<< Microsoft Forefront UAG 2010: Configurando la trazabilidad (2 de 2) | Forefront UAG: Extrayendo datos de las trazas [I de III] >>

MS Forefront TMG 2010: Testeando el motor NIS [IV de VI]

by Admin 12. febrero 2011 06:05

============================================================================
- MS Forefront TMG 2010: Testeando el motor NIS [I de VI]
- MS Forefront TMG 2010: Testeando el motor NIS [II de VI]
- MS Forefront TMG 2010: Testeando el motor NIS [III de VI]
- MS Forefront TMG 2010: Testeando el motor NIS [IV de VI]
- MS Forefront TMG 2010: Testeando el motor NIS [V de VI]
- MS Forefront TMG 2010: Testeando el motor NIS [VI de VI]
============================================================================

En esta cuarta entrega dedicada al motor de NIS (Network Inspection System), nos vamos a centrar en la posibilidad de que un usuario intente explotar algún tipo de vulnerabilidad en alguno de nuestros sistemas de la Red Interna. Para proteger la Red, Forefront TMG 2010 tiene, dentro de las características del sistema NIS, un motor por el cual inspecciona el tráfico de red. Este motor, lleva incluido una serie de definiciones con los exploits y malware más comunes y que más impacto pueden llegar a tener en una Red.

Para que el motor NIS haga uso de estas firmas, a la hora de inspeccionar tramas de red, éstas deben estar habilitadas. Si una firma se encuentra activa se puede configurar para bloquear la petición, o solo para detecctar el ataque. En función de una configuración u otra, Forefront TMG 2010 actuará en modo bloqueante o en modo de alerta.

Figura 11: Firma para Vulnerabilidad

A la hora de inspeccionar una trama que pueda hacer uso de esta vulnerabilidad, Forefont TMG 2010 primero deberá evaluar si el tráfico se encuentra permitido dentro de las directivas de Firewall. Si el tráfico se encuentra permitido, Forefront TMG 2010 dejará pasar las tramas, tal y como se muestra en la figura siguiente:

Figura 12: Tráfico permitido por Forefront TMG 2010

Una vez que Forefront TMG 2010 deja pasar el tráfico que coincide con una regla específica, le toca el turno al motor de NIS. Siempre que este motor se encuentre activado, junto con la inspección de Malware, Forefront TMG 2010 evaluará cada trama que pase mediante el sistema NIS, con la base de datos interna sobre Malware y Exploits. Si al evaluar la regla, ésta da positivo y se encuentra dentro del nivel específico de alerta, el motor de NIS mandará a Forefront TMG 2010 una señal de bloqueo de trama, tal y como se muestra en la siguiente imagen:

Figura 13: Tráfico bloqueado por el sistema NIS

En tiempo real, el motor de NIS escribe una alerta indicando que una trama ha coincidido con un patrón específico. Junto con la alerta, el motor de NIS indicará también la definición causante del bloqueo de tráfico, tal y como se muestra a continuación.

Figura 14: Alerta en Forefront TMG 2010 sobre bloqueo de tráfico

============================================================================
- MS Forefront TMG 2010: Testeando el motor NIS [I de VI]
- MS Forefront TMG 2010: Testeando el motor NIS [II de VI]
- MS Forefront TMG 2010: Testeando el motor NIS [III de VI]
- MS Forefront TMG 2010: Testeando el motor NIS [IV de VI]
- MS Forefront TMG 2010: Testeando el motor NIS [V de VI]
- MS Forefront TMG 2010: Testeando el motor NIS [VI de VI]
============================================================================

Category: Forefront TMG
Tags: firewall, firewall, antimalware, exploits, nis, spoofing
Comentarios (0)

E-mail Permalink Post RSS

Publicaciones relacionadas

Microsoft Forefront Threat Management Gateway TMG 2010Página de Recusos Técnicos de Forefront Threat Management Gateway TMG 2010 en español. Artículos, ví...MS Forefront TMG 2010: Testeando el motor NIS [I de VI]Probando el servicio NIS De MS Forefront Threat Management Gateway TMG 2010MS Forefront TMG 2010: Testeando el motor NIS [VI de VI]Probando el servicio NIS De MS Forefront Threat Management Gateway TMG 2010