Início > Fore Front TMG 2010, ISA Server 2006 > Forefront TMG com base de dados em SQL Server – vale a pena?

Forefront TMG com base de dados em SQL Server – vale a pena?

Saudações,

Dias corridos por aqui! Muitos projetos, TechEd Brasil e o Community Zone 2011 (sucessos absolutos)!

Durante o teched meu celular me avisou da chegada de um email vindo deste blog com o comentário de uma usuária perguntando sobre o uso do Forefront TMG com SQL Server.

Como do conhecimento de todos, por padrão, o TMG já usa o SQL Express como base de dados para gravação dos log´s de proxy e firewall. Desta forma (tanto no ISA Server como no TMG), a busca por informações fica melhor e no logging vc ainda pode trazer informações antigas rapidamente.

No ISA Server 2006, o modo TXT é o mais performático, porém, você precisa planejar bem o espaço em disco, tempo de armazenamento de log´s e o tempo em que vai reter as informações para evitar problemas.

É possível também apontar seu TMG para gravar log´s em um SQL Server. Nas configurações de logging você define o servidor SQL e seu TMG passa a usa-lo para gerar as log´s.

Agora, vamos analisar os impactos desta configuração. Sua rede está preparada para o tráfego que será gerado entre SQL e TMG? Se é que existe uma preparação específica para isso. Muitos problemas de lentidão podem ocorrer, pois, um issue de I/O de disco no servidor SQL pode causar lentidão na escrita, requisições de rede e nos SQL Statements que o TMG irá submeter ao SQL Server.

Se o intuíto desta análise de log´s via SQL Server é geração e relatórios mais elaborados, sugiro que exporte os log´s num período de baixo uso e assim, você pode trata-los diretamente no servidor de banco de dados sem impactar seu TMG.

Este problema de lentidão na gravação dos log´s era mais latente no ISA Server, pois, se o serviço de log´s parasse, todo o servidor pararia e aí, muitos problemas técnicos e políticos ocorriam.

Com o TMG, a perda do serviço de log´s não para o serviço. Simplesmente o TMG começa a gravar arquivos LLQ em uma área e os mesmos são commitados na base quando o serviço volta ao normal.

Veja como isso ocorre nesse video do Yuri Diógenes sobre o tema:

OK! Se eu tiver um SQL Server e perder a comunicação com o servidor, o TMG não para, certo Uilson?

Certo! Porém, no momento em que o seu servidor voltar ao ar, o TMG irá commitar todas as log´s LLQ para dentro da base e aí sua performance tende a cair consideravelmente lhe causando problemas.

Existem cases abertos na Microsot relativos a lentidão no acesso internet que foram temas para posts nos blogs do TechNet, como este abaixo relatando problemas de lentidão entre um ISA Server e um servidor SQL:

http://blogs.technet.com/b/yuridiogenes/archive/2008/08/06/intermittent-performance-problem-while-accessing-internet-through-isa-server-2006.aspx

Já tive casos de clientes que queriam gerar informações das log´s do TMG através de queries usando o SQL Query Analyzer diretamente no próprio servidor TMG. Apesar de não ser fã da tática usada, as queries não estão causando grandes problemas de performance e são aplicadas somente fora do horário comercial. Mas, mesmo assim, não aprovo este tipo de procedimento.

A ferramenta de relatórios do TMG vem melhorando a cada dia e agora com o SP2 lançado em 10/10/2011, você pode ter mais informações sem necessidade de ferramentas de terceiros.

Caso seja necessário uma interface de relatórios customizada e ferramentas de terceiros que usem das log´s do TMG para geração dos mesmos, mais uma vez sugiro que exporte os log´s para seu servidor de relatórios ou seu SQL Server.

Vale a pena ler também esse documento com as best practices para configuração do seu log: http://technet.microsoft.com/en-us/library/cc302682.aspx

Se você usa esse tipo de configuração na sua infra ISA/TMG, discorda do que falei ou tem mais dúvidas sobre o tema, por favor, deixem seus coments que iremos tratar, ajudar e expandar conhecimento.

Abraços

Uilson

  1. 23 de outubro de 2011 às 21:19

    Amigo Uilson,

    Sua materia sobre a gravação dos Logs no SQL Server foi de grande importância, pois esclarece muito do uso dessa configuração. Agora, tenho uma pequena duvida para tirar com você.

    Por razões de segurança é fundamental gravamos uma copia dos logs de firewall num lugar remoto, certo? Pois quando um hacker invade uma rede a primeira coisa que ele vai querer fazer eh alterar os logs ou mesmo apaga-los, correto? Como eu faço para implementar essa pratica de manter meus logs num local mais seguro? Usando gravação num SQL Server num destes servidores tipo Locaweb? OU vc teria uma idéia mais simples? Visto que salvar os logs numa base remota vai requerer um trafego de internet adcional.

    Obrigado!!!

    • 24 de outubro de 2011 às 18:03

      OI Levi! Fico feliz de poder ajudar e espero que os outros artigos também possa lher ser útil.
      Veja bem, guardar log´s é uma tarefa que pode ser util, mas, nada a nível de segurança e sim a nível de histórico. Tenho clientes que têm pedem para armazenar log´s por até 1 ano…porém, nada a nivel de segurança e sim para que possam consultar determinada transação.
      Como deve saber, no TMG vc tem como definir o tempo em que vai armazenar seus log´s e, usando base SQL vc pode gerar queries que lhe diram o que ocorreu em determinada data.
      Um invasor não vai entrar em seu sistema por conta de log´s e sim por informações específicas do core business de sua companhia.
      Eu não concordo sequer com a colocação de um sql server na mesma rede para log´s, pois, apesar de todos os benefícios que o TMG tráz em relação ao ISA Server, vc ainda assim pode ter um ponto de falha na sua estrutura de Secure Web Gateway. Tampouco lhe indico colocar esse serviço em núvem, pois, pode lhe causar sérios transtornos de performance e, além disso, a meu ver é um gasto desnecessário.
      O que lhe sugiro é que, se quiser montar um SQL Server para suas log´s do TMG, faça com uma cópia da sua base e não use diretamente os arquivos do próprio TMG. Guardar log´s de acesso é interessante por 1 ano…não mais que isso.
      O que vc pode fazer é manter suas regras sempre protegidas liberando somente acesso para que tem que ter e sua infra sempre atualizada em questão de patches de segurança.
      Se precisar de mais alguma coisa, por favor, não hesite em me procurar.
      Abraços
      Uilson

      • 25 de outubro de 2011 às 23:07

        Caro amigo Uilson,

        Desde já agradeço a gentileza de responder meu post. Eu realmente estava pensando em colocar um SQL Server pra gravar os logs do TMG. Tenho so mais uma duvida pra tirar com vc. Volta e meia meu TMG fica me reportando um Alert de que houve um scanport vindo do proprio endereço IP local do TMG, ou seja. 192.168.1.1. Eu ja passei antivirus no servidor e nao achei nada, ja coloquei na exclusion list do meu ativirus as pastas do TMG que a Microsoft recomenda e ainda sim tenho isso reportado. Configuro o TMG exatamente da mesma forma que configurava o ISA e com o ISA nunca tive esses alerts. Sera que isso eh um falso positivo?

        Abração!!

      • 27 de outubro de 2011 às 13:16

        Tem alguma outra coisa rodando no seu TMG? Já tentou fazer algum tipo de sniffer??

  2. 27 de outubro de 2011 às 21:38

    So tem apenas o TMG rodando e mais nada. Nao rodei nenhum sniffer, qual vc recomendaria?

  3. Fabiano Avelar
    21 de novembro de 2011 às 17:16

    UIlson,

    Olá. Você consegue explorar a questão do tipo de licenciamento do SQL necessário para o Forefront TMG Remote Logging. Obrigado!

    Fabiano.

    • 21 de novembro de 2011 às 17:38

      Fabiano, envei um email pra vc sobre o tema. Obrigado

  1. No trackbacks yet.

Deixe uma resposta

Preencha os seus dados abaixo ou clique em um ícone para log in:

Logotipo do WordPress.com

Você está comentando utilizando sua conta WordPress.com. Sair / Alterar )

Imagem do Twitter

Você está comentando utilizando sua conta Twitter. Sair / Alterar )

Foto do Facebook

Você está comentando utilizando sua conta Facebook. Sair / Alterar )

Foto do Google+

Você está comentando utilizando sua conta Google+. Sair / Alterar )

Conectando a %s

%d blogueiros gostam disto: