TMG Networking Inspection Service (NIS)

Publicerat den 7 oktober, 2009 av Anders

Internet Security & Acceleration (ISA) Server är utrustad med ett hyffsat Intrution Detection System som bland annat känner av en portscanning och motverkar en Denial of Service (DoS) attack. Forefront Threat Management Gateway har tagit det här ett steg längre och kan nu räknas som ett fullvärdigt Intrusion Prevention System, förutom detektion på beteende mönster (Behavioral Intrusion Detection) finns även ett signaturbaserat Network Inspection System (NIS).

Tekniken bygger på ett ramverk kallat Generic Application-Level Protocol Analyzer (GAPA) Framework, baserat på en protokollspecifikt språk och analysmotor utvecklat av Microsoft Research.
Det här är en avancerat teknik som klarar att samla in och analysera innehållet i pågående nätverksströmmar, allt ifrån rena HTTP protokoll till mer avancerade och fragmenterade protokoll så som RPC. (Mer teknisk information om GAPA Language finns här: http://research.microsoft.com/pubs/70223/tr-2005-133.pdf )

Du aktiverar och konfigurerar Network Inspection System (NIS) under Intrusion Prevention System i menyn till vänster. Här ser du alla signaturer där flertalet är kända sårbarheter i Microsoft plattformen med fördefinierad action per signatur. Det här betyder att TMG kan detektera och blockera kod som är på väg att utnyttja en sårbarhet i något system du har på insidan. Naturligtvis är det lika viktigt att installera säkerhetsuppdateringar, men det tar fortfarande ett tag från det att en sårbarhet detekteras till att det finns en färdigtestad säkerhetsuppdatering att ladda hem. Signaturen består av en detektering av sårbarheten vilket gör att Microsoft kommer kunna ge ut denna innan själva säkerhetsuppdateringen är färdig. På det sättet minskar glappet mellan detekterad säkerhetsbrist och tagen skyddsåtgärd.

image

Det finns ett antal olika inställningar, du kan bland annat ställa in undantag, uppdateringsintervall, föreslagen åtgärd samt känslighet. Känsligheten bygger på om den skall prioritera att blockera protokoll som inte följer standard för att öka säkerheten eller om den skall bortse från onormala protokoll för att motverka att legitim trafik blockeras.

Det här funktionen kommer garanterat göra nytta och jag hoppas att alla tar chansen och utnyttjar denna funktion.
Är man osäker, ställer man bara in den på att enbart detektera intrången som i sin tur redovisas som en alert i TMGn. Precis som i ISA Servern kan du ställa in att den skall skicka iväg ett larm via mail vid en viss typ av alert.

image

Publicerat i Forefront TMG | Lämna en kommentar

TMG: HTTP/HTTPS Malware Inspection

Publicerat den 28 september, 2009 av Anders

En av de stora nyheterna i TMG är möjligheten att inspektera surftrafiken för att förhindra att virus kommer in i miljön redan på brandväggsnivå.

TMG har en inbyggd antivirusmotor för inspektion av webbtrafik, definitioner laddas hem från Microsoft Update, men kan även skötas internt från lokal uppdateringstjänst (ex WSUS). Network Inspection System är en del av Intrusion Prevention system vilket också är definitionsbaserat och laddas hem på samma sätt.
image
Genom Update Center i TMG sköter du uppdateringsintervallet för dessa två

Malware Inspection tjänsten aktiveras enkelt under Web Access Policyn och är sedan applicerbar på regelbasis.

image

Jag har även aktiverat HTTPS inspection för att hårdtesta den här funktionaliteten. Min klient på insidan är en vanlig SecureNat klient och har alltså inte proxy konfigurerad eller har någon Firewall Client installerad.
Genom klienten försöker jag ladda ner ett virus, och för att hårdtesta sker detta på ett antal olika sätt:
– Viruset i originalskick
– Omdöpt till ny filändelse
– Packeterad ZIP-fil
– Test genom krypterad SSL tunnel
image

Första testet att ladda hem viruset gav förväntat resultat och klienten fick ett snyggt och prydligt felmeddelande som talar om vilket virus som påträffats och blockerats.
Genom att klicka sig vidare genom de andra omdöpta och paketerade filerna märktes det tydligt att TMG hade full koll på läget.
Jag var där emot orolig hur det skulle bli att ta hem en paketerad och omdöpt fil över HTTPS från klienten men jag vart riktigt imponerad.

Klienten får upp samma detaljerade meddelande:

image

TMG redovisar vilken kategori av sajt som besöktes, vilket typ händelse och vilken åtgärd som gjordes. Typ av malware samt kritisk nivå för säkerheten.

image

Tänk nu tanken om den här information även når antivirussystemet för klienterna som kan ta action på det som TMG missar. Det här är precis vad Stirlingprojektet handlar om och Forefront Protection Suite kommer lanseras inom en snar framtid.

Microsoft har ambitionen att lansera TMG i samband med Teched i November, det är bara att hålla tummarna!

Publicerat i Forefront TMG | Lämna en kommentar

Sårbarhet i ISA 2006 FBA med delegerad autentisering

Publicerat den 15 juli, 2009 av Anders
Igår släpptes säkerhetsbulletinen MS09-31 för ISA 2006. Det är en sårbarhet som kan orsaka oautentiserad inloggning mot en publicerad web över Formulär och delegerad autentisering via RADIUS. Sårbarheten bygger även på att autentiseringen har HTTP-autentiserad fallback, vilket är default men går att stänga av.
 
 
Det gäller alltså inte om din ISA är domänmedlem och sköter reverse proxy autentiseringen via ditt Active Directory.
Som tur är drabbar det ingen av mina implementationer då jag rekommenderat domänmedlemskap av ISA Servern. En självklarhet för full funktionalitet, enkel administration och säkerhetsmässigt har ingen lyckas övertyga mig fördelen med delegering. En korrekt uppsatt ISA är säker!
 
Publicerat i ISA Server | Lämna en kommentar

Microsoft Security Essentials

Publicerat den 24 juni, 2009 av Anders

Läste igår på min kollegas blogg (itblogg.aafloen.se) att Microsoft hade släppt en beta av nya antiviruset med arbetsnamn “Morro” .

Det här är en ersättare för Microsoft Live OneCare som var ett antivirus (enbart nåbart för vissa länder), det är alltså ett antivirus för privatpersoner och kan inte manageras centralt. Alltså inte en ersättare till Forefront Client som för övrigt kommer med en version 2 inom kort, vilket kommer vara mer integrerat i Stirling.

En sak som MSE har och som vi saknar i FCS är det här:
rightclick

Högerklick och scanning direkt i en mapp…
Å andra sidan finns det en anledning att inte Forfront Client har det än som har med säkerhetsklassning att göra. Det medför stora risker att implementera den här typen av tjänst vilket jag inte kommer gå in på nu. Jo, jag vet att andra antivirus har det, vilket kanske säger mer om dessa än om Forfront Client 😉

I övrigt är MSE väldigt simpelt och användarvänligt men saknar “Software Explorer” och andra fina finesser som finns i Forefront Client.

Publicerat i Forefront Protection | Lämna en kommentar

URL Filtrering

Publicerat den 15 juni, 2009 av Anders

Efter att ha testat av URL filtreringen i TMG Beta 3 har jag kommit fram till några slutsatser.

TMG klarar av att kategorisera URLer både för SecureNAT och proxy klienter!

clip_image001

För en NATad klient sker namnuppslagningen lokalt mellan klient och DNS, klienten efterfrågar sedan efter information baserat på IP till TMG Servern, därav skulle det kunna blir problem att filtrera på URL. TMG löser detta genom att göra en namnuppslagning på klientens IP förfrågan (Reverse lookup).

Min labb miljö:
DNS 192.168.168.10     –     TMG 192.168.168.1    –     INTERNET

En network monitor logg  från TMG ser ut enligt nedan:

1    192.168.168.1     192.168.168.10    DNS    (Standard query), Query  for 14.113.248.87.in-addr.arpa of type PTR on class Internet
2    192.168.168.10    ns2.yahoo.com   DNS    QUERY Query  for 14.113.248.87.in-addr.arpa of type PTR on class Internet
3    ns2.yahoo.com   192.168.168.10    DNS    QUERY Response – Success, Array
4    192.168.168.10    192.168.168.1      DNS    QUERY, Response – Success

Allt lirar perfekt och jag förväntar mig då också att TMG Serverns loggar och rapporter fylls upp med korrekt URL på varje förfrågan även för NATade klienter, vilket har varit en brist i ISAns rapportering. Dock blev det en besvikelse, enbart proxyklienter fyller rapporter och loggar med snygga listor på besökta webbplatser. NATade klienter visar enbart på IP precis som vanligt, vilket är konstigt då TMG har informationen. Jag har ställt frågan till utvecklingsteamet och hoppas innerligt att det här blir löst till skarp release.

I övrigt är det en fröjd att jobba i nya TMG och jag ser fram emot att få tid över att hårdtesta Intrution Prevention System (IPS)

Publicerat i Forefront TMG | Lämna en kommentar

Äntligen URL Filtrering!

Publicerat den 12 maj, 2009 av Anders

En efterlängtad funktion som jag velat blogga om länge har äntligen blivigt offentlig.
URL Filtrering kommer vara en inbyggd funktion i Forefront Threat Managemt Gateway (TMG) och vi kan säga farväl till ännu några tredjepartsleverantörer.
TMG kommer ha full koll på om sidan du surfar till hör till News, Pornography, Violence o.s.v.

Genom den här funktionen kommer du att få enorma möjligheter att styra surftrafiken. Exempel att enbart tillåta nyhetssidor under lunchtid, förhindra ”Nudity” för en grupp av unga användare och stoppa pornografi för alla. Möjligheterna är många, en annan vanlig konfiguration kommer vara att man aktiverar ”HTTPS inspection” för alla kategorier utom Bank och vårdsidor.
Oavsett vilka regler du sätter upp kommer du få bättre rapporter över proxytrafiken där du ser belastningen över dessa kategorier.

URLFiltering

I slutet på förra året träffade jag en av TMG-utvecklarna och fick se den här funktionen, jag var då tvungen att testa hur ”Sverige-vänlig” funktionen var, genom att testa en liten värmländsk tidning (vf.se) och den markerades som ”Newspaper”. Jag vågar dock inte lova att den lösningen jag fick se under NDA är samma som kommer i den skarpa versionen. Det sägs dock bli tredje gången gillt, att URL filtreringen finns med i Beta 3 av TMG 🙂

Funktionsmässigt slår TMG mot en onlinetjänst hos Microsoft och cachar lokalt. Du kan inte titta i listan, men göra uppslag mot den för att se vad den kategoriserar en viss URL som. Med hjälp av såkallade ”Overrides” kan du ta bort och lägga till URL från en viss kategori.

Jag tror inte att jag är ensam om att vänta på den här produkten!

Publicerat i Forefront TMG | Lämna en kommentar

Ny version av ISABPA (Best Practice Analyzer)

Publicerat den 6 maj, 2009 av Anders

En ny version av verktyget ISABPA har nu släppts, det fungerar från ISA 2004 till TMG Business Edition.
Produkten skapades från början för att underlätta för Microsofts Support avdelning som skall kunna ge support över hela världen och behövde på ett snabbt sätt få information om en ISA installation. Det har nu byggts på och innehåller kontroller av din uppsättning som jämnförs med Microsoft Best Practice. Tack vare vanliga fel som kommer in till supporten och felrapporter som skickas in av användare runt om världen växer information och förhindrar mer och mer felkonfigurationer.
Ta chansen och få gratis översyn av din ISA!
Snabblänk http://isabpa.com

image

Publicerat i Forefront TMG, ISA Server | Lämna en kommentar

Stirling/TMG Beta 2

Publicerat den 20 april, 2009 av Anders

Jag kan varmt rekommendera den färdiga labb och demo-miljön på Forefront Stirling Beta 2 från Microsoft. Färdiga VHD (Virtual Hard Disks) som du enkelt tar in i din HyperV miljö. Kravet är dock att du har en 64bitars host då alla server-roller är 64 bitars. Jag sitter enbart med 4Gb i ram, kunde ha 3-4 maskiner som högst igång efter att ha minskat minne för en del maskiner. Det gäller dock att ha tålamod och inte vara allt för stressad, soffläge med datorn i knät framför tv var perfekt 🙂

stirlingoversikt
http://technet.microsoft.com/en-us/evalcenter/cc339029.aspx

Naturligtvis prioriterade jag att testa Forefront Threat Managemt Gateway (TMG) till en början.

HTTPS inspektion

En funktion som fått många säkerhetsmedvetna att rynka på näsan men efter en stunds fundering kommit på andra tankar. En krypterad SSL tunnel är ju trots allt det bästa sättet för en hacker att jobba ostört utan att brandväggsadministratören har en aning om vad som sker.

httpsinspektionsmall

När klienten frågar efter https sida upprättas en SSL session mellan webbservern och TMG, trafiken dekrypteras och inspekteras för att sedan krypteras på nytt och skickas i en ny SSL tunnel till klienten. SSL sessionen mellan TMG och klienten bygger på en intern certifikatlösning.
Antingen kör du med din egen CA lösning eller så använder du TMG selfsigned certifikat. Du genererar enkelt ett nytt certifikat från "HTTPS Outbound Inspection" wizarden. Det krävs dock att du installlerar root certifikatet i den lokala storen "Trusted Root Certification Authorities" på TMG Servern (vilket du klart och tydligt informeras om).
För att klienterna i sin tur skall lita på ISAns certifikat måste root certifikatet även installeras på klienterna, enklast görs detta via Active Directrory. Wizarden ger dig möjlighet att automatiskt skapa en Grupp Policy som löser detta och du kan även göra det manuellt om AD saknas.
Under beta perioden måste du själv mata in de siter som inte skall inspekteras. Den färdiga produkten hoppas jag innehåller URL kategorisering där du enbart väljer att exempelvis undanta banksidor.
Microsofts egna URLer är de enda som är exkluderade som standard 🙂

httpsinspectioncert httpsinspectionexclude
OBSERVERA! Se till att "Client Notification" är påslaget. Risken att bli stämd för att ha inspekterad krypterad trafik utan att ha informerad användarna är överhängande!

 

IPS

TMGIPS
Enormt underbart, det är precis det här jag hoppats på. En Intrution Prevention System funktion med fördefinierade definitioner på vanliga typer av attacker. Här syns vilka bulletiner som definitionen hör till.
Som standard är definitionerna enbart inställda på att larma, larmen syns i TMG konsollen men skickar även uppgifterna till Forefront (stirling) konsolen. Några enkla klick så blockeras även attacken utan user-attention.

 stirlingkonsolTMGIPStextsmall 
Exempelvis den här signaturen som då känner av en remote code exekvering i ett ActiveX objekt.

E-mail protection

En efterlänktad funktion där vi lägger mailscanning och SPAM filtret direkt på ISA servern med samma funktionalitet som vi haft i Forefront for Exchange. Även här väljer du ut vilka externa antivirusmotor du vill använda för att ta så mycket malware som möjligt. En funktionsrik SPAM funktion med allt man önskar sig.

TMGMail

Publicerat i Forefront | Lämna en kommentar

Säkerhetsuppdateringar till både ISA och TMG

Publicerat den 15 april, 2009 av Anders

Säkerhetsuppdateringar till ISA Server

Det var väldigt längesedan en sårbarhet hittades i ISA men igår släpptes två säkerhetsuppdateringar till ISA 2004/2006 och TMG som rör Proxy och Reverse proxy (Web publiceringar).
För att vara exakt har det aldrig tidigare påträffats något sårbarhet i ISA 2004 eller 2006 tidigare, enbart ett fåtal till ISA 2000.
Dessa uppdateringar förhindrar en viss typ av DoS attack mot själva ISA Servern samt en fix som rör säkerheten för klienter som surfar via ISAn.

Jag har precis installerat denna i en testmiljö utan några problem. Dock ersätter uppdateringen ”Firewall drivern” vilket kräver en omstart av servern.
Mer information kan ni läsa nedan.

Säkerhetsproblem där så kallad cross-site scripting används och ISA Server tillåter omdirigering till skadliga webbplatser
http://support.microsoft.com/kb/968077

Sårbarhet där en viss typ av Denial Of Service (DoS) attack kan ske mot ISA/TMG när proxy och reverse proxy/web publiceringar används.

Information om sårbarheten
http://support.microsoft.com/default.aspx/kb/961759

Ladda hem säkerhetsuppdatering för både ISA 2004, 2006 och TMG här:
http://www.microsoft.com/technet/security/bulletin/ms09-016.mspx

Sårbarhet/Bugg i ISA 2004 när man använder proxy och reverse proxy/web publiceringar.

Om man använder WPAD är man väldigt särskilt utsatt. 
http://support.microsoft.com/kb/960995

ISA prisad som en av de absolut säkraste brandväggarna

Enormt positivt att Microsoft är ärliga över säkerhetsbrister och enormt snabba med att nå ut med säkerhetsuppdateringar.
Jag bloggade nyligen om att ISA nått en av de absolut högsta säkerhetsklassificeringarna av Common Criteria (CC) framework.
Nu kan man även läsa följande: “ISA 2006 won the Global Product Excellence Award for customer trust in the firewall category” http://www.infosecurityproductsguide.com/products/

Publicerat i ISA Server | Lämna en kommentar

Certifikatproblem och ISAns SSL hantering

Publicerat den 7 april, 2009 av Anders

Under förra veckan kom jag i kontakt med ett mystiskt certifikatfel där enbart vissa enheter klagar på gammalt certifikat. Jag uppmärksammade också en intressant sak när jag åtgärdade det här felet, nämligen hur ISA servern hanterar sina SSL sessioner. Det här ledde till ett långt blogg-inlägg som dock kan vara intressant för andra som hamnar i trubbel med Certifikat och ISAns Certifikathantering.

ISA Miljö
En ISA 2006 med alla uppdateringar på Windows 2003 std server (R2, SP2) med ett köpt Verisign Certifikat. Certifikatet är tidigare installerat på en annan 2003 server och sedan exporterat till ISAn. Certifikatet ser helt ok ut både i Certificates MMC och i ISA gränssnittet. Inte heller ISA BPA påvisade något fel.

Symptom
Problem med Exchange publiceringarna OWA och EAS för vissa datorer och telefoner. Datorer som befinner sig i samma domän som ISA servern samt SonyEricsson telefoner larmar om att certifikatet har utgått. Övriga datorer och telefoner fungerar felfritt och Certifikatet ser korrekt ut.
Vid felsökning testades certifikatet med Verisigns testverktyg vilket påvisade att Intermediate Certifikatet gick ut 2004.

fertfel

certfunka

 

Lösning
Som ni kan se i exemplet från en memberdator klagar den på Intermediate certifikatet som ingår i pathen för certifikatet. Intermediate är alltså issuing certifikat, utgivare som måste vara giltigt för att datorerna skall lita på certifikatet.
Enligt Verisign kan detta fel uppstå när man exporterar certifikatet från en server till en annan. Ofta för att man inte får med alla certifikat som skall ingå. Det visade sig dock finnas både ett gammalt och ett nytt Intermediate certifikat på servern men beroende på klient användes olika.

Jag raderade därför det gamla certifikatet och importerade det senaste Intermediate certifikatet på ISA Servern.

SSL hantering
Certifikatåtgärderna gjordes under drift eftersom företaget inte ville ha något avbrott.
Efter dessa åtgärder visade testverktyg exakt samma fel även fast certifikatet inte längre fanns på servern. Jag testade även att skapa en helt ny lyssnare parallellt som jag knöt till certifikatet, samma symptom fortfarande.
Det här var nytt för mig, så länge du har en aktiv SSL förbindelse (alltså en lyssnare med certifikat) är det den sessionen som används när klienten ansluter. ISAn förhandlar alltså inte på nytt med installerat certifikat för varje ny anslutning, därav visades det gamla certifikatet fortfarande.

certifikat

För att få den att använda det nya certifikatet måste du bryta befintlig tunnel, antingen:
– Genom att starta om servern
– Ta bort lyssnaren (se till att det inte finns någon session med hjälp av netstat) och skapa en ny.

En bra ny artikel om att byta ut certifikat finns här och som sagt, var noga med att inaktivera lyssnaren innan du byter ut certifikatet http://technet.microsoft.com/en-us/library/dd547090.aspx

Publicerat i ISA Server | Lämna en kommentar