В этой статье мы рассмотрим, как фильтрация URL адресов, проверка на вредоносный код, определение/предотвращение вторжений и HTTPS проверка может улучшить и дополнить существующую стратегию защиты конечных точек.

Введение

Forefront Threat Management Gateway (TMG) 2010 является интегрированным пограничным шлюзом безопасности, действующим в качестве межсетевого экрана корпоративного класса, кэширующего прокси-сервера (прямого и обратного) и VPN сервера (удаленного доступа и доступа между сайтами). Его можно устанавливать в любой из этих ролей или в нескольких ролях. Если он развернут в качестве прямого прокси-сервера, брандмауэр TMG может в значительной степени улучшить общую безопасность вашей организации, выполняя расширенную проверку трафика сетевого и прикладного уровня, и применяя надежную проверку подлинности на основе пользователей и групп. В этой статье мы рассмотрим то, как URL фильтрация, проверка на предмет вредоносного кода, определение/предотвращение вторжений и HTTPS проверка могут улучшить и дополнить существующую стратегию защиты конечных точек.

Фильтрация URL

Благодаря интегрированным возможностям фильтрации URL адресов администраторы брандмауэра TMG теперь могут применять контроль трафика на основе репутации к трафику интернета. Фильтрация URL представляет собой первую линию обороны в современном надежном шлюзе интернета, и, оценивая репутацию веб-сайтов, посещаемых пользователями, администратор может не позволить пользователям зайти на сайты, которые известны, как вредоносные. Категоризация веб-сайтов осуществляется службами Microsoft Reputation Services (MRS). MRS представляет собой удаленную службу категоризации, используемую брандмауэром TMG для определения категории, к которой принадлежит тот или иной сайт. После определения категории сайта обработка политики брандмауэра определит, разрешить или запретить запрос.

Чтобы включить URL фильтрацию, выделите раздел политики веб доступа (Web Access Policy) в навигационном дереве и выберите настройку политики веб доступа (Configure Web Access Policy) в панели задач (Tasks). Мастер настройки политики веб доступа проведет вас через все шаги включения URL фильтрации и настройки стандартной политики веб доступа, используя рекомендуемые URL категории.

Вдобавок к этому, мастер Web Access Policy включит и настроит функции проверки на вредоносное ПО, проверки HTTPS и кэширования контента.

Проверка на вредоносное ПО

Поскольку ни одно решение фильтрации URL не дает 100% эффективности (невозможно отнести к определенным категориям абсолютно все сайты в интернете), пользователи обязательно зайдут на сайт, который содержит вредоносный контент. Для решения этой проблемы TMG оснащен интегрированным в шлюз механизмом сканирования, который предотвращает загрузку вредоносных программ и вирусов. Механизм сканирования TMG представляет собой разработанный в компании Microsoft механизм защиты от вредоносных программ, включенный во многие технологии Forefront, такие как Forefront Protection for Exchange (FPE), Forefront Protection for SharePoint (FPSP) и Forefront Endpoint Protection (FEP), помимо прочих. Этот же механизм используется и в Microsoft Security Essentials (MSE). Механизм сканирования быстр и точен, и выдает минимальное количество ложноположительных результатов.

Чтобы включить функцию проверки на вредоносные программы и вирусы, выделите раздел Web Access Policy в навигационном дереве, выберите настройку проверки на вредоносное ПО (Configure Malware Inspection) в окне задач Tasks и выберите опцию включения Enable Malware Inspection.

Сканирование на вирусы и вредоносное ПО обладает множеством настроек в TMG, что обеспечивает администраторов многогранным контролем над типом сканируемого контента, а также над способами, которыми проверяется контент. Здесь администратор также может настроить исключения политики проверки на основе источника и цели, и указать, откуда получать обновления сигнатур и как их применять.

Примечание:
URL фильтрация и проверка на вредоносное ПО требует лицензионной подписки на службы веб защиты Web Protection Service. Одна лицензия позволяет использовать оба компонента. Дополнительную информацию о лицензировании можно найти здесь.

Система проверки сети

Авторы вредоносных программ зачастую пытаются использовать уязвимости, которые могут иметься в ОС Microsoft, приложениях или сетевых протоколах. Для решения этой проблемы межсетевой экран TMG включает систему проверки сети (Network Inspection System – NIS). NIS представляет собой новую систему обнаружения и предотвращения вторжений на основе уязвимостей, которая выполняет проверку протоколов низкого уровня для определения и предотвращения атак против этих уязвимостей. Сигнатуры разрабатываются центром Microsoft Malware Protection Center (MMPC) и выпускаются вслед за обновлениями безопасности или в ответ на уязвимости нулевого дня. Когда система NIS включена, она не позволяет использовать эти уязвимости удаленно и тем самым значительно снижает подверженность систем атакам.

Чтобы включить систему NIS, выделите раздел системы предотвращения вторжений Intrusion Prevention System в навигационном дереве и выберите настройку свойств (Configure Properties) в панели задач Tasks, а затем выберите опцию включения Enable NIS.

Система NIS проверяет сетевой трафик и может определить, когда протокол не соответствует стандартам. Такие аномалии протоколов могут разрешаться или запрещаться. К тому же, в системе NIS можно настроить исключения для определенных доверенных сайтов при необходимости.

HTTPS проверка

HTTPS коммуникация представляет собой особую проблему для межсетевых экранов. Этот протокол часто называют ‘универсальным протоколом обхода межсетевых экранов’. HTTPS шифрует данные прикладного уровня, что не позволяет даже самым продвинутым брандмауэрам прикладного уровня проводить проверку этих коммуникаций. Долгие годы авторы вредоносных программ и вирусов использовали HTTPS в качестве средства незаметного продвижения вредоносного кода через шлюзы безопасности. Злоумышленники использовали HTTPS в качестве канала обхода контроля доступа с помощью программ обхода прокси-серверов.

HTTPS проверка закрывает эту «дыру». Когда HTTPS проверка включена, брандмауэр TMG копирует изначально запрашиваемый SSL сертификат и выдает пользователю его дубликат. Теперь брандмауэр TMG может заблокировать SSL сеанс на внутреннем интерфейсе и проверить все исходящие HTTPS коммуникации. При включенной HTTPS проверке брандмауэр TMG имеет доступ к незашифрованным данным прикладного уровня, что дает ему много преимуществ. Теперь TMG имеет доступ ко всему пути запроса, а не только к IP адресу сайта. Благодаря этому он может более точно применять фильтрацию URL. Также брандмауэр TMG может внедрять HTTP политику и осматривать контент на вирусы и вредоносные программы.

Чтобы включить HTTPS проверку, выделите раздел политики веб доступа Web Access Policy в дереве навигации и нажмите на настройке проверки Configure HTTPS Inspection в панели задач Tasks. Выберите опцию включения Enable HTTPS Inspection, а затем выберите опцию проверки трафика и валидации сертификатов сайта Inspect traffic and validate site certificates.

Для HTTPS проверки необходимо настроить сертификат сервера на брандмауэре TMG. Сгенерируйте самозаверяющийся сертификат, выбрав опцию Использовать Forefront TMG, чтобы сгенерировать сертификат (Use Forefront TMG to generate a certificate) и нажав кнопку Generate’. Или же можно импортировать сертификат из существующей внутренней инфраструктуры PKI, выбрав опцию импорта сертификат (Import a certificate) и нажав кнопку Import’.

После включения администратор TMG может задать исключения для определенных запросов, указав цели и источники. В сочетании с URL фильтрацией, исключения цели могут представлять собой URL категории или наборы URL категорий (например, Financial или Health). Опция валидации сертификата и оповещения клиентов тоже может быть настроена.

Заключение

Когда Forefront Threat Management Gateway (TMG) 2010 развернут в качестве шлюза веб безопасности, он представляет собой многоуровневую систему пограничной защиты, обеспечивающую высокий уровень защиты своим клиентам. URL фильтрация не позволяет клиентам подключаться к заведомо известным вредоносным сайтам. Интегрированная система проверки вредоносного кода не позволяет пользователям скачивать зараженные файлы, а система Network Inspection System предотвращает атаки через программные уязвимости ОС и приложений Microsoft. HTTPS проверка значительно улучшает все эти механизмы защиты, обеспечивая возможность проверки исходящих зашифрованных коммуникаций. Поскольку эти продвинутые механизмы защиты развернуты на шлюзе, они обеспечивают защиту не только для управляемых клиентов, но и для клиентов, которые не управляются администраторами сети.