• Artigo

Inspeção de segurança Inspeção de malware no perímetro

Yuri Diogenes, Mohit Saxena, and Jim Harrison

Conteúdo

Como funciona a inspeção de malware
Configurando recursos de inspeção de malware TMG
Configurar a diretiva para o Web Access
Centro de atualização
Teste e monitoramento
Conclusão

O novo Microsoft Forefront ameaças gerenciamento gateway médio Business Edition (TMG MBE), disponibilizada como parte essencial Business Server e um produto autônomo, fornece aprimoramentos significativos para a operação de serviço Microsoft Firewall. Um dos recursos mais importantes desse novo firewall é a capacidade de inspecionar o tráfego HTTP que atravessa-lo de malware. Com esse novo recurso, será possível para:

  • Melhorar sua capacidade para proteger sua rede interna contra malware provenientes da Internet.
  • Mantenha o perímetro atualizado com as últimas assinaturas de malware usando TMG Update Center.
  • Mantenha um olho aberto no tráfego suspeito por meio de monitoramento em tempo real das entradas do log e obter estatísticas de malware de post-mortem usando o novo conjunto de relatórios.

Essa abordagem permite que você atenuar ameaças em potencial no tráfego HTTP cruzamento do perímetro, adicionar uma nova camada de segurança à sua solução anti-malware. A necessidade de cliente e servidor antivírus não é eliminada, mas como essa inspeção é executada antes que a estação de trabalho cliente recebe os dados, a ameaça de malware bastante é minimizada.

Isso é especialmente útil se você tiver computadores não gerenciados em rede, como computadores convidados. Com o Forefront TMG, você garantir que, se esses computadores tentam baixar um arquivo suspeito, o arquivo será bloqueado, mesmo se o computador não gerenciado não está executando o software antivírus.

Como funciona a inspeção de malware

Quando um usuário acessa um site da Web e tenta baixar um arquivo, TMG interceptará que tráfego e verificar se a regra que permite que um usuário acessar o site de destino tem o recurso de inspeção de malware ativado nele. Se tiver, TMG iniciará a inspeção. (Obviamente, se esse recurso não está habilitado, TMG não verificará o tráfego.) a Figura 1 resume o fluxo básico da inspeção de malware, como o cliente está baixando um arquivo:

  1. Cliente envia uma solicitação HTTP para o site de destino para baixar um arquivo.
  2. Forefront TMG recebe a solicitação, determina se qualquer regra corresponde e, se essa regra tem inspeção de malware ativada, verifica a solicitação de malware.
  3. Se a solicitação for válida e limpa, o Forefront TMG, em seguida, envia a solicitação para o servidor de destino.
  4. O servidor de destino recebe a solicitação e responde adequadamente.
  5. Forefront TMG recebe a resposta do servidor de destino e o processa primeiro através o mecanismo de proxy.
  6. Se a regra especifica inspeção de malware, o mecanismo de proxy envia o corpo da solicitação HTTP para o filtro de inspeção de malware. Menor que 64 KB de respostas são acumuladas na memória. (Com base nas estatísticas de Internet, aproximadamente 98% dos downloads forem menores do que 64 KB e podem ser verificados sem E/s de disco.) O filtro de inspeção malware acumula o conteúdo, tempo o download e a inspeção, retorna o controle para o mecanismo de proxy.
  7. Se o conteúdo for permitido, o Forefront TMG envia o arquivo original para o usuário. Se o arquivo estiver infectado e TMG não é possível limpar o arquivo, o TMG envia uma página HTML para o usuário informando que o conteúdo foi bloqueado.

fig01.gif

Figura 1 inspeção de malware de fluxo

Durante o acúmulo (etapa 6), TMG melhora a experiência de usuário usando um dos seguintes métodos de entrega de conteúdo:

  • Página de progresso do HTML, que mostra a indicação de progresso dinâmica e permite que o usuário baixar o conteúdo do computador TMG durante o exame é concluída.
  • Trickling padrão, no qual Forefront TMG inicialmente envia o conteúdo a uma taxa muito lenta para o cliente e em seguida, quando a verificação for concluída, envia os dados na taxa mais alta possível.
  • Rápida trickling, em que você definir o parâmetro é um número que indica a compensação entre a experiência do usuário (menos no buffer TMG Forefront e mais verificações) e o desempenho (mais buffer no Forefront TMG e menos verificações). Isso geralmente é usado para arquivos de mídia reproduzidos por jogadores online (não por fluxo contínuo de mídia).

Para manter os padrões encontrados no outras soluções de segurança da Microsoft, o recurso de proteção contra malware no TMG tira proveito do mesmo malware proteção Engine (MPE) usado no Forefront Client Security, o Windows Defender e one care. Posteriormente nesta coluna, mostrará como manter as definições de atualizados usando a Central de atualização.

Configurando recursos de inspeção de malware TMG

Para configurar a inspeção de malware, você precisará ativá-lo primeiro em um nível global e também no nível de regra. A primeira etapa é ir para o nó Diretiva de acesso da Web e clique em Configurar inspeção de malware no painel de tarefas, como mostrado na Figura 2 .

fig02.gif

Figura 2 configurações de acesso da Web

Quando fizer isso, uma caixa de diálogo aparece permite que você ativar a inspeção de malware globalmente, conforme mostrado na Figura 3 . Esta caixa de diálogo também contém outras configurações para inspeção de malware que são preenchidas previamente com configurações padrão. Algumas dessas configurações podem ser controladas no nível de regra de acesso enquanto alguns somente podem ser definidas globalmente.

fig03.gif

A Figura 3 Configurando malware inspeção no nível global

A guia Exceções na Figura 4 permite que você controlar quais sites serão ser isento de inspeção de malware. Você também pode fazer isso através de configurações de diretiva, mas usando esta caixa de diálogo de configuração substitui qualquer regra de acesso: se o site estiver listado aqui, ele será não ser inspecionado de malware mesmo que definido para inspeção no nível de regra. Essas configurações globais são úteis para sites hospedados pelo site de organizações em sua DMZ para seus usuários internos ou quaisquer outros confiáveis, usadas com freqüência.

fig04.gif

A Figura 4 exceções de site

A guia de configurações de inspeção mostrada na Figura 5 permite que você especificar o tipo de conteúdo será bloqueado. Você pode definir a ação padrão para esse tipo de conteúdo, como se Forefront TMG deve tentar limpar conteúdo infectado e, em seguida, enviá-la para o usuário final ou se o conteúdo será completamente bloqueado com não tentar limpá-lo.

fig05.gif

A Figura 5 parâmetros de inspeção de configuração

Você também pode escolher bloquear arquivos suspeitos, corrompidos ou criptografados ou arquivos que não podem ser examinados. E você pode definir limites de tamanho de arquivo para preservar a largura de banda e impedir que os usuários baixando arquivos grandes ou que levar muito tempo para inspeção. Observe que essas são as configurações globais e não estão expostas na regra.

O guia de entrega de conteúdo, mostrado na Figura 6 , permite que você configurar a experiência do usuário durante o download de arquivo, inclusive especificar se um usuário final receberão uma resposta trickled ou uma página de notificação de progresso para arquivos que demorar mais do que 10 segundos (configurados no COM) para baixar e verificar. (Nenhuma notificação ocorre se o processo leva 10 segundos ou menos).

fig06.gif

A Figura 6 Especificando como o conteúdo seja entregue

Você também pode selecionar o tipo de conteúdo receberá uma notificação progresso em oposição a uma resposta trickled clicando em Selecionar tipos de conteúdo e adicionar ou remover tipos de conteúdo de caixa de diálogo. Essa é uma configuração global e não é exposta na regra.

A guia armazenamento define a pasta onde os arquivos serão ser temporariamente acumulados durante sendo examinados e disponibilizados para o usuário final. A pasta padrão é % SystemRoot%\Temp, mas isso pode ser alterado. Novamente, isso é uma configuração global e não é exposto na regra.

Desempenho do inspeção de malware do Forefront TMG para conteúdo que deve ser acumulado para disco irá melhorar quando esta pasta está localizada em um eixo diferente que as unidades usado para paginação do sistema operacional ou Forefront TMG log. É importante excluir esta pasta de sendo verificado se você tiver um software antivírus no servidor TMG para que os arquivos não estão bloqueados para a digitalização pelo software antivírus enquanto estiver em uso pelo Forefront TMG Server. Para práticas recomendadas em quais pastas para excluir, consulte" Considerações ao usar um software antivírus no ISA Server."

Configurar a diretiva para o Web Access

O administrador do Forefront TMG pode configurar regras de controlar o acesso de usuário a Internet por meio da diretiva de acesso da Web ou a diretiva de firewall. Ao usar a diretiva de acesso da Web, as regras explicitamente permitem somente os protocolos HTTP e HTTPS e permitem que os administradores permitir ou negar acesso do usuário a sites da Web. Isso também pode ser conseguido através de regra de acesso na diretiva de firewall, onde, você pode manualmente permitir o acesso HTTP e HTTPS com base na origem, destino e usuário. Observe que, em uma regra de acesso, a opção de inspeção de malware é visível apenas se os protocolos selecionados incluem os protocolos da Web.

Para habilitar a inspeção de malware no nível de regra, você pode marcar a caixa "inspecionar conteúdo baixado de servidores Web para clientes," que você irá localizar na caixa de diálogo Propriedades de regra padrão do Web Access. Esteja ciente de que essa inspeção se aplica apenas ao conteúdo HTTP que é baixado pela regra. Inspeção de malware precisa ser habilitado globalmente primeiro antes que ele pode ser aplicado no nível de regra.

Centro de atualização

Forefront TMG mantém as definições de vírus conhecidos, worms e outros malwares. Para manter essas definições importantes atualizados, Forefront TMG foi criado em um mecanismo centralizado denominado o Update Center permite que o administrador configure a freqüência de atualização bem como a ação de atualização automática. A Central de atualização pode ser acessada do console TMG Forefront.

O painel de atualizações de definições mostra o status da última atualização e o tempo quando a verificação última novas atualizações foi executada. O painel de tarefas no lado direito é onde você pode configurar parâmetros de atualização. a Figura 7 mostra as várias opções para atualizações de definições que podem ser acessadas clicando no definir as configurações de atualização no painel de tarefas.

fig07.gif

A Figura 7 definições atualizar janela

Por padrão, o Forefront TMG usa o agente de atualizações automáticas para receber atualizações do serviço do Microsoft Update para atualizar as definições de antimalware. O agente atualização usa seleção de servidor de atualização de padrão da máquina; portanto, se o computador usa atualizações do Windows Server Update Services (WSUS), o agente também obterá as atualizações do WSUS, caso contrário, ele será obtê-los diretamente do Microsoft Update. Essas transações são registradas no arquivo %systemroot%\windowsupdate.log (como as atualizações do Windows regular).

As configurações de freqüência no Forefront TMG Update Center não substituirão as configurações do Windows Update. Essas configurações são totalmente separadas; portanto, o Windows baixa atualizações de software enquanto o Forefront TMG só baixa assinaturas.

Você pode forçar TMG Forefront para procurar atualizações clicando em verificar se há atualizações no painel de tarefas. Se novas atualizações são detectadas e instaladas, um alerta informativo será exibido na guia Alerts, conforme mostrado na Figura 8 . Como você pode ver, a parte inferior da janela mostra detalhes sobre a atualização, bem como as versões dos arquivos que foram atualizados.

fig08.gif

A Figura 8 alerta de malware filtro de inspeção

Teste e monitoramento

Após configurar a inspeção e configurações de Update Center, a próxima etapa é testar a funcionalidade. Vamos supor que você tenha uma estação de trabalho do cliente que acessa a Internet por meio de TMG Forefront e deseja baixar um arquivo a partir um site da Web. A primeira etapa, antes de inicia o download do arquivo, é configurar o monitoramento em Forefront TMG filtrando o endereço IP da estação de trabalho do cliente que está tentando acessar o recurso externo, como mostrar na Figura 9 .

fig09.gif

A Figura 9 monitoramento de estação de trabalho cliente que está tentando baixar um arquivo

Neste exemplo, suponha que o cliente está enviando um HTTP GET para files.fabrikam.com/suspicious.exe. Forefront TMG avalia a solicitação e após detectar que o arquivo na solicitação é suspeito, ele grava um evento de falha na tentativa de conexão com o log (veja a Figura 10 ).

fig10.gif

A Figura 10 arquivo suspeito detectado

Observe que na coluna resultado da inspeção de malware, esse arquivo é categorizado como suspeito; a coluna de nome de ameaças indica o nome de malware, e o nível de ameaça é grave. O painel de detalhes do erro mostra obter mais informações sobre por que Falha na tentativa de conexão.

O usuário que estava tentando baixar este arquivo também apresentar esse erro, mas recebe uma mensagem mais descritiva e amigável, explicando que "acesso a arquivos suspeitos está bloqueado devido a configurações de diretiva de segurança" (como mostrado na Figura 11 ). Essa abordagem permite que o usuário compreender o que está acontecendo e por que o arquivo que ele está tentando acessar não estava disponível.

fig11.gif

A Figura 11 uma mensagem de erro mais amigável

Conclusão

Nosso objetivo principal nesta coluna era explicar como usar o recurso de inspeção de malware do Microsoft Forefront TMG pode melhorar a segurança de borda. Esse recurso oferece uma visão centralizada do qualquer tráfego suspeito que potencialmente cruza o firewall e permite que você execute ações com base nos resultados da inspeção. Embora essa seja uma abordagem importante em direção a um ambiente mais seguro, sempre há questões sobre como isso pode afetar a experiência do usuário enquanto navega pela Web.

O Microsoft Forefront TMG também resolve essas questões de tal forma que o processo de verificação pode ser mais transparente para o usuário final. Para obter mais informações, consulte o O Forefront TMG documentação no TechCenter do Microsoft Forefront borda segurança.

Yuri Diogenes (MCSE + S, MCTS, MCITP, segurança +, Network +, CCNP) funciona para a Microsoft como engenheiro de suporte de segurança da equipe do ISA Server/IAG. Ele também escreve artigos para Blog do ISA Server da equipee TechNet Magazine. Yuri é co-autor da página da Comunidade do Forefront chamado" Histórias da borda."

Mohit Saxena é o chefe técnico para a equipe de suporte do Microsoft ISA Server. Ele leva uma equipe de engenheiros de suporte e engenheiros de escalonamento para fornecer suporte para clientes na quebra de correção de problemas, erros e design alterar solicitações.

Jim Harrison juntarão a equipe de ISA Server sustentada engenharia um testador QFE em janeiro de 2003. Ele agora é um ávido patrocinador servidor ISA e implementador de sistemas e o co-autor da página da Comunidade do Forefront chamado" Histórias da borda."

Yuri, Mohit e Jim estão escrevendo o livro Microsoft Press próximo sobre o Microsoft Forefront ameaças gerenciamento gateway (TMG); o livro será disponível no 2009.