El servicio de filtrado de URLs por categorías que ofrece Microsoft Forefront Threat Management Gateway TMG 2010 está basado en la catalogación de las URLs que se realiza a través de los Servicios de Reputación de Microsoft [Microsoft Reputation Service]. Dicha catalogación se encuentra accesible a través del porta que se encuentra en la siguiente URL: Microsoft Reputation Service Portal.

Desde dicha página se puede consultar las categorías en las que una determinada URL ha sido clasificada. Una URL puede pertenecer a más de una categoría. Así, tal y como se puede ver en la siguiente figura, la URL del sitio web de MSDN está englobada en dos categorías.


Figura 1: URL de MSDN en dos categorías según el servicio MRS

Sin embargo, cuando se realiza un filtrado de URL haciendo uso del módulo de URL Filtering en MS Forefront Threat Management Gateway TMG 2010 Service Pack 1 sólo se considera una única categoría, tal y como se ve en la figura 2, donde la URL de MSDN ha sido catalogada como del grupo "Technical Information".


Figura 2: URL de MSDN en una categoría en MS Forefront TMG 2010 SP1

Esto es debido a que en Forefront Threat Mangement Gateway TMG 2010 basa su filtrado en la URL de mayor precedencia. Todas las categorías han sido ordenadas basandose en las que son más significativas. Este es el orden de precedencia de las categorías según el Microsoft Reputation Service.


Figura 3: Orden de precedencia de categorías

Tienes más información sobre este aspecto en el blog de el equipo de Forefront TMG.
 

Una de las características que más se han mejorado en MS Forefront Threat Managemente Gateway TMG 2010 es el motor NIS [Netwokr Inspection Service]. Entre las novedades de esta medida de protección se encuentra la implementación de la tecnología GAPA [Generic Application-Level Protocolo Analyzer] al servicio de bloqueo de ataques. GAPA es una tecnología nacida de Microsoft Research, es decir, de los laboratorios de investigación de Microsoft, y que evalúa el flujo de los protocolos de aplicación para detectar anomalías y/o ataques.

Actualmente, soporta distintos protocolos y, entre ellos, por supuesto, se encunetra Http. El equipo de Microsoft, mantiene actualizadas las firmas y los parseadores de protocolos para mantener protegidos a los clientes de MS Forefront Threat Management Gateway TMG 2010 con firmas de nuevos exploits o vulnerabilidades. Este servicio no tiene un coste añadido y sólo debe configurarse la actualización de las firmas desde Microsoft Update Services.

El mes pasado, desde el Blog del equpo de Forefront TMG (ISA Server) se anunció que se habían añadido dos firmas para detectar ataques producidos contra aplicaciones web vulnerables a técnicas SQL Injection y Cross-Site Scripting [XSS]. A día de hoy, estas técnicas de ataque siguen estando dentro de las más utilizadas por los atacantes para vulnerar la seguridad de las empresas. Así, OWASP (Open Web Applicaton Security Project) ha catalogado las mismas en las posiciones 1 y 2 de la lista de las más usadas [OWASP top ten 2010].

Las firmas han sido codificadas con los siguientes identificadores:

- SQL Injection: Expl:Win/HTTP.URL.SQLInj!0000-0000
- Coss-Site Scripting: Expl:Win/HTTP.URL.XSS!0000-0000

Detectar todos los posibles ataques SQL Injection y Cross-Site Scripting puede ser una tarea difícil y complicada, por lo tanto, a pesar de tener desde ya disponible esta protección añadida, nadie recomendaría publicar aplicaciones web en Internet sin haber sido auditadas previamente. Sin embargo, el contar con una protección añadida en el perímetro ayudará a que la empresa esté mucho más segura.

Tienes más información sobre estas tecnologías:

- Tecnología Gapa
- Protocolos soportados por GAPA
- Whitepaper tecnología NIS

 

La solución antimalware de Microsoft Forefront Protection for Eschange o for SharePoint, permite utilizar un escaneo de muestras hasta con cinco motores antimalware. El uso de múltiples motores de antivirus permite a Microsoft Forefront Protection obtener muchos mejores resultados en detección de malware que con un único motor. Tal vez puede ser fácil para un malware saltarse un motor de antimalware, pero el poder saltarse a más de tres motores implica el evitar a tres laboratorios de personas trabajando en la detección del malware más activo.

¿Cuáles son esos motores antivirus?

La pregunta es, ¿cuáles son los laboratorios detrás del escaneo multimotor? Pues la respuesta es la siguiente:

- Microsoft Antivirus: Es el motor mantenido por Microsoft. Es el incorporado por defecto en Microsoft Security Essentials, Microsoft Forefront Client Security y en Microsoft Forefront Threat Mangement Gateway Web Protection Service.

- Kaspersky Antivirus: Uno de los laboratorios más veteranos en las soluciones antivirus, y, como ya se ha visto, es utilizado como referencia por otros debido a su alta calidad en la generación de firmas.

- Norman Virus Control: Compañía Noruega con más de 20 años de experiencia.

- Authentium Antivirus Engine: Compañía americana con base en Delaware con múltiples productos de el ámbito de la seguridad.

- VirusBuster: Compañía Húngara, con más de 30 años de experiencia en la detección de malware. Su tecnología está licenciada por muchos fabricantes de seguridad.

Con Microsoft Forefront Protection for Exchange / Sharepoint puedes tener a todos estos laboratorios defendiendo tus infraestructuras contra malware.


Figura 1: Motores Antimalware en Forefront Protection for Exchange instalados en el rol de Edge sobre Microsoft Forefront TMG 2010

Si quieres hacer tus propios comparaciones puedes usar Virus Total y ver cuanto malware es capaz de saltarse los 5 motores a la vez.
 

Una de las características más novedosas de Microsoft Forefront Threat Management Gateway 2010 es su Servicio de Inspección de Red [NIS - Network Inspection Service] pensado para detectar amenazas cuando pasan el firewall. Este servicio NIS permite reconocer, mediante la firma de vulnerabilidades y exploits, amenazas asociadas a ciertos protocolos. El funcionamiento de GAPA, como se explica en el artículo dedicado a Forefront TMG Web Protection Service se basa en ser capaz de reconocer el tráfico de un determinado protocolo y detectar en él las amenazas.

En la actualidad, la tecnología GAPA incluida en el Servicio NIS de Microsoft Forefront Threat Management Gateway TMG 2010 es capaz de reconocer los siguientes protocolos:

HTTP	DNS
SMB	SMB2
NetBios	MSRPC
SMTP	POP3
IMAP	MIME

Para todos ellos, el equipo de Microsoft crea firmas asociadas a vulnerabilidades, exploits y ataques conocidos que se actualizan mediante Microsoft Update. Dentro de Microsoft Forefront TMG pueden verse las firmas con las que ha sido cargado el Firewall y, para cada una de ellas, la información asociada.


Figura 1: Vulnerabilidad firmada con GAPA

Dentro de cada una de las vulnerabilidades disponibles, es posible acceder a toda la información de dicha vulnerabilidad a través del link mostrado, que lleva, directamente al Malware Center de Microsoft.


Figura 2: Información asociada a la vulnerabilidad

Como se puede apreciar, todas las firmas, en caso de que provoquen alguna anomalía con el funcionamiento normal de la empresa, puede ser cambiado su comportamiento.

Para entender mejor el funcionamiento de los servicios NIS, se recomienda leer [en inglés] la "Guía de Configuración, Monitorización y Solución de problemas del Servicio NIS de Microsoft Forefront TMG 2010"
 

============================================================================
- MS Forefront Threat Management Gateway Web Protection Service (I de IV)
- MS Forefront Threat Management Gateway Web Protection Service (II de IV)
- MS Forefront Threat Management Gateway Web Protection Service (III de IV)
- MS Forefront Threat Management Gateway Web Protection Service (IV de IV)
============================================================================

Motor Antimalware en el Firewall

No ha sido hasta la aparición de Microsoft Forefront Threat Management Gateway 2010 con el prodcuto Web Protection Service que Microsoft ha tenido un antivirus/antispyware/antimalware instalado en el Firewall. Hasta Microsoft ISA Server 2006 había que contar con prodcutos de terceros que, utilizando la API del propio firewall, enlazaban sus motores antimalware para inspeccionar todos los archivos que se transmiten sobre los protcolos FTP y HTTP. Este funcionamiento es justo la misión del módulo Antimalware de Web Protection Service. Para cumplirlo, todos los motores de la solución de Forefront Protection se ponen a disposición del firewall para decidir si un fichero transmitido por FTP o por HTTP es un malware o no lo es. Para realizar dicha inspección se utiliza el motor Antimalware de Microsoft y, si un cliente desea contar con la protección de ese motor antimalware en su firewall, con Web Protecction Service el coste es sólo de 12 USD por cliente.

Activación y uso del sistema Antimalware

Este servicio, como ya se ha comentado, sólo funciona para los protocolos de navegación web FTP y HTTP. Sin embargo, si está activado el servicio de Inspección HTTPs, también será posible aplicarlo a las conexiones cifradas realizando una división del canal HTTP-s en dos partes: Una conexión cifrada HTTP-s desde el cliente hasta el servidor MS Froefront TMG y otra conexión HTTP-s desde el servidor MS Forefront TMG hasta el servidor HTTP-s remoto. De esta forma MS Forefront Protection Service será capaz de limpiar de malware las conexiones cifradas HTTP-s. En cualquier caso, desde las reglas de navegación el servicio debe ser activado tal y como se ve en la Figura 12.


Figura 12: Activación de inspección antimalware

En esa misma pestaña, se puede seleccionar la opción de bloquear el tráfico por la regla por la que se está descargando el fichero actualmente en inspección hasta que no se decida si es o no un malware.

Configuración de motor Antimalware

En el resto de los paneles de configuración se deben seleccionar las configuraciones más adecuadas para el firewall. En ellos es posible crear las URLs de exclusión, es decir, en las que no deberá ser aplicado el proceso de inspección de malware mediante una lista de sitios en "Excepciones de Destino" o a aquellos usuarios o máquinas que no hay que aplicarles el filtrado, se conecten donde se conecten, mediante otra lista en "Excepciones de Origen". En la Figura 13 se aprecia el panel de opciones de la inspección de malware donde se deben tomar decisiones para los casos límite, como cuando el archivo es muy grande, tarda mucho en ser inspeccionado, está comprimido recursivamente más de 20 veces, está dañado o es sospechoso. Ajustar correctamente estas opciones harán que el funcionamiento del antivirus el el Firewall sea más eficiente.


Figura 13: Opciones de configuración de la inspección antimalware

Otras decisiones que deberán tomarse con la solución antimalware son el lugar de almacenamiento de los archivos sospechosos dentro del panel "Almacenamiento" o cual es la política de "Actualización de definiciones". Hay que recordar, como se vio en la parte anterior de este artículo, que la configuración de la actualización del servicio se realiza desde el Centro de Actualizaciones. Pór último, en el panel de "Detalles de la licencia" es donde se deberá configurar la clave del producto, tal y como se vió en la parte II de este artículo.

Una vez configurada la inspección antimalware, el resultado para el usuario será el que se puede ver en la Figura 14. Cada vez que la navegación va a un sitio web que descarga un archivo, este es analizado por la protección antimalware de MS Forefront TMG Web Protection Service y si se detecta que es nocivo, se prohibe su descarga.


Figura 14: Archvio bloqueado por el servicio de inspección de malware


============================================================================
- MS Forefront Threat Management Gateway Web Protection Service (I de IV)
- MS Forefront Threat Management Gateway Web Protection Service (II de IV)
- MS Forefront Threat Management Gateway Web Protection Service (III de IV)
- MS Forefront Threat Management Gateway Web Protection Service (IV de IV)
============================================================================