Содержание статьи
Все сложнее представить компанию, которая не использует интернет в своей работе. Разумеется, через интернет компьютеры компании подвергаются атакам как хакеров, так и вредоносного ПО. Все это приводит к усложнению средств безопасности и добавлению к ним новых компонентов.
Системы предотвращения вторжений позволяют выявить сигнатуру известной атаки или аномальную для системы активность, которая также может быть атакой. В статье будет рассмотрена система предотвращения вторжений, интегрированная в TMG 2010.
Возможности TMG 2010
На смену ISA 2006 пришел TMG (Threat Management Gateway) 2010 — программный продукт семейства Forefront, включающего в себя разнообразные решения для обеспечения безопасности. TMG в большей степени ориентирован на обеспечение безопасного доступа корпоративных пользователей к глобальной сети и их защиты от внешних угроз. TMG 2010 включает в себя межсетевой экран, VPN, систему предотвращения вторжений и позволяет осуществлять проверку на наличие вредоносных программ и фильтрацию URL-адресов.
Что же изменилось и что добавилось в новой инкарнации ISAсервера? TMG можно установить только на 64-битные ОС, при этом Windows Server 2003 не поддерживается. Также TMG нельзя установить на контроллер домена.
С точки зрения настройки TMG в качестве межсетевого экрана, принципиальных изменений, по сравнению с ISA 2006, нет – всё те же правила доступа и публикации, сетевые объекты, расписания и протоколы.
Появился отдельный раздел, посвященный настройке web-доступа. С точки зрения обнаружения вторжений в разделе Web Access Policy важна новая возможность проверять исходящий HTTPS-трафик.
При этом сохранилась возможность проверять входящий SSL-трафик, используя SSL bridging. HTTPS inspection позволяет минимизировать вероятность обхода системных политик путем туннелирования трафика через защищенное соединение, но сама возможность реализуется через атаку Man-in-the-middle. Для этого генерируется специальный сертификат (HTTPS inspection certificate), который должен быть добавлен в хранилище доверенных корневых сертификатов на всех клиентах. HTTPS inspection не работает с SSTP-соединениями и самоподписанными сертификатами – такие ресурсы необходимо добавлять в раздел исключений. Нужно учитывать, что при использовании HTTPS inspection сертификаты не проходят проверку Extended Validation (EV) SSL, как следствие — современные браузеры не будут окрашивать в зеленый цвет строку с адресом сайта.
Через новый раздел E-Mail Policy можно настраивать антиспам- и антивирусную проверку почты. Для удаленного доступа добавлена поддержка протокола SSTP.
Существовавшие раньше настройки по защите от распространенных сетевых атак, блокировке неиспользуемых IP-опций и фрагментов пакетов, а также ограничения на количество одновременных сессий и запросов на соединения переместились в раздел Behavioral Intrusion Detection. По сравнению с ISA 2006 добавилась возможность подключения поддержки IPv6 при работе TMG в качестве сервера Direct Access. И появилась возможность настраивать квоты для SIP (Session Initiation Protocol). Самое главное, что в разделе Intrusion Prevention System появилась полноценная сигнатурная сетевая система предотвращения вторжений — Network Inspection System (NIS).
Системы предотвращения вторжений
Системы обнаружения вторжений (Intrusion-Detection System или IDS) — это набор методов и инструментов (программных и аппаратных), позволяющих выявить и оповестить об активности, которая необычна для данной системы — нарушает политику, либо содержит ошибки или сигнатуры известных атак. Системы предотвращения вторжений (Intrusion Prevention Systems — IPS), в дополнение к возможностям IDS, выполняют действия, способные предотвратить атаку.
Традиционно IDPS делятся на системы, работающие на уровне сети, на уровне хоста и гибридные. Сетевые IDPS (Network Based IDPS — NIDPS) анализируют сетевой трафик с целью выявить в нем атаки и подозрительную активность. IDPS на уровне хоста (Host Based IDPS — HIDPS) отслеживают параметры конкретного узла (такие как журналы приложений и ОС), системные вызовы, изменения на уровне файловой системы.
В IDPS для обнаружения атак используются сигнатуры, выявление аномалий или политики. Anomaly Based IDPS и Policy Based IDPS позволяют выявить ранее не известные атаки, но обладают более высоким уровнем ложных срабатываний и большей сложностью настройки, чем сигнатурные. На практике около 80% атак нарушают правила использования протокола, поэтому для обнаружения атак на сеть хорошо использовать системы, основанные на анализе протокола.
Network Inspection System (NIS)
В основе NIS лежит анализатор протоколов — Generic Application Level Protocol Analyzer (GAPA), разработанный Microsoft Research (MSR). GAPA включает в себя язык для описания спецификации протоколов — GAPA Language (GAPAL), а также механизм для анализа потоков или захваченных сетевых данных. К отличиям NIS от других систем обнаружения вторжений (IDS) можно отнести стиль программирования. Если большинство IDPS написаны на императивных языках (например, С или С++), то в GAPA предпринята попытка реализовать логику разбора протоколов в декларативном стиле.
NIS является сигнатурной IPS, основная задача которой — сократить время между обнаружением уязвимости и применением патча с нескольких недель до нескольких часов. Например, при обнаружении уязвимости в ОС создание, отладка, тестирование и применение обновления ко всем компьютерам сети может потребовать значительного времени. В случае сигнатур время, необходимое на создание самой сигнатуры, меньше, а кроме того — не требуется время на развертывание обновлений на тестовых компьютерах, чтобы убедиться в сохранении полноценной работы системы.
Таким образом, при настроенной NIS в случае существующей неисправленной уязвимости можно значительно меньше волноваться о безопасности. Но надо учитывать, что на данный момент сигнатуры NIS могут детектировать эксплойты, направленные на уязвимости только в продуктах Microsoft. Кроме того, NIS защищает только от сетевых или web-атак, но не защищает от эксплойтов в файлах. Последнюю проблему можно решить с помощью другого компонента TMG — Malware Inspection.
NIS может работать со следующими протоколами: HTTP, DNS, SMB, MSRPC, SMTP, POP3, IMAP, MIME. При появлении новых атак или распространении новых протоколов может быть добавлена поддержка новых протоколов, предоставляемая через новый набор сигнатур. Чтобы просмотреть протоколы, поддерживаемые в системе, можно использовать соответствующую группировку. Если пользователь добавляет свои определения протоколов, использующие нестандартные порты, то для проверки пакетов с помощью NIS необходимо ассоциировать данный User Defined Protocol со стандартным протоколом, поддерживаемым NIS. NIS сканирует только тот трафик, который разрешен в Firewall policy.
Кроме использования сигнатур, можно включить обнаружение аномалий в протоколах и настроить действия при их обнаружении. Значение по умолчанию — «Allow, to avoid blocking legitimate traffic» — пропускает трафик, даже если в нем были аномалии, при этом никаких оповещений и записей в журналах не создается. Аномалией считается трафик, который отличается от стандартов или распространенных реализаций. Так как реализация протоколов может отличаться от RFC, то существует вероятность блокировки допустимого трафика при задании параметра «Block, to tighten security».
Конфигурирование NIS
Установка TMG 2010 не представляет особых сложностей. Можно запустить Preparation Tool, который загрузит и установит необходимые компоненты (например, .Net Framework 3.5.1), а потом запустит Installation Wizard. После установки, при прохождении первого шага Getting Started Wizard, есть вероятность возникновения ошибки «No network adapters could be identified». Ошибка может быть вызвана тем, что из-за настроек безопасности TMG не может получить доступ к необходимым службам. Решить проблему можно пройдя Security Configuration Wizard (SCW), в котором предварительно была добавлена поддержка роли TMG 2010.
Настроить и включить NIS можно через Getting Started Wizard, который запускается сразу после установки или вызывается как задача из Roles Configuration. На рис. 7 можно увидеть все задачи, которые применимы к NIS или отдельным сигнатурам. В свойствах NIS есть четыре вкладки. На первой можно включить или выключить NIS. При включении NIS необходимо учитывать дополнительную нагрузку — так, среднестатистический трафик может добавить 30% загрузки процессору. Чтобы минимизировать использование ресурсов, на второй вкладке можно исключить из сканирования часть трафика. В исключения можно добавить любые сетевые объекты, такие как сети, компьютеры, диапазоны адресов или наборы имен доменов. Входящий или исходящий трафик для заданных в исключениях сетях не будет сканироваться NIS. Исключения, заданные с помощью Domain Name Set, применяются только к http-трафику. Две последние вкладки окна NIS Properties посвящены настройкам для всех сигнатур и заданию реакции на аномалии.
Существуют специальные сигнатуры для тестирования работоспособности NIS, которые относятся к категории Other. Названия таких сигнатур начинаются со слова Test. Для срабатывания тестовой сигнатуры Test:Win/NIS.HTTP.Signature!0000-0000 необходимо с компьютера, выступающего в роли клиента SecureNAT или TMG, набрать в браузере http://www.contoso.com/testNIS.aspx?testValue=1!2@34$5%6^[{NIS-Test-URL}]1!2@34$5%6^. При правильной настройке NIS заблокирует соединение с кодом ошибки (12234). Другие тестовые сигнатуры относятся к протоколу SMB.
Подробное их описание можно найти на портале Malware Protection Center, перейдя по ссылке с вкладки Details для соответствующей сигнатуры. Более полное тестирование можно провести с использованием сетевых сканеров или сканеров уязвимостей. В этом случае необходимо разрешить соответствующий трафик, чтобы к нему было применено сканирование NIS. В противном случае будет проверена корректность настройки Firewall Policy.
Сигнатуры NIS
Существует три типа сигнатур: vulnerability based (обнаруживающие разнообразные варианты использования конкретной уязвимости), exploit based (нацеленные на конкретный эксплойт) и policy based (использующиеся в основном для аудита, когда нельзя создать сигнатуры первых двух типов).
При использовании сигнатур главная задача — поддерживать их в актуальном состоянии. С одной стороны, важно загружать обновления, с другой — необходимо, чтобы эти обновления вовремя появлялись, то есть появлялись как можно быстрее после объявления о новой уязвимости. Исследованием обнаруженных и поиском новых уязвимостей, а также разработкой новых сигнатур занимается Microsoft Malware Protection Center (MMPC). Помочь MMPC можно, приняв участие в Telemetry Service. В этом случае в свойствах Forefront TMG нужно выбрать способ участия. В варианте Basic Membership в Microsoft отправляется информация о потенциальных угрозах, их происхождении и предпринятых действиях. В варианте Advanced Membership дополнительно отсылаются примеры трафика и полные URL, что дает значительно больше информации для анализа.
Настроить загрузку новых сигнатур можно в окне NIS Properties на вкладке Definition Updates, выбрав один из трех вариантов обновления: проверять и устанавливать (рекомендованный вариант), только проверять появление новых сигнатур или ничего не предпринимать.
Можно задать частоту проверки появления новых сигнатур и указать количество дней, через которое генерируется предупреждение, что сигнатуры не обновлялись. Параметр Automatic polling frequency применяется только к NIS, для остальных компонентов TMG необходимо производить настройки через Update Center.
Новые сигнатуры будут использованы только при проверке новых соединений, что необходимо учитывать при наличии длительных соединений, таких как VPN. Также в окне NIS Properties можно задать Response policy для всех новых сигнатур. Рекомендуется выбирать вариант Microsoft default policy, в этом случае новые сигнатуры будут использовать политики, которые были заданы MMPC. Есть еще два варианта: только журналировать и не блокировать трафик с обнаруженной сигнатурой (Detect only response), или вообще отключить сигнатуру (No response или Disable signature). NIS позволяет использовать старые наборы сигнатур, если они доступны локально.
Для использования старого набора надо на вкладке Definition Updates выбрать Version Control. При использовании старого набора новые сигнатуры не используются в процессе сканирования трафика.
И каждый раз при появлении обновлений будет генерироваться предупреждение об использовании неактуального набора сигнатур. У сигнатуры не так много настроек. Ее можно включить или отключить, написать комментарий и задать реакцию на обнаруженную атаку, отличную от настроек по умолчанию. Настройки можно применять как к одной сигнатуре, так и набору сгруппированных сигнатур.
Сигнатуры можно группировать по следующим признакам: Attention Required, Response, Policy Type, Business Impact, Category, Date Published, Severity, Fidelity, Protocol или Status.
Настройка параметров сигнатур влияет на вложенные протоколы. Так, параметры, заданные для сигнатур HTTP, могут оказать влияние на трафик RPC over HTTP. Кроме того, можно пометить сигнатуру флагом — например, для обозначения сигнатур с настройками, отличными от настроек по умолчанию. В случае, если глобальная политика, задающая реакцию для новых сигнатур, отлична от значения Microsoft Default Policy, то новые сигнатуры автоматически помечаются флагами. Все настройки отдельных сигнатур и политик, которые были сделаны, сохраняются в случае выключения NIS и вступают в силу после повторного включения.
В зависимости от настроек сигнатур (Detect или Block) NIS может работать как IDS или как IPS. Для всех сигнатур рекомендуется оставлять настройки по умолчанию, так как в этом случае обеспечивается максимальный уровень безопасности. Менять настройки стоит в случае решения проблем с доступом или присутствия ложных срабатываний.
Ложные срабатывания
При наличии ложных срабатываний и блокировке разрешенного трафика следует перевести соответствующие сигнатуры в режим Detect only и сообщить о проблеме в Forefront TMG Customer Support. Кроме сигнатур, ложные срабатывания могут быть вызваны из-за включения блокировки аномалий.
MMPC отслеживает ложные срабатывания, используя Telemetry Service. В случае их обнаружения создается исправленная сигнатура, которая повторно тестируется и публикуется для замещения предыдущей версии.
Итоги
При включении NIS, регулярном обновлении сигнатур и использовании политик по умолчанию можно значительно снизить риск использования злоумышленником уязвимостей, которые присутствуют в сети. Цена — как обычно: производительность и вероятность блокировки разрешенного трафика.
Ссылки по теме
- Основное руководство по NIS — «Guide to Configuring, Monitoring, and Troubleshooting the Network Inspection System (NIS) in Forefront Threat Management Gateway (TMG) 2010»: download.microsoft.com;
- Шаги, которые следует предпринимать при поиске причин возникновения проблем в NIS: technet.microsoft.com/en-us/library/ff382649.aspx;
- Статья о предпосылках создания GAPA и GAPAL, а также их возможностях: research.microsoft.com/pubs/70223/tr-2005-133.pdf;
- Рассмотрение аспектов безопасности при виртуализации продуктов Forefront Edge: technet.microsoft.com/en-us/library/cc891502.aspx;
- Microsoft Malware Protection Center (MMPC): microsoft.com/security/portal;
- SDK и инструменты для диагностики и настройки TMG 2010: microsoft.com/downloads/en/details.aspx?displaylang=en&FamilyID=8809cfda-2ee1-4e67-b993-6f9a20e08607.
Об авторе
Анна Лучник, руководитель IT-Academy ВМК МГУ & Softline
- Microsoft Certified Professional (MCP)
- Microsoft Certified Systems Administrator: Security (MCSA: Security)
- Microsoft Certified Systems Engineer: Security (MCSE: Security)
- Microsoft Certified Technology Specialist: Windows Server 2008 Active Directory, Configuration; Windows Server 2008 Network Infrastructure, Configuration
- Microsoft Certified Trainer (MCT)
- Oracle Certified Associate (OSA)
- Oracle Certified Professional (OCP)