<< MS Forefront Client Security Best Practices Analyzer (IV de IV) | El laboratorio antimalware de Forefront actuó correctamente >>

MS Forefront TMG Web Protection Service (I de IV): Tecnología Gapa

by Admin 4. febrero 2010 01:00

============================================================================
- MS Forefront Threat Management Gateway Web Protection Service (I de IV)
- MS Forefront Threat Management Gateway Web Protection Service (II de IV)
- MS Forefront Threat Management Gateway Web Protection Service (III de IV)
- MS Forefront Threat Management Gateway Web Protection Service (IV de IV)
============================================================================

A pesar de los mecanismos de seguridad que se apliquen en el desarrollo de un producto, garantizar que este no va a ser vulnerado por un fallo de seguridad descubierto cuando se encuentra en producción, es casi imposible. Es importante, no obstante, fortalecer los procesos de desarrollo para reducir el número de vulnerabilidades que un producto tenga durante su ciclo de vida. Para conseguir esto, los productos Microsoft están bajo un modelo de desarrollo llamado SDL [Secure Development Lifecycle] que ha conseguido reducir drásticamente las vulnerabilidades descubiertas.

Aún así, hay que estar preparados contra el descubrimiento de vulnerabilidades cuando los productos se encuentran en producción. Vulnerabilidades que pueden ser descubiertas y explotadas antes de que se pueda crear, publicar y desplegar un parche en las organizaciones afectadas por este fallo. Con este objetivo, un equipo de Microsoft Research, laboratorios de investigación de la compañía de Redmond, trabajaron hasta publicar GAPA [Generic Application-Level Protocol Analyzer].

Tecnología GAPA: Objetivos

La misión de GAPA, parte complementaria del servicio de pago MS Forefront Threat Management Gateway Web Protection Service, es poder analizar, como si de un compilador con el código fuente de un programa se tratara, el flujo de datos de red que entra y sale de una organización. Es decir, es, como su propio nombre indica, un Analizador de Protocolo a Nivel de Aplicación Genérico. La idea principal en la que se basa este proyecto es que, si se es capaz de reconocer el tráfico de los protocolos de comunicación, se es capaz de reconocer situaciones anómalas o de excepción - al igual que en un compilador se reconocer un fallo sintáctico o semántico - que determinen la existencia de un posible ataque.

Otra de las grandes ventajas de esta tecnología es que, al ser capaz de reconocer estructuras dentro los flujos de comunicación, ayudará a poder firmar comportamientos de flujo como exploit, es decir, permitirá firmar una vulnerabilidad sin necesidad de tener un exploit que saque partido de ella, símplemente por la forma en la que debe ser explotada.

GAPAL: El lenguaje

Para poder realizar la detección de comportamientos anómalos y crear las firmas que generen las alertas necesarias, es obligatorio contar con un lenguaje que permita tanto definir el flujo de un protocolo correcto como definir firmas para esas alertas. Así, junto con GAPA, se ha estado trabajando en GAPAL, el legunaje con el que se definen ambos elementos.

En primer lugar se definirá el parseador del protocolo, que no es más, ni menos, que cual es el flujo correcto del procolo que se quiere anlizar. Así, se reconocerá un flujo correcto de trafico con un protocolo o no.

Figura 1: Parseador de protocolo Http escrito en lenguaje GAPAL

En segundo lugar, conocida la situación anómala que se quiere detectar, se crean las firmas, que podrán ser de exploits, de vulnerabilidades o símplemente de política corporativa con ese protocolo.

Figura 2: Ejemplo de definición de firma para Http en lenguaje GAPAL

Sistema de detección de Intrusiones

Una vez definidos ambos elementos, el compilador de GAPA genera firmas de paquetes y flujos de paquetes para reconocer tanto el flujo correcto como la situación firmada. Es decir, genera un programa de detección de protocolo y situaciones firmadas mediante la entrada de paquetes de red. Estos programas de detección son procesados por el módulo NIS (Network Inspection System) de MS Forefront Threat Management Gateway que irá comprobando, paquete a paquete, si se cumple con alguna de las situaciones firmadas para generar una alerta que bloquée dicho tráfico o lance un comportamiento de mitigación.

Figura 3: Mantenimiento de la tecnología GAPA

Como se puede ver en la Figura 3, es necesario generar, a partir de los parseadores y las definiciones de situaciones anómalas, las firmas que serán utilizadas por el Sistema de Detección de Intrusiones [NIS - Network Intrusion Detection] de MS Forefront Threat Management Gateway Web Protection Service. Por ello, hay que mantener las actulizaciones de las mismas a través de los servicios de Microsoft Update.

============================================================================
- MS Forefront Threat Management Gateway Web Protection Service (I de IV)
- MS Forefront Threat Management Gateway Web Protection Service (II de IV)
- MS Forefront Threat Management Gateway Web Protection Service (III de IV)
- MS Forefront Threat Management Gateway Web Protection Service (IV de IV)
============================================================================

Category: Forefront TMG, TMG Web Protectiton Service
Tags: forefront tmg, forefront threat management gateway, gapa, gapal, 0day, exploits, web protection service
Comentarios (0)

E-mail Permalink Post RSS

Publicaciones relacionadas

Microsoft Forefront Threat Management Gateway TMG 2010Página de Recusos Técnicos de Forefront Threat Management Gateway TMG 2010 en español. Artículos, ví...MS Forefront TMG Web Protection Service (II de IV): URL FilteringTecnología GAPA, funcionamiento en TMG y firma de vulnerabilidades para NIS. MS Forefront TMG Web Pr...MS Forefront TMG Web Protection Service (IV de IV): AntimalwareConfiguración antimalware de MS Forefront TMG Threat Magagement Gateway 2010 Web Protection Service.