Microsoft Forefront Protection 2010 for Exchange Server Detaylı Kurulum

Forefront güvenlik ürün ailesinin önemli bir üyesi olan Protection 2010 for Exchange Server, şirket organizasyonlarında Exchange Server kullanan sistem yöneticileri için vazgeçilmez bir üründür. Neden bu ürünü seçmemiz gerektiği ve temel bilgileri içeren makalemizi daha öncesinde yayınlamıştık, bu nedenle bu konulara değinemeyeceğim. Merak edenler için bu konuların anlatıldığı linki sizlerle paylaşıyorum

https://www.cozumpark.com/blogs/forefront/archive/2010/10/03/microsoft-forefront-protection-2010-for-exchange-server-fpe-ve-forefront-protection-2010-for-sharepoint-fpsp-ile-g-venli-mesajla-ma-g-venli-birli-inde-en-yi-z-m.aspx

Benim bu makaleyi yazmamdaki amaç ise detaylı bir kurulum ve bu temel makale sonrasında ürün hakkında seri bir şekilde diğer özelliklerini anlatan makaleler yazmak. Bu nedenle kurulum ile başlayalım.

Ürün için kurulum noktasında farklı senaryolar bulunmaktadır, hem bu senaryoları hemde ürün için sistem gereksinimlerini ilk olarak paylaşmak istiyorum.

Desteklenen işletim sistemleri

Windows Server 2003 SP2, Windows Server 2003 R2, Windows Server 2008 veya SP2 ve Windows Server 2008 R2 veya SP1

Desteklenen Exchange versiyonları

Exchange Server 2007 RTM, Exchange Server 2007 SP1, SP2, SP3 rollup1, Exchange 2010 RTM, Exchange 2010, Exchange 2010 RTM SP1, Exchange Server 2010 SP1 Rollup1

Yükleme senaryolarında ise şirket organizasyonlarında iki temel senaryo görebilirsiniz. Enterprise Reference Architecture ve Standart Reference Architecture. İlk senaryo gelişmiş şirket senaryolarında gözlemlenebilir. Ölçeklenebilir bir yapısı olmak ile beraber yüksek istemci sayılı yapılarda kullanılır.

Bu modelde gördüğünüz gibi bir edge server rolü kullanılmakta olup ayrıca yapıdaki tüm roller birbirinden ayrılmış ve mailbox server rolü de çoklu sunucular ile desteklenmektedir.

Standart model ise aşağıdaki gibidir

Bu modelde ise tüm roller tek bir sunucu üzerinde konumlandırılmıştır. Ancak Türkiye şartlarında edge kullanılmadığı yapıyı da görmeniz mümkündür. Forefront tüm bu senaryoları desteklemektedir. Temel olarak Edge, Hub ve mailbox sunucularına yüklenir ve buradan geçen tüm mail trafiğini izlemektedir. ( mailbox server üzerinden mail trafiği geçmemektedir ancak buradaki mailboxları taramakta ve policyleri uygulamaktadır, bu nedenle mailbox server üzerinde yüklenen bir FPE ürününde anti spam özelliğini göremezsiniz. Bunun tek istisnası Hub ile Mailbox rollerini aynı sunucuya kurmanızdır. )

Eğer FPE ürününü Edge veya Transport sunucularına yüklerseniz Realtime, Schduled ve on-demand tarama seçeneklerini göremezsiniz. Aynı şekilde mailbox server rolü üzerine yüklemeniz halinde de transport scan özeliğini göremezsiniz. Ancak hem mailbox hem de hub yüklü bir sunucuya yüklemeniz halinde hepsini görme şansına sahipsiniz.

Exchange Server organizasyonunuzu virüs, spyware ve spam lara karşı korumak istiyorsunuz, ancak bunun yanında temel şartınız yüksek performans, yani her mail alt yapısında olduğu gibi amacımız yüksek koruma ve yüksek performans. Oysaki bilinen yöntemlerde yüksek performans düşük korumayı, yüksek koruma ise düşük performansı tetikleyen bir durumdur. FPE ürünü ise bunu Exchange Server’ ın bize sunduğu rol tabanlı mimari ile aşmaktadır. Yani sahip olduğu birden çok taramam motoru ile tarama yaparak yüksek bir güvenlik sağlayabiliriz, ancak bu bize sunucu tarafında performans sorunları olarak geri dönecektir. Bu diğer tüm ürünlerde böyledir, ancak FPE sahip olduğunuz Edge, Hub ve Mailbox rollerine ayrı ayrı yüklenerek bu sorunu aşmaktadır. Bunun nasıl yapıyor derseniz hemen açıklayalım.

Yukarıdaki resimde görüldüğü üzere internet üzerinden gelen spyware, spam ve virüslü mailler ilk olarak Edge üzerindeki FPE ile taranmaktadır. Burada sahip olduğunuz tarama motorlarından iki tanesini seçerek dengeli bir tarama yaptınız ( performans – güvenlik dengesi ). Buradan geçen mail Hub transport üstüne düştü ve burada da ayrı iki motor ile daha taradınız ve aynı şekilde mailbox sunucusu üzerinde ayrı bir motor ile daha bu işlemi yaptınız. Baktığınız zaman her sunucuda ikiden fazla tarama motoru kullanmadığınız için performans sorunları yaşamadınız ancak toplam da farklı motorlar kullandığınız için de yüksek bir güvenlik senaryosuna sahip oldunuz. Benim tek sunucum var derseniz tabi ki bu durumda tek seçeneğiniz bize sunulan Intelligent Engine Management IEM özelliğini kullanmak olacaktır ki bu özelliğin detaylarını makalemizin devam serilerinde bulabilirsiniz. Buradaki kritik nokta aslında mailleri işaretlemekten geçmektedir ( stamp ). Örneğin Edge üzerinde malware içerikli veya spam olduğu işaretlenen bir mail header bilgisine yazıldığı için diğer bir server tarafından bir kez daha taranmaz. Bu sayede tek bir tarama aslında yeterli.

Sistem nasıl çalışıyor? Eğer gelen mail bir kez Edge veya Hub üzerinde taranmış ise antimalware header stamp yazılır ve bu mail bir sonraki uğrak yeri olan Hub, başka bir Hub veya mailbox server’ a geldiğinde ilk olarak header bilgisi kontrol edilir ve eğer bu bilgi bir şekilde düzenlenmiş ise bu mail bir kez daha taranmaz.

Bu durumun tek istisnası sunucu üzerinde “Optimize for performance by not scanning message already virus scanned” seçeneği pasif hale getirilir ise bu durumda aktif olan her engine ile taranma işlemine devam edilir.

Örneğin inbound yani şirket dışından şirket içine gönderilen mailler için varsayılan tarama senaryosu aşağıdaki gibidir;

Tarama Edge üzerinde yapılıp işaretleme yapıldığı için diğer sunucularda tarama yapılmaz.

Outbound mail yani şirket içerisinden şirket dışına gönderilen mailler ise sadece Hub ların üzerinde taranmaktadır

Son olarak ise internal dediğimiz yani şirket içerisindeki maillerin ( şirket içinden yine şirket içine gönderilen mailler ) taranması sadece Hub ların üzerinde gerçekleşmektedir.

FPE ürününü kurmak istiyorsanız eğer bilmeniz gereken bir noktada hangi sunucuların üzerine kurmamız gerektiğidir. Aslında bu konuda sizlere bilgi verdim ancak genel kabul göre senaryolardan da bahsetmek istiyorum.

Mail sisteminizin güvenliği için uygulayabileceğiniz iki temel güvenlik seviyesi vardır;

Baseline protection level

Global protection level

Baseline koruma seviyesinde FPE ürünü sadece Hub ve Edge sunucuları üzerine kurulur ve bu durumda yönlendirilen ( routed ) tüm mail objeleri taranmaktadır. Ancak dez avantajı yönlendirilmeyen öğelerin taranmayacak olmasıdır.

Global koruma seviyesinde ise hub ila edge sunucu rollerinin yanında mailbox sunucu rolüne de FPE kurulması gerekmektedir ve bu sayede hub üzerinden yönlendirilmeyen mail objeleri de yerinde taranabilir (public folders, Sent Items folder, Calendar folder ).

Mailbox sunucu rolü üzerinde temelde 3 tip tarama sunulmaktadır. Bunlar aşağıdaki şekilde özetlenebilir ;

Realtime scanning—Scans: Gerçek zamanlı taramada mail objelerine her erişimde tarama gerçekleşmektedir. Mail objesini okuma, görüntüleme veya indeksleme işlemlerinde bu tarama gerçekleşir.

Scheduled scanning—Scans: Zamanladığınız sürede otomatik olarak mailbox ların taranmasını sağlayan seçenektir.

On-demand scanning—Scans: Malware outbreak dediğimiz yani malware yayılması durumunda yapılacak tarama yöntemidir. Bir nevi içeride kötü içerikli bir kod tespit edildiğinde nasıl bir tarama yapılacağını belirleyebiliriz.

Peki, biraz daha kurulum adımları ile devam edelim. FPE için temel yayınlama senaryolarını görmüştük ancak sonuç olarak şirket ihtiyaçları değişkenlik gösterdiği için donanım noktasındaki gereksinimlere iyi karar vermek gerekiyor. Bu nedenle size “Forefront Protection 2010 for Exchange Server Capacity Planning Tool

” aracını kullanmanızı tavsiye ederim.

Aşağıdaki tablo aracılığı ile de tavsiye edilen ram miktarlarını daha net görebilirsiniz