• Artikel

Sicherheit auf dem PrüfstandMalwareprüfung im Umkreisnetzwerk

Yuri Diogenes, Mohit Saxena und Jim Harrison

Inhalt

Funktionsweise der Malwareprüfung
Konfigurieren des TMG-Features zur Malwareprüfung
Festlegen der Richtlinie für den Webzugriff
Update Center
Tests und Überwachung
Schlussbemerkung

Die neue Microsoft Forefront Threat Management Gateway Medium Business Edition (TMG MBE), die als Bestandteil von Essential Business Server sowie als eigenständiges Produkt erhältlich ist, bietet bedeutende Verbesserungen für den Betrieb des Microsoft-Firewalldiensts. Eines der wichtigsten Features dieser neuen Firewall ist die Möglichkeit, HTTP-Datenverkehr, der die Firewall überquert, auf Malware zu prüfen. Mithilfe dieses neuen Features können Sie Folgendes tun:

  • Ihre Fähigkeit zum Schutz Ihres internen Netzwerks vor aus dem Internet stammender Malware verbessern.
  • Das Umkreisnetzwerk mithilfe von TMG Update Center stets mit den neuesten Malwaresignaturen aktualisieren.
  • Verdächtigen Datenverkehr durch die Echtzeitüberwachung von Protokolleinträgen im Auge behalten und mithilfe des neuen Berichtssatzes Post-Mortem-Malwarestatistiken erhalten.

Dieser Ansatz ermöglicht Ihnen, potenzielle Bedrohungen im HTTP-Datenverkehr, der in das interne Netzwerk gelangt, zu verringern, sodass Ihre Antimalwarelösung um eine neue Sicherheitsebene ergänzt wird. Für Clients und Server wird zwar weiterhin Antivirensoftware benötigt, aber da diese Prüfung durchgeführt wird, bevor die Clientarbeitsstation die Daten empfängt, wird die Bedrohung durch Malware wesentlich vermindert.

Dies ist besonders nützlich, wenn Sie in Ihrem Netzwerk über nicht verwaltete Computer (z. B. über Gastcomputer) verfügen. Mit Forefront TMG stellen Sie sicher, dass bei einem Versuch dieser Computer, eine verdächtige Datei herunterzuladen, die Datei selbst dann blockiert wird, wenn auf dem nicht verwalteten Computer keine Antivirensoftware ausgeführt wird.

Funktionsweise der Malwareprüfung

Wenn ein Benutzer auf eine Website zugreift und versucht, eine Datei herunterzuladen, fängt TMG diesen Datenverkehr ab und prüft, ob für die Regel, die diesem Benutzer den Zugriff auf die Zielwebsite ermöglicht, das Malwareprüfungsfeature aktiviert ist. Ist dies der Fall, startet TMG die Prüfung. (Wenn dieses Feature nicht aktiviert ist, überprüft TMG den Datenverkehr natürlich nicht.) Abbildung 1 zeigt einen Überblick über den grundlegenden Ablauf der Malwareprüfung, wenn der Client eine Datei herunterlädt:

  1. Der Client sendet eine HTTP-Anforderung an die Zielwebsite, um eine Datei herunterzuladen.
  2. Forefront TMG empfängt die Anforderung, stellt fest, ob eine Regel zutrifft, und prüft die Anforderung auf Malware, wenn für diese Regel die Malwareprüfung aktiviert ist.
  3. Wenn die Anforderung gültig und frei von Malware ist, sendet Forefront TMG die Anforderung dann an den Zielserver.
  4. Der Zielserver empfängt die Anforderung und antwortet entsprechend.
  5. Forefront TMG empfängt die Antwort vom Zielserver und verarbeitet sie zuerst über das Proxymodul.
  6. Wenn die Regel eine Malwareprüfung vorsieht, sendet das Proxymodul den Text der HTTP-Anforderung an den Malwareprüfungsfilter. Antworten, die kleiner als 64 KB sind, werden im Speicher gesammelt. (Laut Internetstatistik sind etwa 98 % aller Downloads kleiner als 64 KB und können ohne Datenträger-E/A durchsucht werden.) Der Malwareprüfungsfilter sammelt die Inhalte, plant den Download und die Prüfung zeitlich ein und gibt dann die Kontrolle an das Proxymodul zurück.
  7. Wenn die Inhalte zulässig sind, sendet Forefront TMG die Originaldatei an den Benutzer. Falls die Datei infiziert ist und TMG die Datei nicht bereinigen kann, sendet TMG eine HTML-Seite mit der Meldung an den Benutzer, dass die Inhalte blockiert wurden.

fig01.gif

Abbildung 1 Ablauf der Malwareprüfung

Während der Sammlungsphase (Schritt 6) verbessert TMG die Benutzerfunktionalität mit einer der folgenden Methoden zur Inhaltsbereitstellung:

  • HTML-Statusseite mit dynamischer Fortschrittsanzeige, die dem Benutzer ermöglicht, die Inhalte nach Abschluss der Prüfung vom TMG-Computer herunterzuladen.
  • Standardübermittlung, bei der Forefront TMG die Inhalte anfangs mit einer sehr langsamen Geschwindigkeit an den Client sendet und nach Abschluss der Prüfung die Daten dann mit der höchstmöglichen Geschwindigkeit sendet.
  • Schnelle Übermittlung, bei der der von Ihnen definierte Parameter eine Zahl ist, die den Kompromiss zwischen der Benutzerfunktionalität (weniger Pufferung in Forefront TMG und mehr Prüfungen) und der Leistung (mehr Pufferung in Forefront TMG und weniger Prüfungen) angibt. Dies wird in der Regel für Mediendateien verwendet, die mit Onlineplayern wiedergegeben werden (nicht für das Medienstreaming).

Zur Aufrechterhaltung der Standards, die in anderen Microsoft-Sicherheitslösungen gelten, wird für das Malwareschutzfeature in TMG dasselbe Malwareschutzmodul (Malware Protection Engine, MPE) wie in Forefront Client Security, Windows Defender und One Care genutzt. Im weiteren Verlauf dieses Artikels wird erläutert, wie die Definitionen mithilfe von Update Center auf dem neuesten Stand gehalten werden können.

Konfigurieren des TMG-Features zur Malwareprüfung

Um die Malwareprüfung zu konfigurieren, müssen Sie sie zuerst auf globaler Ebene und dann auch auf Regelebene aktivieren. Der erste Schritt besteht darin, zum Knoten „Web Access Policy“ (Webzugriffsrichtlinie) zu wechseln und im Aufgabenbereich auf „Configure Malware Inspection“ (Malwareprüfung konfigurieren) zu klicken (siehe Abbildung 2).

Abbildung 2 Webzugriffseinstellungen

Daraufhin wird ein Dialogfeld angezeigt, in dem Sie die Malwareprüfung auf globaler Ebene aktivieren können (siehe Abbildung 3). Dieses Dialogfeld enthält zudem weitere Einstellungen für die Malwareprüfung, die vorab mit den Standardeinstellungen aufgefüllt wurden. Einige dieser Einstellungen können auf Zugriffsregelebene gesteuert werden, während andere nur global festgelegt werden können.

fig03.gif

Abbildung 3 Konfigurieren der Malwareprüfung auf globaler Ebene

Über die Registerkarte „Exceptions“ (Ausnahmen) in Abbildung 4 können Sie steuern, welche Websites von der Malwareprüfung ausgenommen werden. Sie können dies auch durch Richtlinieneinstellungen festlegen, aber durch die Konfiguration über dieses Dialogfeld werden alle Zugriffsregeln außer Kraft gesetzt: Wenn die Website hier aufgelistet ist, wird sie selbst dann nicht auf Malware geprüft, wenn die Prüfung auf Regelebene festgelegt wurde. Solche globalen Einstellungen sind für Websites, die von Organisationen für ihre internen Benutzer in ihrer DMZ gehostet werden, oder für andere vertrauenswürdige Websites nützlich, die häufig verwendet werden.

fig04.gif

Abbildung 4 Websiteausnahmen

Mithilfe der in Abbildung 5 gezeigten Registerkarte „Inspection Settings“ (Prüfungseinstellungen) können Sie angeben, welche Arten von Inhalten blockiert werden sollen. Sie können die Standardaktion für den jeweiligen Inhaltstype definieren, z. B. ob Forefront TMG versuchen soll, infizierte Inhalte zu bereinigen, und sie dann an den Endbenutzer senden soll, oder ob die Inhalte ohne einen Bereinigungsversuch vollständig blockiert werden sollen.

fig05.gif

Abbildung 5 Festlegen von Prüfungsparametern

Sie können wahlweise auch verdächtige, beschädigte oder verschlüsselte Dateien bzw. Dateien, die nicht überprüft werden können, blockieren. Darüber hinaus können Sie Dateigrößenbeschränkungen festlegen, um Bandbreite zu sparen und Benutzer am Herunterladen von großen Dateien bzw. Dateien, deren Prüfung zu viel Zeit in Anspruch nimmt, zu hindern. Beachten Sie, dass es sich hierbei um globale Einstellungen handelt, die nicht in der Regel verfügbar gemacht werden.

Die in Abbildung 6 gezeigte Registerkarte „Content Delivery“ (Inhaltsbereitstellung) ermöglicht Ihnen, die Benutzerfunktionalität beim Herunterladen von Dateien zu konfigurieren, einschließlich der Angabe, ob ein Endbenutzer für Dateien, deren Herunterladen und Prüfen mehr als 10 Sekunden (in COM konfigurierbar) in Anspruch nimmt, eine nach und nach übermittelte Antwort oder eine Fortschrittsbenachrichtigungsseite erhält. (Wenn der Vorgang höchstens 10 Sekunden dauert, erfolgt keine Benachrichtigung.)

fig06.gif

Abbildung 6 Festlegen der Bereitstellungsmethode für Inhalte

Sie können auch auswählen, für welche Arten von Inhalten die Benutzer anstelle einer nach und nach übermittelten Antwort eine Fortschrittsbenachrichtigung empfangen, indem Sie auf „Select Content Types“ (Inhaltstypen auswählen) klicken und in diesem Dialogfeld Inhaltstypen hinzufügen oder entfernen. Dabei handelt es sich um eine globale Einstellung, die nicht in der Regel verfügbar gemacht wird.

Auf der Registerkarte „Storage“ (Speicherung) wird der Ordner definiert, in dem die Dateien vorübergehend gesammelt werden, während sie überprüft und an den Endbenutzer gesendet werden. Der Standardordner ist „%SystemRoot%\Temp“, aber diese Einstellung kann geändert werden. Hierbei handelt es sich wiederum um eine globale Einstellung, die nicht in der Regel verfügbar gemacht wird.

Die Leistung der Forefront TMG-Malwareprüfung für Inhalte, die auf dem Datenträger gesammelt werden müssen, wird verbessert, wenn sich dieser Ordner auf einem anderen Datenträger als die Laufwerke befindet, die für die Betriebssystemauslagerung oder die Forefront TMG-Protokollierung verwendet werden. Wenn Sie auf dem TMG Server-Computer über Antivirensoftware verfügen, ist es wichtig, dass Sie diesen Ordner von der Prüfung ausschließen, damit die Dateien nicht für die Prüfung durch die Antivirensoftware gesperrt werden, während sie von Forefront TMG Server verwendet werden. Bewährte Methoden hinsichtlich der auszuschließenden Ordner finden Sie unter Überlegungen bei der Verwendung von Antivirensoftware unter ISA Server.

Festlegen der Richtlinie für den Webzugriff

Der Forefront TMG-Administrator kann über die Webzugriffsrichtlinie oder über die Firewallrichtlinie Regeln konfigurieren, die den Benutzerzugriff auf das Internet steuern. Bei Verwendung der Webzugriffsrichtlinie lassen die Regeln explizit nur das HTTP- und das HTTPS-Protokoll zu und ermöglichen Administratoren, den Benutzerzugriff auf Websites zu gestatten oder zu verweigern. Dies kann auch in der Firewallrichtlinie über die Option „Access Rule“ (Zugriffsregel) erreicht werden, mit der Sie den HTTP- und HTTPS-Zugriff manuell auf Grundlage von Quelle, Ziel und Benutzer gestatten können. Beachten Sie, dass in einer Zugriffsregel die Option „Malware Inspection“ (Malwareprüfung) nur dann angezeigt wird, wenn die ausgewählten Protokolle die Webprotokolle umfassen.

Um die Malwareprüfung auf Regelebene zu aktivieren, können Sie im Dialogfeld „Web Access Default Rule Properties“ (Eigenschaften der Webzugriffsstandardregel) das Kontrollkästchen „Inspect content downloaded from Web servers to clients“ (Von Webservern auf Clients heruntergeladene Inhalte prüfen) aktivieren. Beachten Sie, dass diese Prüfung nur für HTTP-Inhalte gilt, die gemäß der Regel heruntergeladen werden. Die Malwareprüfung muss zuerst auf globaler Ebene aktiviert werden, bevor sie auf Regelebene angewendet werden kann.

Update Center

Forefront TMG verwaltet die Definitionen bekannter Viren, Würmer und anderer Malware. Um diese wichtigen Definitionen auf dem neuesten Stand zu halten, ist in Forefront TMG ein zentralisierter Mechanismus namens „Update Center“ integriert, der dem Administrator ermöglicht, das Aktualisierungsintervall und automatische Updates zu konfigurieren. Auf Update Center kann über die Forefront TMG-Konsole zugegriffen werden.

Im Bereich „Definition Updates“ (Definitionsupdates) werden der Status der letzten Aktualisierung und der Zeitpunkt der letzten Prüfung auf neue Updates angezeigt. Sie konfigurieren die Aktualisierungsparameter im Aufgabenbereich auf der rechten Seite. Abbildung 7 zeigt die verschiedenen Optionen für Definitionsupdates, auf die zugegriffen werden kann, indem Sie im Aufgabenbereich auf „Configure Update Settings“ (Aktualisierungseinstellungen konfigurieren) klicken.

fig07.gif

Abbildung 7 Fenster „Definition Updates“ (Definitionsupdates)

Standardmäßig verwendet Forefront TMG den Agent für automatische Updates zum Abrufen von Updates vom Microsoft Update-Dienst, um die Antimalwaredefinitionen zu aktualisieren. Der Aktualisierungsagent verwendet die standardmäßige Updateserverauswahl des Computers. Wenn der Computer die Aktualisierung mithilfe von Windows Server Update Services (WSUS) durchführt, ruft der Agent daher auch Updates von WSUS ab. Andernfalls ruft er sie direkt von Microsoft Update ab. Diese Transaktionen werden (wie die normalen Windows-Updates) in der Datei „%systemroot%\windowsupdate.log“ aufgezeichnet.

Durch die Intervalleinstellungen in Update Center von Forefront TMG werden die Windows Update-Einstellungen nicht außer Kraft gesetzt. Diese Einstellungen sind vollständig voneinander getrennt. Daher lädt Windows Softwareupdates herunter, während Forefront TMG nur Signaturen herunterlädt.

Sie können in Forefront TMG die Suche nach Updates erzwingen, indem Sie im Aufgabenbereich auf „Check for Updates“ (Nach Updates suchen) klicken. Wenn neue Updates erkannt und installiert werden, wird auf der Registerkarte „Alerts“ (Warnungen) eine Informationswarnung angezeigt (siehe Abbildung 8). Wie Sie sehen können, werden im unteren Bereich des Fensters Details zum Update sowie die Versionen der Dateien, die aktualisiert wurden, angezeigt.

fig08.gif

Abbildung 8 Malwareprüfungsfilter-Warnung

Tests und Überwachung

Nach der Konfiguration der Prüfungs- und Update Center-Einstellungen besteht der nächste Schritt im Testen der Funktionalität. Angenommen, Sie verfügen über eine Clientarbeitsstation, die über Forefront TMG auf das Internet zugreift und eine Datei von einer Website herunterladen möchte. Der erste Schritt, bevor mit dem Herunterladen der Datei begonnen wird, besteht darin, die Überwachung in Forefront TMG durch Filtern der IP-Adresse der Clientarbeitsstation, die auf die externe Ressource zuzugreifen versucht, zu konfigurieren (siehe Abbildung 9).

fig09.gif

Abbildung 9 Überwachen der Clientarbeitsstation, die versucht, eine Datei herunterzuladen

Angenommen, der Client in diesem Beispiel sendet eine HTTP GET-Anforderung an files.fabrikam.com/suspicious.exe. Forefront TMG prüft dann die Anforderung, und nachdem erkannt wurde, dass die Datei in der Anforderung verdächtig ist, wird ein „Failed Connection Attempt“-Ereignis (fehlgeschlagener Verbindungsversuch) in das Protokoll geschrieben (siehe Abbildung 10).

fig10.gif

Abbildung 10 Verdächtige Datei erkannt

Beachten Sie, dass in der Spalte „Malware Inspection Result“ (Ergebnis der Malwareprüfung) diese Datei als verdächtig kategorisiert wird. In der Spalte „Threat Name“ (Name der Bedrohung) wird der Name der Malware angezeigt, und die Bedrohungsstufe wird als schwerwiegend angegeben. Im Detailbereich für den Fehler werden weitere Informationen dazu angezeigt, warum der Verbindungsversuch fehlgeschlagen ist.

Der Benutzer, der versucht hat, diese Datei herunterzuladen, wird ebenfalls mit diesem Fehler konfrontiert, empfängt aber eine aussagekräftigere und benutzerfreundlichere Meldung, in der erklärt wird, dass der Zugriff auf verdächtige Dateien aufgrund der Sicherheitsrichtlinieneinstellungen blockiert wurde (siehe Abbildung 11). Dieser Ansatz ermöglicht dem Benutzer zu verstehen, was geschieht und warum die Datei, auf die er zugreifen möchte, nicht verfügbar ist.

fig11.gif

Abbildung 11 Benutzerfreundlichere Fehlermeldung

Schlussbemerkung

Das Hauptziel in diesem Artikel bestand darin, Ihnen zu erklären, wie durch die Verwendung des Malwareprüfungsfeatures von Microsoft Forefront TMG die Edgesicherheit verbessert werden kann. Durch dieses Feature erhalten Sie eine zentralisierte Ansicht des gesamten verdächtigen Datenverkehrs, der möglicherweise durch Ihre Firewall fließt, und es ermöglicht Ihnen, auf Grundlage der Ergebnisse der Prüfung Maßnahmen zu ergreifen. Obwohl es sich hierbei um einen wichtigen Ansatz für eine sicherere Umgebung handelt, gibt es stets Bedenken hinsichtlich der möglichen Auswirkungen auf die Benutzerfunktionalität beim Surfen im Internet.

Microsoft Forefront TMG trägt diesen Bedenken dadurch Rechnung, dass der Überprüfungsvorgang für den Endbenutzer transparenter gestaltet werden kann. Weitere Informationen finden Sie in der Forefront TMG-Dokumentation im Microsoft Forefront-Edgesicherheit-TechCenter.

Yuri Diogenes (MCSE+S, MCTS, MCITP, Security+, Network+, CCNP) arbeitet bei Microsoft als Security Support Engineer im ISA Server/IAG-Team. Er schreibt zudem Artikel für den ISA Server-Teamblog und das TechNet Magazin. Yuri Diogenes ist Mitautor der Forefront-Communityseite Tales from the Edge.

Mohit Saxena ist der technischer Leiter für das Microsoft ISA Server-Supportteam. Er leitet ein Team von Support- und Eskalationstechnikern, um für Kunden Support bei der Problemlösung, der Fehlerbehebung und bei Entwurfsänderungsanforderungen bereitzustellen.

Jim Harrison trat dem ISA Server Sustained Engineering-Team im Januar 2003 als QFE-Tester bei. Er ist jetzt ein begeisterter ISA Server-Fan und Systemimplementierer sowie Mitautor der Forefront-Communityseite Tales from the Edge.

Yuri Diogenes, Mohit Saxena und Jim Harrison schreiben das nächste Microsoft Press-Buch über Microsoft Forefront Threat Management Gateway (TMG), das 2009 erscheint.