Alla brandväggar som står mot Internet är mer eller mindre alltid utsatta för attacker.
I det flesta fall handlar det om scriptade attacker mot alla publika IP som lyssnar på en viss port. I vissa fall kan man se mönster om det är mer riktat och man försöker med olika attacker mot en och samma IP eller URL.

En kommun hörde av sig i veckan då deras Forefront TMG var korrekt uppsatt med larmhantering och de hade fått ett flertal larm under kort tid.

En konfigurerad TMG larmar via mail i realtid vid en attack eller annat hot för verksamheten.

Vid närmare kontroll visade det sig att man gjort ett flertal försök med olika typer av attacker mot samma mål. Vi kunde också konstatera att alla attacker kom från samma IP adress och det var uppenbart att man riktat in sig mot en publicerad Exchange OWA.

Idag finns det inga krav på att man behöver ha någon större kunskap, det finns färdiga ”hackverktyg” att ladda hem eller köpa. Det har även gått så långt att du kan få support på dessa produkter med allt ifrån handhavande till nya attacker mot de senaste sårbarheterna.

Tack vare det signaturbaserade skyddet Network Inspection System (NIS) i TMG kunde TMG identifiera attacker mot ett flertal kända sårbarheter allt ifrån IIS till ”SQL injection” och även fast inte dessa sårbarheter fanns på bakomliggande system identifierar TMGn att försök har gjorts och börjar larma.

Vi kan enkelt se vilka attacker som man har försökt med och vilken åtgärd som signaturen var inställd på.

Trots att det ser ut som viss trafik tillåts eftersom signaturen bara detekterar en viss attack (åtgärden avgörs i detta fall av signaturen) så nyttjas fler säkerhetsfunktioner för att stoppa attacken: Det viktigaste skyddet i det här fallet är också att enbart autentiserad trafik kommer fram till Exchange.

Det har inte kommit några nya NIS definitioner på väldigt länge och delvis beror detta på att man bygger om den här funktionen, sedan har också antalet sårbarheter som varit möjliga att nyttja över nätverket minskat enormt sista tiden. Där emot betyder inte det att man kan skall sluta använda NIS funktionaliteten om man har fullt uppdaterade system, vilket det här var ett bra exempel på. Genom att identifiera en pågående attack kan man också ta åtgärder som att begränsa tillgång och stoppa specifika adresser och subnät.

I det här fallet gjordes en polisanmälan där man går vidare med utredning av den source adress attacken kom ifrån. I många fall rör det sig om en smittad maskin som attacken kommer ifrån och personen/verktyget bakom attacken kan sitta flera steg ifrån.

Syftet med den här artikeln var för att lyfta kunskapen om de attacker som kontinuerligt pågår mot våra publicerade tjänster. Se till att skydda allt ifrån din webbmail till andra distanslösningar så gått det går och rör det sig om publik verksamhet så som skolor och öppna nät behandla dessa nät på samma sätt som Internet. Inom kommuner så kan nyfikna skolelever vara det störta hotet och de flesta förstår inte heller konsekvenserna av att testa lite ”häftiga hackverktyg”.

Läs mer om NIS http://itsäkerhetsguiden.se/2009/10/07/tmg-networking-inspection-service-nis/

Eller se en kort demo på hur skyddet både i TMG och Endpoint Protection stoppar en attack http://www.microsoft.com/sverige/technet/technettv/#Network Inspection System (NIS) i Forefront TMG och Forefront End Protection