Υλοποίηση Advanced Web Protection με Forefront TMG 2010
Αγαπητοί συνάδελφοι της κοινότητας σε αυτό το άρθρο θα παρουσιάσουμε εκείνα τα τεχνικά χαρακτηριστικά του Forefront TMG 2010, τα οποία μας επιτρέπουν να καθορίζουμε και να βελτιώνουμε το endpoint protection strategy ενός οργανισμού και να εκτελούμε διεργασίες όπως URL filtering, malware inspection,
intrusion detection/prevention, και HTTPS inspection.
Εισαγωγή
Ο Forefront Threat Management Gateway (TMG) 2010 αποτελεί έναν integrated edge security gateway ο οποίος λειτουργεί ως ένα enterprise-class firewall, caching proxy (forward and reverse), και VPN
(remote access and site-to-site) server. Μπορεί να εγκατασταθεί με όλα αυτά τα χαρακτηριστικά ή με κάποιο υποσύνολο αυτών. Όταν εγκατασταθεί ως forward proxy
server, ο TMG firewall μπορεί να συμβάλλει στην θεαματική βελτίωση της ασφάλειας ενός οργανισμού - (overall security posture) - εκτελώντας εργασίες όπως advanced network και application
layer traffic inspection, καθώς επίσης θέτει σε εφαρμογή διαδικασίες όπως το enforcing strong user και group-based
authentication. Στο συγκεκριμένο άρθρο θα ασχοληθούμε με τα URL filtering,
malware inspection, intrusion detection/prevention, και HTTPS inspection
και πως αυτά τα χαρακτηριστικά μπορούν να βελτιώσουν και να συμπληρώσουν αντίστοιχα μια υπάρχουσα endpoint protection strategy.
URL Filtering
Με τις ενσωματωμένες δυνατότητες URL filtering, οι TMG
firewall administrators έχουν τώρα την δυνατότητα να εφαρμόζουν reputation-based
access controls στο web-based traffic. Το URL filtering αποτελεί την πρώτη γραμμή άμυνας σε ένα μοντέρνο και ασφαλές web gateway, και συνεπώς έχοντας πρόσβαση σε υπηρεσίες reputation
για τα επισκεπτόμενα web sites ο administrator μπορεί πλέον να προλάβει και να μην επιτρέψει στους χρήστες να έχουν πρόσβαση σε ιστοσελίδες/ιστότοπους οι οποίοι έχουν διαπιστωμένα κακόβουλο περιεχόμενο. Το Web site categorization διαχειρίζεται από την υπηρεσία Microsoft Reputation Services (MRS). Το MRS αποτελεί μια cloud-based categorization
service όπου ο TMG firewall την αξιοποιεί για να καθορίσει σε ποια κατηγορία το συγκεκριμένο web site ανήκει. Αμέσως μετά την κατηγοριοποίηση του συγκεκριμένου site,
ένα firewall policy processing θα καθορίσει εάν το αίτημα για πρόσβαση θα επιτραπεί ή δεν θα επιτραπεί.
Για να ενεργοποιήσουμε το URL filtering, κάνουμε highlight το Web Access Policy node και στο navigation tree κάνουμε κλικ στο Configure Web Access Policy στο Tasks
pane. Το Web Access Policy wizard θα μας οδηγήσει βήμα προς βήμα για να ενεργοποιήσουμε το URL filtering καθώς επίσης και να παραμετροποιήσουμε μια προκαθορισμένη web access policy χρησιμοποιώντας συνιστόμενα URL categories.
Εικόνα 1
Επιπροσθέτως, το Web Access Policy wizard θα ενεργοποιήσει και θα παραμετροποιήσει επίσης το malware inspection, το HTTPS inspection, και το content caching αντίστοιχα.
Malware Inspection
Με δεδομένο το ότι η λύση του URL filtering είναι 100% αποτελεσματική - (Βεβαίως καλό είναι να έχουμε υπόψην μας ότι είναι αδύνατον να κατηγοριοποιήσουμε όλες τις ιστοσελίδες του διαδικτύου) - είναι αναπόφευκτο ότι σε κάποια χρονική στιγμή οι χρήστες θα επισκεφθούν κάποια ιστοσελίδα η οποία θα περιέχει κακόβουλο περιεχόμενο. Για να μπορέσει να δώσει λύση και σε αυτές τις περιπτώσεις, ο TMG περιλαμβάνει μια gateway-integrated scanning engine για να προλαβαίνει και απαγορεύει virus και malicious software downloads. Η συγκεκριμένη μηχανή σάρωσης (scanning engine) ηοποία περιλαμβάνεται στον TMG
είναι η Microsoft anti-malware scanning engine η οποία περιλαμβάνεται σε μια πληθώρα τεχνολογιών προστασίας Forefront όπως ο Forefront Protection for
Exchange (FPE), ο Forefront Protection for SharePoint (FPSP), και ο
Forefront Endpoint Protection (FEP), για να αναφέρουμε μερικές από αυτές. Είναι επίσης το ίδιο scanning το οποίο χρησιμοποιείται στα Microsoft Security Essentials (MSE). Η μηχανή σάρωσης αυτή είναι γρήγορη, ακριβής και παράγει ελάχιστα false positives.
Για να ενεργοποιήσουμε το virus και το malicious software scanning, κάνουμε highlight στο Web Access Policy node στο navigation tree, και εν συνεχεία κάνουμε κλικ στο Configure Malware Inspection στο Tasks pane, και τέλος επιλέγουμε το Enable Malware Inspection.
Εικόνα 2
Το Virus και το malware scanning είναι πλήρως παραμετροποιήσημα στον TMG, παρέχοντας στον administrator την δυνατότητα του granular control πάνω σε κάθε τύπο περιεχομένου το οποίο πρόκειται να σαρωθεί αλλά και την μέθοδο/τρόπο με τον οποίο το περιεχόμενο αυτό θα σαρωθεί. Στο σημείο αυτό ο administrator
μπορεί να παραμετροποιήσει πιθανά exemptions στο scanning policy τα οποία διακρίνονται βάση του source ή του destination, και να καθορίσει επίσης πότε τα signature updates θα παραλαμβάνονται καθώς πότε και με πιο τρόπο θα εφαρμόζονται.
Σημείωση :
Το URL filtering και το malware scanning απαιτούν το Web Protection Service subscription license. Μια άδεια ενεργοποιεί και τα δύο αυτά χαρακτηριστικά. Περισσότερες πληροφορίες σχετικά με το θέμα αυτό μπορείτε να βρείτε σε αυτό το link.
Network Inspection System
Οι Malicious software authors πολύ συχά θα προσπαθήσουν να ανακαλύψουν vulnerabilities τα οποία μπορεί να υπάρχουν στα Microsoft
operating systems, applications, και στα networking protocols. Για να δώσει λύση και σε αυτά τα ζητήματα προστασίας ο TMG firewall περιλαμβάνει το Network Inspection System (NIS). Το NIS
αποτελεί ένα καινούριο vulnerability-based intrusion detection και prevention σύστημα το οποίο εφαρμόζει διαδικασίες ελέγχου low-level protocol inspection έτσι ώστε να είναι σε θέση να αναγνωρίσει και να απαγορεύσει επιθέσεις οι οποίες σχετίζονται με αυτά τα vulnerabilities. Τα Signatures αναπτύσσονται από το Microsoft Malware Protection Center (MMPC) και κυκλοφορούν ταυτόχρονα μαζί μετα security updates ή σε άμεση απάντηση σε zero-day vulnerabilities. Όταν το NIS ενεργοποιηθεί προλαμβάνει αυτά τα vulnerabilities από το να αξιοποιηθούν από απόσταση (exploited
remotely) και μειώνει δραματικά το παράθυρο έκθεσης μέχρι να κυκλοφορήσει το αντίστοιχο Patch διόρθωσης.
Για να ενεργοποιήσουμε το NIS, κάνουμε highlight στο Intrusion Prevention System node στο navigation tree και εν συνεχεία κάνουμε κλικ στο Configure Properties στο Tasks pane, όπου εκεί επιλέγουμε το Enable NIS.
Εικόνα 3
Το NIS επιθεωρεί την κυκλοφορία στο δίκτυο (network traffic) και μπορεί να προσδιορίσει πότε ένα πρωτόκολλο που δεν είναι σύμφωνο με τα πρότυπα. Αυτά τα protocol anomalies μπορούν είτε να επιτρέπονται είτε να απαγορεύονται. Επιπροσθέτως το NIS μπορεί να παραμετροποιηθεί έτσι ώστε να μην ελέγχει επιλεγμένες ιστοσελίδες - (exempt specific
trusted sites from inspection) - εφ'οσον αυτό απαιτείται.
HTTPS Inspection
Το HTTPS communication αποτελεί μια ειδικού χαρακτήρα πρόκληση για αρκετά firewalls. Συχνά αναφέρεται και ως “universal
firewall bypass protocol”, το HTTPS κρυπτογραφεί application layer data με αποτέλεσμα ακόμη και τα πιο προηγμένα application layer firewalls να μην μπορούν να κάνουν έλεγχο στις επικοινωνίες αυτής της μορφής. Για αρκετα χρόνια οι virus και malware authors
χρησιμοποιούσαν το HTTPS ως μέθοδο για την αποστολή malicious ή infected payloads διαμέσου των
secure web gateways χωρίς να γίνονται αντιληπτοί. Κακόβουλοι χρήστες έχουν χρησιμοποιήσει το HTTPS ως κανάλι για να παρακάμψουν τον έλεγχο της πρόσβασης από το proxy
avoidance software.
Το HTTPS inspection κλείνει οριστικά αυτό το loophole. Με το HTTPS inspection ενεργοποιημένο, ο TMG firewall αντιγράφει το originally requested SSL certificate και παρέχει στο χρήστη ένα αντίγραφο. Ο TMG firewall μπορεί τώρα να κάνει τερματισμό στο SSL
session στο επίπεδο του Internal network interface να προχωρήσει σε αποκωδικοποίηση και έλεγχο όλου του outbound HTTPS communication. Με το HTTPS inspection ενεργοποιημένο, ο TMG firewall έχει πρόσβαση στο αποκωδικοποιημένο application layer data γεγονός το οποίο έχει αρκετά θαρικά χαρακτηριστικά. Ο TMG firewall έχει τώρα δυνατότητα πρόσβασης στο full request
path, και όχι μόνον στην ΙP address του συγκεκριμένου site. Με αυτήν την επιπρόσθετη πληροφορία μπορεί νε εφαρμόσει με περισσότερη ακρίβεια το URL filtering. Επίσης ο TMG
firewall μπορεί τώρα να εφαρμόσει μια HTTP policy βάση της οποίας γίνεται έλεγχος στο περιεχόμενο των viruses και του κακόβουλου λογισμικού.
Για να ενεργοποιήσουμε το HTTPS inspection, κάνουμε highlight στο Web Access Policy node στο navigation tree και εν συνεχεία κάνουμε κλικ στο Configure HTTPS Inspection στο Tasks pane. Εκεί επιλέγουμε το Enable HTTPS Inspection καθώς επίσης και το Inspect traffic and validate site certificates.
Εικόνα 4
Το HTTPS inspection απαιτεί ένα server certificate να είναι εγκατεστημένο και παραμετροποιημένο στον TMG firewall. Μπορούμε να δημιουργήσουμε ένα self-signed certificate επιλέγοντας το Use Forefront TMG to generate a certificate και αμέσως μετά κάνουμε κλικ στο Generate… button. Εναλλακτικά μπορούμε να εισάγουμε ένα certificate από ένα υπάρχον εσωτερικό PKI επιλέγοντας το Import a certificate και κάνοντας κλικ αμέσως μετά στο Import… button.
Από την στιγμή κατά την οποία θα ενεργοποιηθεί, ο TMG administrator μπορεί να εξαιρεί ορισμένες αιτήσεις, καθορίζοντας specifying source και destination exceptions. Σε συνδυασμό δε με το URL
filtering, τα destination exceptions μπορούν να είναι URL categories ή URL category
sets (π.χ. Financial or Health). Επιπροσθέτως Certificate validation options και
client notification μπορούν επίσης να καθοριστούν.
Συμπέρασμα
Όταν εγκατασταθεί ως secure web gateway, ο Forefront
Threat Management Gateway (TMG) 2010 firewall αποτελεί ένα multi-layered
perimeter defense σύστημα το οποίο παρέχει ένα υψηλό επίπεδο προστασίας στους clients. Το URL filtering διασφαλίζει ότι οι clients δεν μπορούν να συνδεθούν σε όλα τα γνωστά κακόβουλα sites.Το ενσωματωμένο virus και malicious software scanning
προλαμβάνει τους χρήστες από το να κατεβάσουν infected αρχεία, και το Network
Inspection System προλαμβάνει επιθέσιες σε software vulnerabilities οποιουδήποτε Microsoft operating system ή application. Το HTTPS inspection
αντίστοιχα βελτιώνει θεαματικά όλους τους παραπάνω μηχανισμούς προστασίας εφαρμόζοντας έλεγχο σε όλο το outbound encrypted communication. Ολοκληρώνοντας μιας και όλοι αυτοί οι προηγμένοι μηχανισμοί προστασίας εφαρμόζονται στο gateway και παρέχουν προστασία όχι μόνον στους managed clients, αλλά και στους στους non-managed clients επίσης.
Ελπίζω ότι το συγκεκριμένο άρθρο θα το βείτε ιδιαίτερα χρήσιμο.
0 Comments
Recommended Comments
There are no comments to display.