göstermek için kullanabiliriz.

Templates

Forefront üzerine yönetimi daha kolay yapabilmek için her sunucu rolü için farklı template ler hazırlayıp kullanabiliriz.

image008

General Options

Forefront üzerinde genel ayarları yapılandırmak için bu arayüzü kullanıyoruz.Örneğin,Forefront virüs loglaru default olarak açık değildir.Bu ayarı bu bölümden yapabiliriz.Aynı zamanda şifrelenmiş ve compress edilmiş dosyaların taranma esnasında silinmesi için Scanning bölümündeki Delete Encrypted Compress Files seçeneğini seçmeliyiz.

image009

1)Filtering

Bu menüde OCS üzerinden gönderilen iletileri filtrelenip istenmeye kelimelerin bloklanması ile ilgili konfigürasyonu yapabiliriz.Aynı zamanda dosya uzantılarının da filtrelenmesini sağlıyabilliriz.

a)Content

Bu bölümde IM Scan job kullanarak güvendiğimiz bir domain ile gerçekleştirdiğimiz mesajlaşma trafiğinin hariç tutulmasını sağlıyabiliriz.

image010

b)Keyword

IM Scanjob kullanılarak,Filter Lists’de daha önce hazırladığımız keywords listeleri kullanarak kelime filtrelemesi yapabiliriz.Bu şekilde anında mesajla içeriğinde geçen istemediğimiz kelimelerden haberdar olabiliriz.

image011

c)File

Özel olarak bizim belirtmiş olduğumuz uzantıları yasaklamak için bu bölümü kullanabiliriz.Yasaklanan uygulama için, uygulamayı alıcak olan kullanıcıya bir txt dosyası göderilerek neden bloklandığına dair bilgi verilmektedir.

image012

image013

Aynı zamanda aşağıdaki metodlar aracılığıyla da filtering yapabiliriz.

<in>*.exe = Sadece Organizasyon içerisindeki *.exe uzantılı ekleri ifade eder.

<in>*.mp3>2mb = Yine Organizasyon içerisindeki 2 MB’dan büyük MP3 uzantılı dosyaları ifade eder.

<out>*.doc>5mb = Organizasyon dışından gelen veya gönderilen 5 MB’dan büyük DOC uzantısına sahip dosyaları ifade eder

<in>*.*>10mb = Organizasyon içerisindeki 10 MB’dan büyük bütün dosya tiplerini ifade eder.

d)Allowed Sndr/Rcpt Lists

Filter Lists bölümünde Allowed Sndr/Rcpt Lists altında tanımlamış olduğumuz listeleri bu bölüme ekliyebiliriz.

image014

e)Filter Lists

Scanjoblar altında kullanabileceğimiz her türlü filtreleme metodu ile ilgili listeleri bu bölümden oluşturabiliriz.Örnek olarak,Allowed Sndr/Rcpt Lis oluşturmak.Aşağıdaki resimde izin verdiğimiz gönderici ve alıcı adreslerini tanımlamış olduğumuz kontaklar isminde bir liste.

image015

3)OPERATE

Operate bölümü altında,Run Job isminde bir alt başlık bulunmaktadır.

a)Run Job

IM Scan Job

IM Scan job metodunu bypass ederek devre dışı bırakabilmekteyiz.Aynı zamanda IM Scan Job da hangi filtreleme yöntemi kullanılacak gibi ayarları yapabilmekteyiz. Örneğin,IM Scan job ile Virus Scanning,File Filtering,Content Filtering,Keyword Filtering yapılıp yapılamıyacağını belirliyebilriz.

image016

4)REPORT

Raporlama bölümü altında,Notification,Incidents ve Quarantina şeklinde 3 alt başlık bulunmaktadır.

a)Notification

Bu bölüm içerisinde,bulunan zararlı içerik ile ilgili gerekli bilginin bizim belirlemiş olduğumuz kişi ya da kişilere mail olarak gönderilmesini sağlıyabiliriz.

image017

b)Incidents

IM Scan Job yöntemi ile hangi virüsün bulunduğu,toplam tarama sayısı,hangi antivirüs motoru zararlı içeriği yakalamış ve bilgilendirme olarak Forefront kime mail göndermiş gibi bilgilerin tamamını bu arayüzden üzerinden görüntülüyebiliriz.Yine bu menüden erişim sağlamış olduğumuz bütün eylemlerle ilgili raporları export yapabiliriz.

image018

c)Quarantina

Karantinaya alınan zararlı içeriklerin adı,hangi kullanıcılar arasında göderildiğinde yakalandığı,eklentinin ismi gibi bilgilere erişim sağlıyabiliriz.Aynı şekilde yine export edebilmekteyiz.

image019

Evet arkadaşlar,bir makalenin daha sonuna geldik.Görüldüğü gibi Forefront güvenlik konusunda şirketlerimize bir her anlamda bir çok yenilik getirmektedir.Kullandığımız farklı server rollerine göre uymlu çalışan Forefront Server Security ailesinden ilgili ürünler ile güvenliğimizi daha stabil sağlıyabiliriz.Forefront ile alakalı başka bir makalede görüşmek üzere..

Hoşçakalın…

Kaynak:

http://www.microsoft.com/forefront/serversecurity/ocs/default.mspx

email

Bu yazı blog üzerinde Tayfun DEĞER tarafından paylaşılmıştır. 2009 yılında açılan blog kısa zaman içerisinde büyük bir izleyici kitlesine sahip olmuştur.Tayfun DEĞER danışmanlık ve eğitimler vermektedir. vExpert 2013-2015, VCP5, VCP5-DT, VCP-Cloud ve MCSE sertifikalarına sahiptir.Twitter 'dan @tayfundeger veya RSS ile sitedeki değişiklikleri takip edebilirsiniz.