a biztonságos web átjáró forefront tmg 2010
DESCRIPTION
A biztonságos web átjáró Forefront TMG 2010. Gál Tamás [email protected] IT üzemeltetési szakértő Microsoft Magyarország. Tartalom. - Áttekintés - Malware szűrés - Alkalmazás és webszűrés - HTTPS vizsgálat - URL szűrés. Áttekintés Hol van a probléma?. - PowerPoint PPT PresentationTRANSCRIPT
A biztonságos web átjáróForefront TMG 2010
Gál Tamá[email protected] üzemeltetési szakértőMicrosoft Magyarország
- Áttekintés- Malware szűrés- Alkalmazás és webszűrés - HTTPS vizsgálat- URL szűrés
Tartalom
ÁttekintésHol van a probléma?
Szabályzás, folyamatok, tudatosság
Fizikai biztonság
Perimeter
Belső hálózat
Operációs rendszer
Alkalmazások
Adatok
SMTP (25)HTTP (80)HTTPS (443)FTP (21)
Protokoll HTTP SIP FTP DNS SMTP
Része a teljes forgalomból 80% 8% 5% 5% 2%
75% - sikeres betörések - Gartner
92% - sebezhetőség - NIST
ÁttekintésMiért is van probléma?
Physical
Datalink
Network
SourceDestnTTLChksum
Transport
Seq #PortChksum
Adatok:„fekete doboz”
Standard Firewall
Physical
Datalink
Network
SourceDestnTTLChksum
Transport
Seq #PortChksum
• E-mail csatolások• DNS / HTTP szintaxis• SMB vizsgálat• SSL terminálás• URL szűrés
Application InspectionFirewall(ISA, TMG, IAG, UAG)
Vizsgálat / szűrés
A klasszikus tűzfalak nem szűrnek az alkalmazás rétegben, csak a csomag fejlécét vagy a csomag állapot információt vizsgálják. Jött egy busz: a száma és a célja OK, de az utasok? Az UZI-kkal?
Áttekintés - TMG szkenáriókSecure Web
Gateway • Malware szűrés, HTTP/S szűrés, URL szűrés
Firewall • Multi-layer inspection, NIS, ISP-R, E-NAT, SIP
Remote Access
Gateway
• VPN (PPTP, L2TP, SSTP) + S2S VPN (IPSec is), DirectAccess, Biztonságos webes publikálás
Secure Email Relay • E-mail, spam- és vírusszűrés
Unified Threat
Management
• „Mindent egybe” megoldás kisebb szervezeteknek és telephelyeknek (firewall, proxy, VPN, publikálás, NIS, ISP-R, Cache, stb. egyetlen dobozban)
- Áttekintés- Malware szűrés- Alkalmazás és webszűrés - HTTPS vizsgálat- URL szűrés
Tartalom
Malware szűrés
Internet
• Microsoft AV motor integráció• Szignatúra & és motor frissítések• Feliratkozás alapú (120 napig
ingyen)
• Kivételek (forrás és cél is)• Globálisan vagy szabályonként egyesével• Naplózás, jelentések és riasztások• Web Access Wizard integráció
Tartalomtípus alapján is szűr
(+ titkosított, nagy fájlok, sokszorosan tömörített, stb.)
SignaturesDB
MU / WSUS
TMG
Malware szűrés - alapokMalware (spyware + vírus) detektálása és megállítás
A HTTP forgalomban, még mielőtt a bináris állomány elérné a klienst
A megvalósító a Malware Inspection Filter > az összes web proxy forgalomban > HTTP és HTTPS isGlobális és szabályszintű beállításKiválóan követhető az eredmény a jelentésekben isNem azt jelenti, hogy nem kell AV szoftver!
„Átmenő” ellenőrzés
Malware szűrés - UXA letöltési ‚csík”
A felhasználó a letöltés idejére egy ún. „Progress notification” kijelzőt kapA letöltést a TMG ellenőrzése követiHa minden rendben van, akkor a felhasználónak megjelenik a „Download” gomb Ha nem akkor értesítjük és blokkoljuk
Malware szűrés - Trickling (csepegtetés)
Standard A TMG letölti a fájl egy kis részét „Csepegteti” ezt a részt a kliensnek (time-out elhárítása)
Kockázatosabb, mert összerakva tartalmazhat malware kódrészletet
Kicsi a befolyása a TMG teljesítményére Fast
A fájl egy kis rézének letöltése, ellenőrzéseTovább tölti, egyben ellenőrzi az előzővel és adja a kliensnek, majd újra és újra ellenőriz növekményesenNagy a befolyása a TMG teljesítményére
FTMG-CLIENT172.16.20.11
FTMGDEMO1172.16.20.20131.107.10.1
FTMGEEDC172.16.20.10
www.netlogon.hu
FTMG-EXTWEB131.107.10.2
extweb.example.com
Internet
Demókörnyezet
Priv Internet2
EMP
demó
- Áttekintés- Malware szűrés- Alkalmazás és webszűrés - HTTPS vizsgálat- URL szűrés
Tartalom
Alkalmazás és webszűrés – hogyan?
Alkalmazás és webszűrés – nagy a készlet
Alkalmazás és webszűrés – a HTTP szűrő
HTTP filter vs. BitTorrent
demó
- Áttekintés- Malware szűrés- Alkalmazás és webszűrés - HTTPS vizsgálat- URL szűrés
Tartalom
HTTPS vizsgálat – az előzményekA böngésző elküldi a CONNECT kérést a web proxy-nak
CONNECT host_name:port HTTP/1.1A web proxy megengedi a csatlakozást a kérő által megadott TCP porton (443)A web proxy jelzi a kliensnek, hogy felállt a kapcsolatA kliens titkosítva, de direktben küldi és kapja a tartalmat
A csőben bármi mehet...
HTTPS vizsgálat – hogyan???
A TMG terminálja az SSL forgalmat a proxy mindkét „végén”, majd alaposan megvizsgálja > minden web proxy szűrés mehetTrükk1: A TMG terminálja az eredeti SSL forgalmat és két SSL csatornát épít kiTrükk2: A saját tanúsítványával írja alá az eredetiből származó, és lemásolt tanúsítványt, így a kliens megbízhatónak tartja, és elfogadja
Internet
Contoso.com
SIGNED BY
VERISIGN
SSL
Contoso.com
SIGNED BY TMG
SSL SSL
URL szűrés
Malware szűrés NISHTTP
szűrés
HTTPS vizsgálat - a tanúsítványokról szól minden
Contoso.com
SIGNED BY TMG
Internet
Contoso.com
SIGNED BY
VERISIGN
A tanúsítvány „szórása” (AD vagy Import / Export)
A vizsgálattal kapcsolatos beállítások:• A tanúsítványok kezelése • Kivételek - forrás és cél• „Csak” a tanúsítványok validálása• Értesítések
A kliens értesítése a forgalom ellenőrzésről a TMG kliens
segítségével+ tanúsítvány vizsgálat (visszavonási lista, megbízható-e, lejárat, önaláírás, stb.)
HTTPSi
demó
- Áttekintés- Malware szűrés- Alkalmazás és webszűrés - HTTPS vizsgálat- URL szűrés
Tartalom
URL szűrés
Internet
• 91 beépített kategória• 18 csoportban• Saját kategóriák
• Több URL DB szállítótól származó frissítések
• Feliratkozás alapú (és együtt licencelhető az EMP-vel)
• URL kategória felülírás• URL lekérdezés• SafeSearch és proritási sorrend
(SP1+SU)• Naplózás és jelentések• Web Access Wizard integráció
• Szabályonként• Testreszabható hibaüzenetek• Felhasználói felülírás (SP1)
URL DB
Microsoft ReputationService
TMG
URL-F
demó