TMG Kullanımında Yaşanan Sorunlar ve Çözümleri

15
Şubat
2013
TMG Kullanımında Yaşanan Sorunlar ve Çözümleri

İnternet, pek çok arkadaşımızın TMG hakkında hazırladığı makaleleri ve videoları taliplilerine ulaştırmasına rağmen,  hâlâ cevap bekleyen pek çok soruya da ev sahipliği ediyor.

Dikkatlice incelendiğinde, aslında aynı konu başlıklarının çok fazla öne çıktığını görebiliriz.  
Hedefimiz, işte bu ortak sorulara çözüm sunabilmektir. Tespit edebildiğim bu sorular:

1-  TMG Loglarının kapladığı alan çok fazla. Ne yapılabilir?
2-  Yaptığımız değişikliklerin etkin olma süresi ne kadardır? Yapılan bir değişiklik ne zaman etkinleşmektedir?
3-  HTTPS Inspection'ın devreye alındığında, sorunlar yaşanmaması için nasıl bir konfigürasyon tercih  edilmelidir?
4-  Malware Inspection özelliği devrede fakat neden yeni malware update’lerini almıyor?
5- Authentication problemleri yaşamamak için nasıl bir yöntem uygulanmalı
6- Configure http seçeneği ile kullanabileceğim signature’ların pek çoğunun bulunduğu bir liste mevcut mudur? 


Ve cevaplandırmaya başlayalım...

1-  TMG Loglarının kapladığı alan çok fazla. Ne yapılabilir?
Bir MS ürünü olan TMG'yi kullanıyorsunuz ve yine bir MS DataBase çözümü olan SQL Server'da logları tutmak istediğinizi farzedelim.  TMG üzerinden internet erişimi gerçekleştiren kullanıcıların logları, çok ama çok fazla yer tutar. Bu doğrudur. 

Bunun nasıl olduğunu bir örmekle görelim.
Bir kullanıcı, www.destekyeri.com adresine erişim gerçekleştirdiğinde, TMG bu kullanııc için SQL'e tek bir satır kayıt düşmemektedir. SQL'e baktığınızda onlarca satır log görülür. Oysaki sizin için www.destekyeri.com  yazan tek bir satır yeterli.

Ya da http://www.semerkandpazarlama.com adresine erişen bir kullanıcı, alışveriş te yaptıysa  https://www.semerkandpazarlama.com adresine de erişir ve benim için SQL'de tutulacak, bir tanesi http, diğeri https olan iki satırlık bilgi yeterlidir. Fakat SQL'e baktığınzda onlarca satır göreceksiniz.

Not: Loglarda hiç bir zaman https:// ile başlayan satır göremezsiniz; yerine www. ile başlayan ve domanin adresi sonunda :443 olan satırlar görürsünüz. Yanihttps://www.semerkandpazarlama.com yerine

www.semerkandpazarlama.com:443

Fazla alan kullanım sıkıntısını gidermenin en kolay yolu, SQL üzerinde tanımlanacak query’ler ile schedule silme işlemdir. 
Şöyle ki: 
İçerisinde aşağıdaki uzantı isimleri geçen satırların tümünü sil diyebilrisiniz. 
               
                  or uri  like '%.png'
                  or uri  like '%.jpg'
                  or uri  like '%.jpeg'
                  or uri  like '%.gif'
                  or uri  like '%.htc'
                  or uri  like '%.js'
                  or uri  like '%.ico'
                  or uri  like '%.css'
                  or uri  like '%.swf'
                  or uri  like '%.xml'
                  or uri  like '%.ashx'

Yine logları incelediğinizde, aşağıda örneklerini yazdığım adresler gibi pek çok adresin yüzlerce defa yazılı olduğunu göreceksiniz: Bu adresler de gönül rahatlığıyla silinebilir. Sizi yoracak mesele, başlangıçta bu adreslerin tespiti için bir kaç defa logları incelemek ve silinebilecek adresleri tespit etmek.

                  or uri  like '%.googlesyndication.com%'
                  or uri  like '%http://analytics.live.com/%'
                  or uri  like '%http://analytics.msn.com%'
                  or uri  like '%.groove.microsoft.com/%'
                  or uri  like '%.noktamedya.com.tr%'
                  or uri  like '%.doubleclick.net%'
                  or uri  like '%adsp.ciner.com.tr%'
                  or uri  like '%.adhood.com%'
                  or uri  like '%adonline.e-kolay.net%'
                  or uri  like '%.googleadservices.com%'
                  or uri  like '%.akamai.%'
                  or uri  like '%.reklamport.%'
                  or uri  like '%xslt.alexa.com%'
                  or uri  like '%adtext.adnet.com.tr%'

Sadece bu yapacak olduğunuzu düzenleme ile, logların %70 - % 90’lık kısmının silindiğini göreceksiniz.
 

 

 

 

2-  Yaptığımız değişikliklerin etkin olma süresi ne kadardır? Yapılan bir değişiklik ne zaman etkinleşmektedir?

Yaptığınız her değişiklikten sonra, değişikliğin etkinleşmesi için geçmesi gereken kesin bir süre söylemek  mümkün değildir.
Ancak değişikliğin uygulanma süreci, Monitoring à Configuration penceresinden gözlemlenebilir.

Değişikli öncesi rutin durum:

Değişiklik yapıldıktan sonra, Monitoring à Configuration penceresine baktığımızda aşağıdaki ekran ile karşılaşırız.


İzlemeye devam ettiğimizde(Refresh denilebilir) aşağıdaki ekran ile karşılaşılır:

Kısa bir süre sonra da değişikliğin yürürlüğe girdiğini gösteren rutin durum ekran görüntüsüyle karşılaşılır. 

 

 

3-  HTTPS Inspection'ın devreye alındığında, sorunlar yaşanmaması için nasıl bir konfigürasyon tercih  edilmelidir?

En az sıkıntı yaşayacağınız ve bir o kadar güvenli olacağınız yöntem, herhangi bir local sertifika üretmemektir. 
Bir ikincisi, herhangi bir kategori bazlı tanımlama yapmamaktır.
https inspection'ı aşağıdaki bölümden etkinleştirin.

      

Bu şekilde
- Üzerinde yüklü sertifika kullanım süresi dolmuş olan siteler, 
- Geçersiz bir kök sertifika otoritesinin ürettiği sertifikanın yüklenmiş olduğu siteler
- Serve Authentication’a takılacak sertifikaya sahip siteler bloklanır.

Problemli sertifikası olduğu halde, erişilmesinde sakınca  görmediğiniz fakat TMG tarafından bloklanan sitelere de
aşağıdaki ekranda gösterildiği şekilde Destination Exception tanımı yapılır. 
Not: Tam Exception için, Not Validation seçeneği etkinleştirilmelidir.
 
Destination eklerken, browse ettiğimiz FQDN den ziyade; TMG’nin web server sertifikasının “Issued To” alanına baktığını bilmeliyiz. Adresleri bu şekilde girmeliyiz. Adreslerin sonuna ‘   / *  ‘  karakterleri eklenmemelidir.

 

https inspection'ı bu şekilde kullanmanın size bir avantajı da,SSL tunnel ile internete yetkisiz erişime olanak sağlayan, pek çok program ve tool'u da işe yaramaz hale getirecektir.
Sadece bu özelliği için bile, Https Inspection devreye alınmaya değmez mi?


 
 

 

 

 

 

 

4-  Malware Inspection özelliği devrede fakat neden yeni malware update’lerini almıyor?

Malware Inspection için update konfigürasyon ekranı oldukça sadedir.
Update Center à Malware Inspection à Configure Settings à açılan pencerede Microsoft Update sekmesine tıklanır.

Burada, ağ yapınıza uygun update seçeneğini etkinleştirmelisiniz. 
Yapınızda bir WSUS varsa birinci seçeneği seçmelisiniz.  
WSUS yoksa ve TMG’nin, update’leri MS Update sitesinden download etmesini istiyorsanız ikinci seçeneği etkinleştirmelisiniz..

 

 

5- Authentication problemleri yaşamamak için nasıl bir yöntem uygulanmalı

Authentication'ı genel ayar olan aşağıdaki ekrandan etkinleştirmeyin.

Authentication, yukarıdaki şekilde gösterildiği gibi pasif kalsın. 
Siz, Firewall Policy ve Web Policy ekranlarında tanımladığınız rule'larda, authentication tanımı yapın.

Genel ayardan yapılan Authentication etkinleştirmesi, 
rule kısmında Authentication istenmesin  diyeceğiniz rule’larda bile  etkin olacaktır.

 

 

Bu şekilde, Authentication desteği olmayıp, sürekli anonymouse  hesabıyla ile internet erişimi gerçekleştirmek isteyen uygulamalara ya da sayfalara erişim için, özel bir rule tanımı yapabilirsiniz ve bu rule’da Users  sekmesinde izin vereceğiniz user’lar listesine All Users ‘ı eklersiniz.  Sorununuz kalmaz.

Genel ayardan yapılan Authentication etkinleştirmesi, rule kısmında Authentication istenmesin  diyeceğiniz rule’larda bile  etkin olacaktır.

6- ‘Configure http’  seçeneği ile kullanabileceğim signature’ların pek çoğunun bulunduğu bir liste mevcut mudur?

Pek çok yerde bu signature’lara ulaşabilirsiniz fakat tamamına ulaşmanız biraz zor olabilir. 
Ben, internetten bulduklarım ve hex editor & netmon ile kendi tespit ettiklerimi birleştirdim ve aşağıdaki listede kullanımınıza sunuyorum:

 

Name:

Description

Signature Search Criteria
Search in:

HTTP header:

Signature:

1

gtalk

 

Request headers

Client Agent:

Google Talk

2

MSN Messenger

 

Request headers

User-Agent:

MSN Messenger

3

Windows Messenger

 

Request headers

User-Agent:

MSMSGS

4

Yahoo Messenger

 

Request headers

Host

msg.yahoo.com

5

Kazaa

 

Request headers

P2P-Agent

KazaaKazaaclient:

6

Kazaa_2

 

Request headers

User-Agent:

KazaaClient

7

Gnutella

 

Request headers

User-Agent:

GnutellaGnucleus

8

Edonkey

 

Request headers

User-Agent:

e2dk

9

Morpheus

 

Response headers

Server

Morpheus

10

Bearshare

 

Response headers

Server

Bearshare

11

BitTorrent

 

Request headers

User-Agent:

BitTorrent

12

Live Messenger

 

Request headers

User-Agent:

Windows Live Messenger

13

YASAK_TeamViewer

 

Request headers

User-Agent:

DynGate

14

YASAK_flv

 

Response body

 

46 4c 56

15

YASAK_swf

 

Response body

 

46 57 53

16

BLOCK Yamaha Music

 

Response body

 

4d 53 43 46

17

YASAK_moov_QuickTime

 

Response body

 

6d 6f 6f 76

18

YASAK_3gp

 

Response body

 

33 67 70

19

YASAK_3gp5

MPEG-4

Response body

 

33 67 70 35

20

YASAK_ftyp

 

Response body

 

2e 2e 2e 20 66 74 79 70

21

YASAK_m4a

Apple QuickTime

Response body

 

4d 34 41 20

22

YASAK_rec

IVR RealPlayer video

Response body

 

2e 52 45 43

23

YASAK_rmf

RealMedia

Response body

 

2e 52 4d 46

24

YASAK_snd

NeXT/Sun audio file

Response body

 

2e 73 6e 64

25

YASAK_dvd

DVR DVR-Studio

Response body

 

44 56 44

26

YASAK_EntryVCD

Audio Interchange

Response body

 

45 4e 54 52 59 56 43 44

27

YASAK_form

 

Response body

 

46 4f 52 4d

28

YASAK_id3

MP3 MPEG-1 Audio

Response body

 

49 44 33

29

YASAK_mlsw

Skype local data file

Response body

 

4d 4c 53 57

30

YASAK_avi_list

Resource Int File

Response body

 

41 56 49 20 4c 49 53 54

31

YASAK_RMIDdata

 

Response body

 

52 4d 49 44 64 61 74 61

32

YASAK_WAVEfmt

WAV Resource Int File

Response body

 

57 41 56 45 66 6d 74 20

33

YASAK_AVI

 

Response body

 

52 49 46 46

34

Windows_Media_Player

 

Response body

 

4d 69 63 72 6f 73 6f 66 74 20 57 69 6e 
64 6f 77 73 20 4d 65 64 69 61 20 50 6c
61 79 65 72 20 2d 2d 20


Bir başka makalemde görüşmek üzere.

 

MAKALEYE YORUM YAZ

İsminiz
E-posta adresiniz
Yorumunuz
Doğrulama kodu ?

Copyright © 2006 - 2013  DESTEKYERI.COM

Embedded by  ® SANALOG Tüm Hakları Saklıdır . Yayınlanan yazıların izin alınmadan kopyalanması ve kullanılması  5846 sayılı Fikir ve Sanat Eserleri Yasasına göre suçtur. Makalelerin "alıntı" olduğunu belirterek yayınlayabilir ve kaynağı belirtmeniz önemlidir !!!