Vigilancia de seguridad Inspección de software malintencionado en el perímetro

Yuri Diogenes, Mohit Saxena, and Jim Harrison

Contenido

Cómo funciona la inspección de software malintencionado
Configurar TMG contra software malintencionado inspección de características
Configuración de directiva de Web Access
Centro de actualización
Las pruebas y supervisión
Conclusión

El nuevo Microsoft Forefront amenazas Administración de puerta de enlace medio Business Edition (MBE TMG), disponible como parte de Essential Business Server y como un producto independiente, proporciona mejoras significativas de la operación de servicio servidor de seguridad de Microsoft. Una de las características más importantes de este nuevo servidor de seguridad es la capacidad para inspeccionar el tráfico HTTP que se cruza de malware. Mediante esta nueva característica, podrá:

• Mejorar su capacidad para proteger la red interna contra software malintencionado que provienen de Internet.
• Mantener el perímetro actualizado con las últimas firmas malware mediante TMG Update Center.
• Mantenerse al tanto de tráfico sospechoso a través de supervisión en tiempo real de entradas del registro y obtener las estadísticas de software malintencionado de análisis posteriores utilizando el nuevo conjunto de informes.

Este enfoque le permite mitigar las amenazas potenciales en el tráfico HTTP cruce del perímetro, agregar un nuevo nivel de seguridad a la solución antimalware. No se elimina la necesidad de cliente y servidor antivirus, pero dado que se efectúan esta inspección antes de la estación de trabajo cliente recibe los datos, la amenaza de software malintencionado se minimiza considerablemente.

Resulta especialmente útil si tiene equipos no administrados en la red, como los equipos de invitado. Con Microsoft Forefront TMG, asegurarse de que si los equipos intentan descargar un archivo sospechoso, el archivo se se bloqueado incluso si el equipo no administrado no se está ejecutando software antivirus.

Cómo funciona la inspección de software malintencionado

Cuando un usuario tiene acceso un sitio Web e intenta descargar un archivo, TMG interceptará ese tráfico y comprobación o no la regla que permite que usuario tener acceso al sitio de destino tiene la característica de inspección de malware habilitada en el. Si es así, TMG se iniciará la inspección. (Obviamente, si no está habilitada esta característica, TMG no analizará el tráfico.) la figura 1 resume el flujo básico de la inspección de software malintencionado, como el cliente descarga un archivo:

1. Cliente envía una solicitud HTTP al sitio Web de destino para descargar un archivo.
2. Forefront TMG recibe la solicitud, determina si cualquier regla coincide con y, en si esta regla tiene habilitada, la inspección de malware examina la solicitud de software malintencionado.
3. Si la solicitud es válida y limpia, Forefront TMG, a continuación, envía la petición al servidor de destino.
4. El servidor de destino recibe la solicitud y responde en consecuencia.
5. Forefront TMG recibe la respuesta desde el servidor de destino y procese primero a través del motor de proxy.
6. Si la regla especifica la inspección de software malintencionado, el motor de proxy envía el cuerpo de la solicitud HTTP al filtro de inspección contra software malintencionado. Las respuestas menores de 64 KB se acumulan en la memoria. (En función de las estadísticas de Internet, 98 % aproximadamente de descargas sean menores que 64 KB y puede analizarse sin operaciones de E/s de disco.) El filtro de inspección contra software malintencionado se acumula el contenido, intervalo de la descarga y la inspección, a continuación, devuelve el control al motor de proxy.
7. Si el contenido está permitido, Forefront TMG envía el archivo original para el usuario. Si el archivo está infectado y TMG no puede limpiar el archivo, TMG envía una página HTML para el usuario que indica que se ha bloqueado el contenido.

Figura 1 inspección contra software malintencionado de flujo

Durante la acumulación (paso 6), TMG mejora la experiencia de usuario utilizando uno de los siguientes métodos de entrega de contenido:

• Página de progreso HTML, que muestra la indicación de progreso dinámico y permite el usuario para descargar el contenido desde el equipo TMG al digitalizar finaliza.
• Trickling estándar, en que Microsoft Forefront TMG envía inicialmente el contenido a una velocidad muy lenta al cliente y a continuación, cuando se haya completado, la digitalización envía los datos a la velocidad más alta posible.
• Rápida trickling, en la que el parámetro que definir es un número que indica el equilibrio entre la experiencia del usuario (menos búfer en Forefront TMG y más análisis) y el rendimiento (más búfer en Forefront TMG y menos exploraciones). Normalmente, se utiliza para archivos multimedia que desempeñaban jugadores en línea (no por medio de transmisión).

Para mantener los estándares de otras soluciones de seguridad de Microsoft, la característica de protección de malware en TMG aprovecha de la misma contra software malintencionado protección motor (MPE) que se utilizan en Forefront Client Security, Windows Defender y importa un. Más adelante en esta columna, se demostrará cómo mantener las definiciones de actualizada con centro de actualización.

Configurar TMG contra software malintencionado inspección de características

Para configurar inspección de malware, necesario para habilitarla primero en un nivel global y, después, también en el nivel de regla. El primer paso es ir al nodo Directiva de acceso Web y haga clic en Configurar inspección contra software malintencionado en el panel de tareas, tal como se muestra en la figura 2 .

La Figura 2 Configuración de acceso de Web

Cuando lo haga, aparece un cuadro de diálogo que permite habilitar la inspección de malware globalmente, tal como se muestra en la figura 3 . Este cuadro de diálogo también contiene otras configuraciones para la inspección de malware que se rellenadas previamente con configuración predeterminada. Algunas de estas opciones se pueden controlar en el nivel de regla de acceso mientras algunas pueden sólo se establecen globalmente.

La figura 3 configuración inspección de software malintencionado en el nivel global

La ficha excepciones en la figura 4 permite controlar qué sitios pueden se exentos de inspección de software malintencionado. También puede hacer esto mediante la configuración de directiva, pero mediante este cuadro de diálogo de configuración reemplaza cualquier regla de acceso: si el sitio aparece aquí, no se pueden inspeccionar de malware aunque definidas para la inspección del nivel de regla. Estos valores globales son útiles para sitios Web alojados por sitio de organizaciones en su DMZ para los usuarios internos o para cualquier otra confianza, utilizadas con frecuencia.

La figura 4 excepciones de sitio

La ficha de configuración de inspección de se muestra en la figura 5 le permite especificar qué tipo de contenido se bloqueará. Puede definir la acción predeterminada para este tipo de contenido, como si Forefront TMG debe intentar limpiar el contenido infectado y enviarlo al usuario final o si el contenido se totalmente bloqueará con intentar limpiarlo.

La figura 5 configuración de los parámetros de inspección

También puede bloquear archivos sospechosos, está dañados o cifrados o archivos que no pueden analizarse. Y puede establecer límites de tamaño de archivo para conservar el ancho de banda e impedir que los usuarios descargar archivos grandes o los archivos que lleve demasiado tiempo para la inspección. Observe que son valores de configuración globales y no se exponen en la regla.

La ficha entrega de contenido, que se muestra en la figura 6 , permite configurar la experiencia del usuario durante la descarga de archivos, incluyendo la especificación de si un usuario final recibirá una respuesta trickled o una página de notificación de progreso para los archivos que tomar más de 10 segundos (configurables en COM) para descargar y examinar. Se (notificación no produce si el proceso de toma de 10 segundos o menos.)

especificar cómo se entrega el contenido de la figura 6

También puede seleccionar qué tipo de contenido recibirán una notificación de progreso en contraposición a una respuesta trickled hacer clic en Seleccionar tipos de contenido y agregar o quitar tipos de contenido de este cuadro de diálogo. Esto es una configuración global y no está expuesta en la regla.

La ficha almacenamiento define la carpeta donde los archivos se se temporalmente acumulan al que se va a examinar y sirve para el usuario final. La carpeta predeterminada es el porcentaje de SystemRoot%\Temp, pero esto se puede cambiar. Nuevo, esto es una configuración global y no está expuesta en la regla.

Rendimiento de inspección de Forefront TMG malware para contenido que se debe acumulado a disco mejorará cuando esta carpeta se encuentra en un eje diferente de las unidades de paginación del sistema OPERATIVO o registro de Microsoft Forefront TMG. Es importante excluir esta carpeta de que se va a examinar si dispone de software antivirus en el servidor TMG para que los archivos no están bloqueados para examinar por el software antivirus mientras está en uso por Forefront TMG Server. Para obtener recomendaciones en qué carpetas para excluir, consulte" Consideraciones al utilizar software antivirus en el servidor ISA."

Configuración de directiva de Web Access

El administrador de Forefront TMG puede configurar las reglas de controlar el acceso a Internet a través de la directiva de acceso Web o la directiva de servidor de seguridad de los usuarios. Cuando se utiliza la directiva de acceso A Web, las reglas permiten explícitamente los protocolos HTTP y HTTPS, y permiten a los administradores permitir o denegar el acceso de usuario a sitios Web. Esto también se puede lograr mediante la regla de acceso en la directiva de servidor de seguridad, donde manualmente puede permite el acceso HTTP y HTTPS en función origen, destino y el usuario. Tenga en cuenta que en una regla de acceso, la opción de inspección de software malintencionado está visible sólo si los protocolos seleccionados incluyen los protocolos de Web.

Para habilitar la inspección de software malintencionado en el nivel de regla, puede comprobar el cuadro "Inspeccionar contenido descarga desde servidores Web en los clientes," que encontrará en el cuadro de diálogo Propiedades de regla predeterminada de Web Access. Tenga en cuenta que esta inspección sólo se aplica a contenido HTTP que se descarga por la regla. Inspección de software malintencionado debe estar habilitada globalmente primero antes de se puede aplicar en el nivel de regla.

Centro de actualización

Forefront TMG mantiene las definiciones de virus conocidos, gusanos y demás código dañino. Para mantener estas definiciones importantes actualizada, Forefront TMG ha integrado un mecanismo centralizado denominado el Centro de actualización que permite el administrador configurar la frecuencia de actualización, así como la acción de actualización automática. Se puede tener acceso el Centro de actualización desde la consola de Microsoft Forefront TMG.

El panel actualizaciones de definiciones de muestra el estado de la última actualización y la hora cuando se realizó el último cheque para las actualizaciones nuevas. El panel de tareas en el lado derecho está donde podrá configurar parámetros de actualización. la figura 7 muestra las opciones varias actualizaciones de definiciones que pueden obtener acceso haciendo clic en Configurar la configuración de actualización en el panel de tareas.

La figura 7 las definiciones de actualización ventana

De manera predeterminada, Microsoft Forefront TMG utiliza el agente de actualizaciones automáticas para extraer las actualizaciones desde el servicio Microsoft Update para actualizar las definiciones contra código malintencionado. El agente de actualización utiliza predeterminada actualización servidor selección el equipo; por lo tanto, si el equipo usa actualizaciones de Windows Server Update Services (WSUS), el agente obtendrá también las actualizaciones desde WSUS, de lo contrario obtendrá ellos directamente desde Microsoft Update. Estas transacciones se registran en el archivo %systemroot%\windowsupdate.log (como son las actualizaciones de Windows normal).

La configuración de frecuencia en el Centro de actualización de TMG Forefront de no sobrescribe la configuración de Windows Update. Estas opciones son completamente independientes; por lo tanto, en que Windows descarga actualizaciones de software mientras Forefront TMG sólo descarga las firmas.

Se puede forzar TMG Forefront para buscar actualizaciones haciendo en buscar actualizaciones en el panel de tareas. Si las nuevas actualizaciones se detectó y instaladas, una alerta informativa se aparezca en la ficha alertas, tal como se muestra en la figura 8 . Como puede ver, en la parte inferior de la ventana muestra información detallada sobre la actualización, así como las versiones de los archivos que se actualizaron.

Figura 8 alerta de filtro de inspección contra software malintencionado

Las pruebas y supervisión

Una vez configurados la inspección y la configuración del Centro de actualización, el paso siguiente es probar la funcionalidad. Supongamos que tiene una estación de trabajo cliente que tiene acceso a Internet a través de Microsoft Forefront TMG y desea descargar un archivo de un sitio Web. El primer paso antes de comience la descarga del archivo, es configurar la supervisión en Forefront TMG mediante el filtrado de la dirección IP de la estación de trabajo cliente que está intentando obtener acceso al recurso externo, tal como se muestra en la figura 9 .

Figura 9 de supervisión de la estación de trabajo de cliente que está intentando descargar un archivo

En este ejemplo, supongamos que el cliente está enviando un HTTP GET a files.fabrikam.com/suspicious.exe. Forefront TMG evalúa la solicitud y, después de detectar que el archivo en la solicitud es sospechoso, escribe un evento de error de intento de conexión en el registro (consulte la figura 10 ).

Figura 10 archivo sospechoso detectado

Observe que en la columna resultado de inspección de software malintencionado, este archivo se clasifica como sospechoso; la columna Nombre de amenazas indica el nombre de código malintencionado, y el nivel de amenazas es grave. El panel de detalles para el error muestra más información acerca de por error del intento de conexión.

El usuario que se intenta descargar este archivo también experimenta este error, pero recibe un mensaje más descriptivo y descriptivo que explica que "acceso a archivos sospechosos está bloqueado debido a configuración de directiva de seguridad" (como se muestra en la figura 11 ). Este enfoque permite al usuario a entender lo que sucede y por qué el archivo que está intentando obtener acceso a no estaba disponible.

Figura 11 A mensaje de error más descriptivo

Conclusión

Nuestro objetivo principal de esta columna era explicar cómo utiliza la característica de inspección de software malintencionado de la TMG de Microsoft Forefront puede mejorar la seguridad de extremo. Esta característica proporciona una vista centralizada de cualquier tráfico sospechoso que potencialmente atraviesa el servidor de seguridad y permite realizar acciones según los resultados de la inspección. Aunque éste es un enfoque importante hacia un entorno más seguro, siempre hay preocupa sobre cómo esto puede afectar a la experiencia del usuario al explorar el Web.

El TMG de Microsoft Forefront también trata estas cuestiones de tal manera que el proceso de análisis puede ser más transparente para el usuario final. Para obtener más información, consulte el Documentación de TMG Forefront en el TechCenter de seguridad perimetral de Microsoft Forefront.

Yuri Diogenes (MCSE + S, MCTS, MCITP, seguridad +, Network +, CCNP) funciona de Microsoft como ingeniero de soporte técnico de seguridad del equipo de ISA Server/IAG de. También escribe artículos para Blog del equipo de ISA Servery TechNet Magazine. Yuri es un coautor de la página de comunidad Forefront denominada" Historias desde el borde."

Mohit Saxena es el responsable técnico de equipo de soporte técnico de Microsoft ISA Server. Lleva un equipo de ingenieros de soporte técnico y técnicos de asignación de responsabilidades para proporcionar compatibilidad con clientes en salto de corrección de problemas, errores y diseño Cambiar las solicitudes.

Jim Harrison unieron al equipo ISA Server sostenido ingeniería como un personal de pruebas QFE en enero de 2003. Ahora es un ávido supporter de servidor ISA y implementador de sistemas y el coautor de la página de comunidad de Forefront denominan" Historias desde el borde."

Yuri, Mohit y Juan están escribiendo el siguiente libro de Microsoft Press acerca de Microsoft Forefront amenazas Administración de puerta de enlace (TMG), sino el libro estará disponible en 2009.