TMG Kullanımında Yaşanan Sorunlar ve Çözümleri
İnternet, pek çok arkadaşımızın TMG hakkında hazırladığı makaleleri ve videoları taliplilerine ulaştırmasına rağmen, hâlâ cevap bekleyen pek çok soruya da ev sahipliği ediyor.
Dikkatlice incelendiğinde, aslında aynı konu başlıklarının çok fazla öne çıktığını görebiliriz.
Hedefimiz, işte bu ortak sorulara çözüm sunabilmektir. Tespit edebildiğim bu sorular:
1- TMG Loglarının kapladığı alan çok fazla. Ne yapılabilir?
2- Yaptığımız değişikliklerin etkin olma süresi ne kadardır? Yapılan bir değişiklik ne zaman etkinleşmektedir?
3- HTTPS Inspection'ın devreye alındığında, sorunlar yaşanmaması için nasıl bir konfigürasyon tercih edilmelidir?
4- Malware Inspection özelliği devrede fakat neden yeni malware update’lerini almıyor?
5- Authentication problemleri yaşamamak için nasıl bir yöntem uygulanmalı
6- Configure http seçeneği ile kullanabileceğim signature’ların pek çoğunun bulunduğu bir liste mevcut mudur?
Ve cevaplandırmaya başlayalım...
1- TMG Loglarının kapladığı alan çok fazla. Ne yapılabilir?
Bir MS ürünü olan TMG'yi kullanıyorsunuz ve yine bir MS DataBase çözümü olan SQL Server'da logları tutmak istediğinizi farzedelim. TMG üzerinden internet erişimi gerçekleştiren kullanıcıların logları, çok ama çok fazla yer tutar. Bu doğrudur.
Bunun nasıl olduğunu bir örmekle görelim.
Bir kullanıcı, www.destekyeri.com adresine erişim gerçekleştirdiğinde, TMG bu kullanııc için SQL'e tek bir satır kayıt düşmemektedir. SQL'e baktığınızda onlarca satır log görülür. Oysaki sizin için www.destekyeri.com yazan tek bir satır yeterli.
Ya da http://www.semerkandpazarlama.com adresine erişen bir kullanıcı, alışveriş te yaptıysa https://www.semerkandpazarlama.com adresine de erişir ve benim için SQL'de tutulacak, bir tanesi http, diğeri https olan iki satırlık bilgi yeterlidir. Fakat SQL'e baktığınzda onlarca satır göreceksiniz.
Not: Loglarda hiç bir zaman https:// ile başlayan satır göremezsiniz; yerine www. ile başlayan ve domanin adresi sonunda :443 olan satırlar görürsünüz. Yani https://www.semerkandpazarlama.com yerine
www.semerkandpazarlama.com:443
Fazla alan kullanım sıkıntısını gidermenin en kolay yolu, SQL üzerinde tanımlanacak query’ler ile schedule silme işlemdir.
Şöyle ki:
İçerisinde aşağıdaki uzantı isimleri geçen satırların tümünü sil diyebilrisiniz.
or uri like '%.png'
or uri like '%.jpg'
or uri like '%.jpeg'
or uri like '%.gif'
or uri like '%.htc'
or uri like '%.js'
or uri like '%.ico'
or uri like '%.css'
or uri like '%.swf'
or uri like '%.xml'
or uri like '%.ashx'
Yine logları incelediğinizde, aşağıda örneklerini yazdığım adresler gibi pek çok adresin yüzlerce defa yazılı olduğunu göreceksiniz: Bu adresler de gönül rahatlığıyla silinebilir. Sizi yoracak mesele, başlangıçta bu adreslerin tespiti için bir kaç defa logları incelemek ve silinebilecek adresleri tespit etmek.
or uri like '%.googlesyndication.com%'
or uri like '%http://analytics.live.com/%'
or uri like '%http://analytics.msn.com%'
or uri like '%.groove.microsoft.com/%'
or uri like '%.noktamedya.com.tr%'
or uri like '%.doubleclick.net%'
or uri like '%adsp.ciner.com.tr%'
or uri like '%.adhood.com%'
or uri like '%adonline.e-kolay.net%'
or uri like '%.googleadservices.com%'
or uri like '%.akamai.%'
or uri like '%.reklamport.%'
or uri like '%xslt.alexa.com%'
or uri like '%adtext.adnet.com.tr%'
Sadece bu yapacak olduğunuzu düzenleme ile, logların %70 - % 90’lık kısmının silindiğini göreceksiniz.
2- Yaptığımız değişikliklerin etkin olma süresi ne kadardır? Yapılan bir değişiklik ne zaman etkinleşmektedir?
Yaptığınız her değişiklikten sonra, değişikliğin etkinleşmesi için geçmesi gereken kesin bir süre söylemek mümkün değildir.
Ancak değişikliğin uygulanma süreci, Monitoring à Configuration penceresinden gözlemlenebilir.
Değişikli öncesi rutin durum:
Değişiklik yapıldıktan sonra, Monitoring à Configuration penceresine baktığımızda aşağıdaki ekran ile karşılaşırız.
İzlemeye devam ettiğimizde(Refresh denilebilir) aşağıdaki ekran ile karşılaşılır:
Kısa bir süre sonra da değişikliğin yürürlüğe girdiğini gösteren rutin durum ekran görüntüsüyle karşılaşılır. 
3- HTTPS Inspection'ın devreye alındığında, sorunlar yaşanmaması için nasıl bir konfigürasyon tercih edilmelidir?
En az sıkıntı yaşayacağınız ve bir o kadar güvenli olacağınız yöntem, herhangi bir local sertifika üretmemektir.
Bir ikincisi, herhangi bir kategori bazlı tanımlama yapmamaktır.
https inspection'ı aşağıdaki bölümden etkinleştirin.
Bu şekilde
- Üzerinde yüklü sertifika kullanım süresi dolmuş olan siteler,
- Geçersiz bir kök sertifika otoritesinin ürettiği sertifikanın yüklenmiş olduğu siteler
- Serve Authentication’a takılacak sertifikaya sahip siteler bloklanır.
Problemli sertifikası olduğu halde, erişilmesinde sakınca görmediğiniz fakat TMG tarafından bloklanan sitelere de
aşağıdaki ekranda gösterildiği şekilde Destination Exception tanımı yapılır.
Not: Tam Exception için, Not Validation seçeneği etkinleştirilmelidir.
Destination eklerken, browse ettiğimiz FQDN den ziyade; TMG’nin web server sertifikasının “Issued To” alanına baktığını bilmeliyiz. Adresleri bu şekilde girmeliyiz. Adreslerin sonuna ‘ / * ‘ karakterleri eklenmemelidir.
https inspection'ı bu şekilde kullanmanın size bir avantajı da,SSL tunnel ile internete yetkisiz erişime olanak sağlayan, pek çok program ve tool'u da işe yaramaz hale getirecektir.
Sadece bu özelliği için bile, Https Inspection devreye alınmaya değmez mi?
4- Malware Inspection özelliği devrede fakat neden yeni malware update’lerini almıyor?
Malware Inspection için update konfigürasyon ekranı oldukça sadedir.
Update Center à Malware Inspection à Configure Settings à açılan pencerede Microsoft Update sekmesine tıklanır.
Burada, ağ yapınıza uygun update seçeneğini etkinleştirmelisiniz.
Yapınızda bir WSUS varsa birinci seçeneği seçmelisiniz.
WSUS yoksa ve TMG’nin, update’leri MS Update sitesinden download etmesini istiyorsanız ikinci seçeneği etkinleştirmelisiniz..
5- Authentication problemleri yaşamamak için nasıl bir yöntem uygulanmalı
Authentication'ı genel ayar olan aşağıdaki ekrandan etkinleştirmeyin.
Authentication, yukarıdaki şekilde gösterildiği gibi pasif kalsın.
Siz, Firewall Policy ve Web Policy ekranlarında tanımladığınız rule'larda, authentication tanımı yapın.
Genel ayardan yapılan Authentication etkinleştirmesi,
rule kısmında Authentication istenmesin diyeceğiniz rule’larda bile etkin olacaktır.
Bu şekilde, Authentication desteği olmayıp, sürekli anonymouse hesabıyla ile internet erişimi gerçekleştirmek isteyen uygulamalara ya da sayfalara erişim için, özel bir rule tanımı yapabilirsiniz ve bu rule’da Users sekmesinde izin vereceğiniz user’lar listesine All Users ‘ı eklersiniz. Sorununuz kalmaz.
Genel ayardan yapılan Authentication etkinleştirmesi, rule kısmında Authentication istenmesin diyeceğiniz rule’larda bile etkin olacaktır.
6- ‘Configure http’ seçeneği ile kullanabileceğim signature’ların pek çoğunun bulunduğu bir liste mevcut mudur?
Pek çok yerde bu signature’lara ulaşabilirsiniz fakat tamamına ulaşmanız biraz zor olabilir.
Ben, internetten bulduklarım ve hex editor & netmon ile kendi tespit ettiklerimi birleştirdim ve aşağıdaki listede kullanımınıza sunuyorum:
|
|
Name:
|
Description
|
Signature Search Criteria
Search in:
|
HTTP header:
|
Signature:
|
|
1
|
gtalk
|
|
Request headers
|
Client Agent:
|
Google Talk
|
|
2
|
MSN Messenger
|
|
Request headers
|
User-Agent:
|
MSN Messenger
|
|
3
|
Windows Messenger
|
|
Request headers
|
User-Agent:
|
MSMSGS
|
|
4
|
Yahoo Messenger
|
|
Request headers
|
Host
|
msg.yahoo.com
|
|
5
|
Kazaa
|
|
Request headers
|
P2P-Agent
|
KazaaKazaaclient:
|
|
6
|
Kazaa_2
|
|
Request headers
|
User-Agent:
|
KazaaClient
|
|
7
|
Gnutella
|
|
Request headers
|
User-Agent:
|
GnutellaGnucleus
|
|
8
|
Edonkey
|
|
Request headers
|
User-Agent:
|
e2dk
|
|
9
|
Morpheus
|
|
Response headers
|
Server
|
Morpheus
|
|
10
|
Bearshare
|
|
Response headers
|
Server
|
Bearshare
|
|
11
|
BitTorrent
|
|
Request headers
|
User-Agent:
|
BitTorrent
|
|
12
|
Live Messenger
|
|
Request headers
|
User-Agent:
|
Windows Live Messenger
|
|
13
|
YASAK_TeamViewer
|
|
Request headers
|
User-Agent:
|
DynGate
|
|
14
|
YASAK_flv
|
|
Response body
|
|
46 4c 56
|
|
15
|
YASAK_swf
|
|
Response body
|
|
46 57 53
|
|
16
|
BLOCK Yamaha Music
|
|
Response body
|
|
4d 53 43 46
|
|
17
|
YASAK_moov_QuickTime
|
|
Response body
|
|
6d 6f 6f 76
|
|
18
|
YASAK_3gp
|
|
Response body
|
|
33 67 70
|
|
19
|
YASAK_3gp5
|
MPEG-4
|
Response body
|
|
33 67 70 35
|
|
20
|
YASAK_ftyp
|
|
Response body
|
|
2e 2e 2e 20 66 74 79 70
|
|
21
|
YASAK_m4a
|
Apple QuickTime
|
Response body
|
|
4d 34 41 20
|
|
22
|
YASAK_rec
|
IVR RealPlayer video
|
Response body
|
|
2e 52 45 43
|
|
23
|
YASAK_rmf
|
RealMedia
|
Response body
|
|
2e 52 4d 46
|
|
24
|
YASAK_snd
|
NeXT/Sun audio file
|
Response body
|
|
2e 73 6e 64
|
|
25
|
YASAK_dvd
|
DVR DVR-Studio
|
Response body
|
|
44 56 44
|
|
26
|
YASAK_EntryVCD
|
Audio Interchange
|
Response body
|
|
45 4e 54 52 59 56 43 44
|
|
27
|
YASAK_form
|
|
Response body
|
|
46 4f 52 4d
|
|
28
|
YASAK_id3
|
MP3 MPEG-1 Audio
|
Response body
|
|
49 44 33
|
|
29
|
YASAK_mlsw
|
Skype local data file
|
Response body
|
|
4d 4c 53 57
|
|
30
|
YASAK_avi_list
|
Resource Int File
|
Response body
|
|
41 56 49 20 4c 49 53 54
|
|
31
|
YASAK_RMIDdata
|
|
Response body
|
|
52 4d 49 44 64 61 74 61
|
|
32
|
YASAK_WAVEfmt
|
WAV Resource Int File
|
Response body
|
|
57 41 56 45 66 6d 74 20
|
|
33
|
YASAK_AVI
|
|
Response body
|
|
52 49 46 46
|
|
34
|
Windows_Media_Player
|
|
Response body
|
|
4d 69 63 72 6f 73 6f 66 74 20 57 69 6e
64 6f 77 73 20 4d 65 64 69 61 20 50 6c
61 79 65 72 20 2d 2d 20
|
Bir başka makalemde görüşmek üzere.