Javítások nélkül is lehetünk biztonságban

A Threat Management Gateway (TMG) az egykori ISA Server új szolgáltatásokkal és képességekkel jelentősen kibővített utódja. Ezen újdonságok jelentős része a mai modern, internetes és hálózatos kihívásokra ad választ, mint például a malware-védelem a klasszikus HTTP és HTTPS (!) forgalom esetén, a spam- és vírusvédelem az e-mailek apropóján, vagy éppen a kategorizált és dinamikusan frissülő adatbázisokkal működő URL-szűrés formájában. De van egy teljesen innovatív új megoldás is a termékben, amely ott segít, ahol a \"legjobban fáj\", azaz a belső hálózat gépeinek biztonságában. A frissítések gyors terítése és alkalmazása kötelező feladat minden hálózatban, de ennek sikerességébe sok tényező beleszólhat.

Biztonsági frissítések nélkül nem megy

Ahhoz, hogy a rendszergazdák, folyamatosan up-to-date állapotban tartsák a védett hálózat operációs rendszereit illetve alkalmazásait régóta vannak megfelelő eszközök egy Windows hálózatban, a Windows/Microsoft Update-től kezdve a WSUS-on át olyan rendszerfelügyeleti eszközökig, mint a kisvállalatok számára készült System Center Essentials, vagy éppen nagyvállalatok számára alkalmas System Center Configuration Manager. De sajnos van több aktuális probléma is ezen a területen.

Az egyik az, hogy a frissítések tesztelése és korrekt alkalmazása már egy közepes méretű hálózatnál is jelentős időbe kerülhet, így elképzelhető, hogy egy-egy munkaállomásra csak jelentősen késve kerül a javítás. A Microsoftnál is előfordul, hogy a javítás tökélesítése és tesztelése (amely lényegesen alaposabb mint a felhasználói oldalon), szintén jelentős időt emészt fel, így előfordulhat, hogy a sérülékenység felfedezése után csak hetekkel érkezik meg, és válik letölthetővé az adott javítás. Mindeközben - a versenyfutás részeként - a sérülékenység kihasználására történő exploit fejlesztése közel sem vesz el ennyi időt, és aztán sok esetben így sikeresen alkalmazható, akár rövid határidőn belül is.

Mit ad a kezünkbe a NIS?

A TMG-be integrált NIS pontosan itt segít, mivel képes arra, hogy a tűzfalon átmenő forgalom alapos elemzése során felismerje az ismert sérülékenységet kihasználó támadásokban alkalmazott jellemző mintákat, és ezek alapján blokkolja az adott host felé menő forgalmat. Azaz egy támadó akkor sem képes kihasználni egy adott hibát, ha még nem frissítettük a klienseket, hiszen a kísérlet már a hálózatunk határán ténykedő TMG szervernél elakad.

De mi a helyzet a NIS esetén a gyorsasággal? A hetek helyett itt órákról beszélünk, azaz a sérülékenység felfedezése után a Microsoft Malware Protection Center (MMPC) munkatársai azonnal hozzákezdenek a jellemző lenyomat elkészítéséhez, ellenőrzéséhez és teszteléséhez, és még aznap bizonyosan ki is adják a szignatúrát. A NIS frissítési mechanizmusa pedig lehetővé teszi, hogy akár direktben a Microsoft Update, akár a rendszerünkben már megtalálható WSUS/SCE/SCCM segítségével frissüljön helyben is a NIS adatbázisa, és blokkolható legyen a rosszindulatú forgalom. Erre már több konkrét esetet is felhozhatunk bizonyítékképen, például a SANS-nál 2009. szeptember 8-én megjelent SMBv2 sérülékenység apropóján kiadott lenyomat kevesebb mint 8 óra alatt bekerülhetett a TMG NIS adatbázisba (pedig ekkor még béta állapotú volt a termék).

^{A NIS frissítés nem előfizetéshez kötött, azaz ingyenes és sosem jár le}

Az MMPC egyébként nyomoz is, tehát a felfedezés folyamatának is lehet részese és ebbe bekapcsolódhatnak akár a TMG-üzemeltetők is, hiszen a Telemetry Reporting Service engedélyezésével a malware vagy egyéb támadási típusokról, illetve a hálózati forgalommal kapcsolatos működési anomáliákról egyaránt szolgáltatható információ a Microsoft felé (természetesen SSL kapcsolaton keresztül), minden egyes a TMG-t futattó gépről.

Hogyan működik?

A NIS \"motorháztetejét\" felnyitva egyébként egy bonyolult, sok komponensből álló rendszer részeként a GAPA protokoll elemző platformra (és benne a GAPAL protokollleíró nyelvre) bukkanunk, amely a Microsoft Research, azaz a Microsoft házon belüli tudományos-kutató részlegének fejlesztése. A GAPA keretrendszer a klasszikus protokollelemzőkkel szemben számos előnnyel rendelkezik, és például az egyszerű protokoll parser fejlesztést is segíti, így az ellenőrzőszabályok és a szignatúrák alkalmazása nagyságrendekkel gyorsulhat.

^{A NIS konfigurálása (pl. a reakció esetén teendő lépés tekintetében) egyszerű}

Felmerülhetnek még további kérdések is, azaz hogy vajon minden protokoll védelmére felkészült-e a NIS, illetve, hogy csak a Microsoft által kiadott frissítések \"előszavának\" tekinthető-e? A válasz egyrészt az, hogy az közismert protokollok jelentős részét lefedi ez a megoldás (konkrétan: HTTP/S, DNS, SMB, SMB2, NetBIOS, MSRPC, SMTP, POP3, IMAP, MIME), a kérdés második felét illetően pedig a azt kell tudnunk, hogy a TMG jelen verziójában szereplő NIS, egyelőre valóban csak a Microsoft által kiadott frissítésekhez passzol, azaz csak a vállalat szoftvereire érvényes a hatása. Ugyanakkor a behatolásérzékelés, illetve a IP-alapú anomáliák figyelése nem csupán a NIS-re korlátozódik, ugyanis akár az ISA-, akár a TMG-kiszolgálók esetén egyformán rendelkezésre állnak további mechanizmusok is.

További információkért vagy a Forefront TMG próbaverziójának letöltéséhez látogasson el weboldalunkra.

[A Microsoft által biztosított szakmai anyag ; szerző: Gál Tamás, Forefront MVP, a Microsoft TechNet programjának szakmai vezetője]