A biztonságos web átjáróForefront TMG 2010

Gál Tamásv-tagal@microsoft.comIT üzemeltetési szakértőMicrosoft Magyarország

- Áttekintés- Malware szűrés- Alkalmazás és webszűrés - HTTPS vizsgálat- URL szűrés

Tartalom

ÁttekintésHol van a probléma?

Szabályzás, folyamatok, tudatosság

Fizikai biztonság

Perimeter

Belső hálózat

Operációs rendszer

Alkalmazások

Adatok

SMTP (25)HTTP (80)HTTPS (443)FTP (21)

Protokoll HTTP SIP FTP DNS SMTP

Része a teljes forgalomból 80% 8% 5% 5% 2%

75% - sikeres betörések - Gartner

92% - sebezhetőség - NIST

ÁttekintésMiért is van probléma?

Physical

Datalink

Network

SourceDestnTTLChksum

Transport

Seq #PortChksum

Adatok:„fekete doboz”

Standard Firewall

Physical

Datalink

Network

SourceDestnTTLChksum

Transport

Seq #PortChksum

• E-mail csatolások• DNS / HTTP szintaxis• SMB vizsgálat• SSL terminálás• URL szűrés

Application InspectionFirewall(ISA, TMG, IAG, UAG)

Vizsgálat / szűrés

A klasszikus tűzfalak nem szűrnek az alkalmazás rétegben, csak a csomag fejlécét vagy a csomag állapot információt vizsgálják. Jött egy busz: a száma és a célja OK, de az utasok? Az UZI-kkal?

Áttekintés - TMG szkenáriókSecure Web

Gateway • Malware szűrés, HTTP/S szűrés, URL szűrés

Firewall • Multi-layer inspection, NIS, ISP-R, E-NAT, SIP

Remote Access

Gateway

• VPN (PPTP, L2TP, SSTP) + S2S VPN (IPSec is), DirectAccess, Biztonságos webes publikálás

Secure Email Relay • E-mail, spam- és vírusszűrés

Unified Threat

Management

• „Mindent egybe” megoldás kisebb szervezeteknek és telephelyeknek (firewall, proxy, VPN, publikálás, NIS, ISP-R, Cache, stb. egyetlen dobozban)

- Áttekintés- Malware szűrés- Alkalmazás és webszűrés - HTTPS vizsgálat- URL szűrés

Tartalom

Malware szűrés

Internet

• Microsoft AV motor integráció• Szignatúra & és motor frissítések• Feliratkozás alapú (120 napig

ingyen)

• Kivételek (forrás és cél is)• Globálisan vagy szabályonként egyesével• Naplózás, jelentések és riasztások• Web Access Wizard integráció

Tartalomtípus alapján is szűr

(+ titkosított, nagy fájlok, sokszorosan tömörített, stb.)

SignaturesDB

MU / WSUS

TMG

Malware szűrés - alapokMalware (spyware + vírus) detektálása és megállítás

A HTTP forgalomban, még mielőtt a bináris állomány elérné a klienst

A megvalósító a Malware Inspection Filter > az összes web proxy forgalomban > HTTP és HTTPS isGlobális és szabályszintű beállításKiválóan követhető az eredmény a jelentésekben isNem azt jelenti, hogy nem kell AV szoftver!

„Átmenő” ellenőrzés

Malware szűrés - UXA letöltési ‚csík”

A felhasználó a letöltés idejére egy ún. „Progress notification” kijelzőt kapA letöltést a TMG ellenőrzése követiHa minden rendben van, akkor a felhasználónak megjelenik a „Download” gomb Ha nem akkor értesítjük és blokkoljuk

Malware szűrés - Trickling (csepegtetés)

Standard A TMG letölti a fájl egy kis részét „Csepegteti” ezt a részt a kliensnek (time-out elhárítása)

Kockázatosabb, mert összerakva tartalmazhat malware kódrészletet

Kicsi a befolyása a TMG teljesítményére Fast

A fájl egy kis rézének letöltése, ellenőrzéseTovább tölti, egyben ellenőrzi az előzővel és adja a kliensnek, majd újra és újra ellenőriz növekményesenNagy a befolyása a TMG teljesítményére

FTMG-CLIENT172.16.20.11

FTMGDEMO1172.16.20.20131.107.10.1

FTMGEEDC172.16.20.10

www.netlogon.hu

FTMG-EXTWEB131.107.10.2

extweb.example.com

Internet

Demókörnyezet

Priv Internet2

EMP

demó

- Áttekintés- Malware szűrés- Alkalmazás és webszűrés - HTTPS vizsgálat- URL szűrés

Tartalom

Alkalmazás és webszűrés – hogyan?

Alkalmazás és webszűrés – nagy a készlet

Alkalmazás és webszűrés – a HTTP szűrő

HTTP filter vs. BitTorrent

demó

- Áttekintés- Malware szűrés- Alkalmazás és webszűrés - HTTPS vizsgálat- URL szűrés

Tartalom

HTTPS vizsgálat – az előzményekA böngésző elküldi a CONNECT kérést a web proxy-nak

CONNECT host_name:port HTTP/1.1A web proxy megengedi a csatlakozást a kérő által megadott TCP porton (443)A web proxy jelzi a kliensnek, hogy felállt a kapcsolatA kliens titkosítva, de direktben küldi és kapja a tartalmat

A csőben bármi mehet...

HTTPS vizsgálat – hogyan???

A TMG terminálja az SSL forgalmat a proxy mindkét „végén”, majd alaposan megvizsgálja > minden web proxy szűrés mehetTrükk1: A TMG terminálja az eredeti SSL forgalmat és két SSL csatornát épít kiTrükk2: A saját tanúsítványával írja alá az eredetiből származó, és lemásolt tanúsítványt, így a kliens megbízhatónak tartja, és elfogadja

Internet

Contoso.com

SIGNED BY

VERISIGN

SSL

Contoso.com

SIGNED BY TMG

SSL SSL

URL szűrés

Malware szűrés NISHTTP

szűrés

HTTPS vizsgálat - a tanúsítványokról szól minden

Contoso.com

SIGNED BY TMG

Internet

Contoso.com

SIGNED BY

VERISIGN

A tanúsítvány „szórása” (AD vagy Import / Export)

A vizsgálattal kapcsolatos beállítások:• A tanúsítványok kezelése • Kivételek - forrás és cél• „Csak” a tanúsítványok validálása• Értesítések

A kliens értesítése a forgalom ellenőrzésről a TMG kliens

segítségével+ tanúsítvány vizsgálat (visszavonási lista, megbízható-e, lejárat, önaláírás, stb.)

HTTPSi

demó

- Áttekintés- Malware szűrés- Alkalmazás és webszűrés - HTTPS vizsgálat- URL szűrés

Tartalom

URL szűrés

Internet

• 91 beépített kategória• 18 csoportban• Saját kategóriák

• Több URL DB szállítótól származó frissítések

• Feliratkozás alapú (és együtt licencelhető az EMP-vel)

• URL kategória felülírás• URL lekérdezés• SafeSearch és proritási sorrend

(SP1+SU)• Naplózás és jelentések• Web Access Wizard integráció

• Szabályonként• Testreszabható hibaüzenetek• Felhasználói felülírás (SP1)

URL DB

Microsoft ReputationService

TMG

URL-F

demó