Forefront Threat Management Gateway

Pravděpodobně vám jméno tohoto Microsoft produktu není známé. Ale podle slova Forefront můžete správně hádat, že bude mít co do činění s bezpečností.

Autor: Martin Pavlis  - Microsoft MVP / IT Senior Consultant KPCS CZ, s.r.o.

Microsoft se snaží již delší dobu sjednocovat názvosloví tak, aby bylo na první pohled jasné, do jaké rodiny produkt zapadá – Office sjednocuje kancelářské aplikace, System Center nástroje z oblasti správy, no a rodina Forefront obsahuje bezpečnostní programy. Je tedy jasné, že nástupce ISA Server 2006 musel dostat kromě mnoha technických vymožeností také nové jméno a tím je právě Forefront Threat Management Gateway (dále FTMG).
 
A co nového přináší? Než se dostanu k popisu jednotlivých novinek, je potřeba zmínit, že FTMG se ještě neprodává – na trhu se má objevit jako jedna z komponent řešení firemní bezpečnosti s kódovým označením „Stirling“. To by se mělo začít prodávat na jaře roku 2010. V rámci této platformy budou postupně na trh uvedeny nové verze nejen ISA Serveru, ale také Forefront Client Security (dále FCS) a dalších antivir programů pro Exchange, SharePoint a Office Communication Server. Tím ale vznikl velký problém, protože zákazníci, kteří již dnes nasazují jako základní operační systém Windows Server 2008 na 64bitové architektuře, nemají po jakém serveru sáhnout. ISA Server 2006 totiž neumožňuje instalaci na WS2008 a už vůbec ne na x64 platformu. Což by byl velký problém hlavně v uceleném produktu, jakým je např. Essential Business Server 2008. Ten funguje kompletně na WS2008 64bit. Proto vznikla speciální přechodová meziverze, která je dostupná jen a pouze v EBS 2008 (nelze samostatně zakoupit) a která má speciální jméno: „Medium Business Edition“. Tato edice neobsahuje vše o čem si budeme povídat v tomto článku, ale jen některé vybrané vlastnosti.

Klepněte pro větší obrázek 
Obr. 1


Ale nyní již k samotným novinkám…

Ochrana uživatelů proti hrozbám při web surfování (Web Client Protection) a ochrana uživatelů proti emailovým hrozbám (Email Protection)

První oblastí, která je absolutní novinkou, je podpora antiviru, který je nyní ve formě předplatného nedílnou součástí FTMG. Osobně jsem tomu velmi rád, protože do této chvíle sice existovaly různé programy a partnerská rozšíření pro ISA Server, nicméně tyto se mnohdy potýkaly s mnoha, hlavně výkonnostními, problémy. Nezůstalo jen u antiviru a tým, který vyvíjí FTMG se rozhodl pojmout celou problematiku komplexněji. Nyní můžete FTMG přihlásit k odběru aktualizací u několika služeb a navýšit tak vaši bezpečnost v mnoha ohledech. Tyto aktualizace se dají rozdělit na dvě oblasti – jednou jsou placené aktualizace (předplatné za uživatele, rok, atd.) a jiné jsou již v ceně FTMG.
 

Ochrana webu (placená služba)

  • Web AV – tato komponenta skenuje veškerý provoz a komunikaci, která skrze FTMG prochází a snaží se zamezit situaci, v níž si uživatel z internetu stáhne na svoje PC jakýkoli škodlivý kód. Tato kontrola je postavena na antivirovém stroji společnosti Microsoft a mohli jste se s ním již dříve setkat u antivirů pro Exchange, SharePoint a OCS. Tento antivir byl nicméně v rámci FTMG doplněn o několik dalších příjemných funkcí – je např. možné nastavit, jak má FTMG reagovat v situaci, kdy k souboru nedokáže přistoupit (zašifrovaný, nebo zaheslovaný soubor), nebo jeho velikost přesáhne zadanou velikost. Dále je také nutné čelit situaci, kde než FTMG proskenuje stahovaný soubor, je nejprve nutné jej z internetu stáhnout celý. A proto FTMG nabízí možnost uživateli zobrazit, přímo v okně prohlížeče, aktuální stav stahování. V případě, že je soubor nezávadný, nabídne jej posléze uživateli ke stažení. V případě, že nikoli – je přístup k němu zablokován a uživatel je informován a důvodech, které k takové situaci vedly a případně vypisuje jméno viru, kterým byl soubor nakažen. V situaci, kdy klient nepoužívá internetový prohlížeč, ale jinou aplikaci, by mohlo docházet k problémům, že takovéto aplikaci vyprší časový prostor, kdy je ještě ochotna na stahovaný soubor čekat. Tuto situaci řeší FTMG tzv. „odkapáváním“, kdy s klienstkou aplikaci neustále udržuje kontakt a „odkapává“ jí trochu dat tak, aby se spojení udrželo naživu. Po kontrole souboru je již situace stejná jako v předchozím případě a data jsou buď zahozena, nebo nabídnuta klientovi.
  • URL Filtering – každé URL/adresa, kterou vaši uživatelé navštíví, může být online zkontrolována a zařazena do konkrétní kategorie. V tomto případě se opět jedná o předplacenou službu, kdy FTMG komunikuje přímo se servery Microsoftu, ale ve skutečnosti je databáze URL sbírána od několika externích partnerů. Díky tomu se správcům otevírají zcela nové možnosti vytváření pravidel. Např. ve škole si dovedu představit pravidlo, které sice všem žákům povolí přístup do externí sítě pomocí HTTP protokolu, ale jen v případě, že URL nespadá do nechtěné kategorie (sex, násilí, atd.). Samozřejmě je možné vytvářet výjimky a je možné reagovat i na situace, kdy se nepodaří URL adresu zařadit do žádné kategorie.
Ochrana emailové komunikace (placená služba)
  • Anti-malware – pokud budete vyžadovat zachycení případného škodlivého kódu také v rámci emailové komunikace, lze to v rámci FTMG nyní vyřešit technologiemi, které Microsoft má a používá úspěšně již několik let, kdy jsou tyto technologie pouze nově začleněny do FTMG. A to tak, že celá správa a konfigurace všech těchto, původně samostatných produktů, se odehrává jen v rámci FTMG. S jinými konzolemi nepřijde administrátor téměř do styku. Pokud tedy vyžadujete kontrolu poštovních SMTP přenosů, je přímo na FTMG server instalován Exchange Server 2007 v Edge roli. Do této role je následně nainstalován také „Forefront Security for Exchange“, který umožňuje až 9-ti antivirovými stroji (najednou je možné - z důvodu výkonu - jich použít maximálně 5) skenovat veškerou SMTP komunikaci a následně ji předávat na interní mail servery vaší společnosti (tedy nejen Microsoft Exchange, ale opravdu jakýkoli mail server).
  • Anti-spam – díky již zmíněné instalaci Edge role Exchange Server 2007 využívá FTMG plně možností několika anti-spam agentů, kteří na několika úrovních zamezují přijímání nechtěné pošty. Jen jeden příklad z mnoha – Microsoft provozuje servery www.hotmail.com, kde má dnes přes 4mil poštovních schránek. Pokud tedy probíhá jakékoli spam kampaň, je velmi pravděpodobné, že se to v rámci Hotmail projeví. Microsoft na základě analýzy těchto kampaní zveřejní vzorek, který si náš FTMG stáhne a okamžitě odmítá emaily, které splňují kriteria nevyžádané pošty.
Ochrana proti narušení (služba je v ceně produktu) – FTMG si je nyní mj. schopen stahovat také informace o nejnovějších útocích a průnicích. V případě, že se zjistí např. chyba v poštovním serveru, FTMG bude automaticky případnou komunikaci vedoucí k prolomení bezpečnosti blokovat. Toto velmi významně navýší zabezpečení vašeho prostředí, protože díky tomu nebude docházet k situacím, v nichž útočníci mohou v klidu využívat již známé a zveřejněné útoky, proti kterým sice již existuje oprava/řešení, ale vaše interní IT k jeho nasazení z nějakého důvodu ještě nepřistoupilo (problémy s kompatibilitou, atd.).
 
Klepněte pro větší obrázek 
Obr. 2 

Ochrana stanic a serverů proti pokusům o průnik (Network Intrusion Protection System)

To, že si FTMG může stahovat NIPS vzorky a znát tak komunikaci vedoucí k prolomení konkrétního produktu vede k celé řadě nových scénářů. Představte si např. situaci, kdy se na vaší interní síti objeví PC, které je nakaženo červem, který se snaží šířit dále po vaší síti a do internetu. Dnes bychom na tuto situaci reagovali jen velmi těžko a pravděpodobně také s velkým zpožděním. FTMG tuto komunikaci nejen odhalí, ale dokáže dále aktivně postupovat proti takovému nakaženému PC. Po začlenění FTMG do připravovaného konceptu „Stirling“, tak může FTMG po detekci podezřelé síťové aktivity notifikovat další servery, např. FCS, které provedou proskenování klienta a v případě, že se podezření potvrdí, mohou využít dalších technologií, pomocí kterých PC a uživatele totálně odstavíme od našeho prostředí – např. je možné využít technologii síťové karantény ve WS2008 (NAP) a klienta fyzicky odpojit přímo na portu switche, kam je připojen. Dále je možné uživateli okamžitě změnit heslo, nebo účet zablokovat. Pokud máte a používáte i další Forefront produkty, je možné takto pokračovat a zakázat posílání emailů, nebo zpráv z OCS. A to vše během několika minut!
 
Klepněte pro větší obrázek
Obr. 3

HTTPS inspekce

ISA Server se vždy pyšnil schopností zastavit příchozí komunikaci, prohlédnout ji a teprve v případě, že je v pořádku, ji předat dál. Díky tomu jsme pomocí ISA Serveru mohli do internetu bezpečně publikovat interní služby, jakými jsou Exchange, SharePoint a další. Tato technologie ale bohužel platila jen pro publikaci serverů, nefungovala opačně – tedy při přístupu uživatelů z interní sítě do internetu. Bohužel to znamenalo reálné riziko, že jakmile uživatel ustanoví HTTPS spojení se serverem v internetu, my jako správci jsme neměli žádnou možnost tuto komunikaci prohlížet a uživatel nám mohl do sítě „propašovat“ naprosto cokoli. Firmy obávající se takovéto situace potom raději HTTPS globálně zakazovaly a umožňovaly HTTPS komunikaci jen na předem schválené servery. Tomu je nyní konec, protože FTMG je schopen takto terminovat a znovu uskutečnit v zastoupení klienta spojení do internetu, díky čemuž chvilku pracuje s nešifrovanými daty a tam je možné provést veškerou kontrolu, kterou je nutné udělat. Je více než jasné, že o takovéto situaci by měl být uživatel informován – toto se nově děje pomocí FTMG FW klienta.
 
Klepněte pro větší obrázek 
 Obr. 4

Další novinky – přehled

Protože není možné vměstnat do jednoho článku detailně všechny novinky, které se v rámci FTMG vyskytují, ty další – nejpodstatnější, vám představím jen zkráceně.
 
 Firewall
  •  Nově plná podpora VoIP traversal a SIP protokolu
  • Rozšířený NAT – nyní s možnostmi nastavení na kterou IP se má NATovat
  • Redundance spojení k ISP – v případě výpadku je možné automaticky přesměrovat komunikaci záložním spojením. Je možné např. také jeden protol routovat jedním a druhý jiným spojením.
Bezpečný přístup na web
  • Antivir/spyware ochrana díky Microsoft antivir stroji
  • Filtrace na bázi kategorizace URL
  • Kontrola odchozího HTTPS spojení
Ochrana emailové komunikace
  • Plná integrace s Exchange Server 2007, Edge role
  • Využití prémiové licenci antispamu v Exchange Server 2007, Edge roli
  • Antivir postaven na Forefront Security for Exchange
Ochrana proti průniku
  • Network Inspection System (NIS)
  • Security Assessment and Responce (SAS)
Vzdálený přístup
  • Integrace VPN s technologií síťové karantény (NAP) z Windows Server 2008 - opuštění předchozí technologie VPN karantény
  • Podpora nových protokolů, např. SSTP (VPN skrze HTTPS protokol)
Nasazení a správa
  • Noví konfigurační průvodci
  • Monitoring změn v konfigurace FTMG
  • Rozšířený reporting (např. antivirové statistiky)
  • Plná podpora běhu na Windows Server 2008 a x64bit architektuře
Možnosti odběru
  • Aktualizace jednotlivých částí FTMG, viz. předchozí text.
Klepněte pro větší obrázek 
Obr. 5

Závěr

Je vidět, že se Microsoft rozhodl novou verzi populárního produktu posunout opravdu o notný kus dopředu. Nejedná se jen o technické novinky, ale i o novinky v oblasti centrální správy a dohledu, kde při případném začlenění do chystaného řešení „Stirling“ a spoluprací s dalšími produkty rodiny Forefront nabízí kompletní řešení bezpečnosti ve vaší společnosti. Nezbývá, než se těšit a doufat, že se FTMG objeví na trhu co nejdříve.
PS: FTMG bude plně podporován při běhu ve virtuálním prostředí
PS: Pokud byste narazili na termín Forefront Unified Access Gateway, tak se bude jednat o nástupce Intelligent Application Gateway 2007.
 
Odkazy:
TechNet Blog ISA/FTMG týmu: http://blogs.technet.com/isablog/
Virtuální testovací prostředí pro „osahání“ hlavních novinek „Stirling“ (obsahuje FTMG): http://www.microsoft.com/downloads/details.aspx?familyid=d4c3410f-11f0-42b8-9da7-b826d243536b&displaylang=en
 

 

Články ze série Microsoft TechNet nevytváří redakce Živě.cz, ale partneři programu Microsoft TechNet. Jsou publikovány v rámci mediálního partnerství Živě.cz a společnosti Microsoft.

Témata článku: Software, Microsoft, Bezpečnost, Exchange, Stirling, Antivir, Essential, Assessment

Nejnovější komentáře

Přidat příspěvek
Určitě si přečtěte

Monitory do 10 tisíc: poradíme, jaké jsou teď nejlepší

Monitory do 10 tisíc: poradíme, jaké jsou teď nejlepší

** Dobrý monitor s kvalitním panelem lze pořídit pod tři tisíce korun ** Pod deset tisíc si můžete koupit pracovní 27" monitor nebo nejlevnější použitelné 4K ** Vybrali jsme také ideální model pro vícemonitorovou konfiguraci

27.  11.  2016 | Stanislav Janů | 13

Sbíječky vyměnili za klávesnice. Nový projekt má za cíl přeučit horníky na programátory

Sbíječky vyměnili za klávesnice. Nový projekt má za cíl přeučit horníky na programátory

** Programátorů je málo a horníků bez práce po uzavření dolu Paskov bude moc ** Problém řeší unikátní projekt ** Pilotní kurz dává naději, že by z horníků mohli být použitelní kodéři

28.  11.  2016 | David Polesný | 76