<< Forefront TMG 2010: Solucionar problemas de rendimiento | Forefront Client Security: Update Marzo 2011 >>

MS Forefront TMG 2010: Testeando el motor NIS [V de VI]

by Admin 9. marzo 2011 07:47

============================================================================
- MS Forefront TMG 2010: Testeando el motor NIS [I de VI]
- MS Forefront TMG 2010: Testeando el motor NIS [II de VI]
- MS Forefront TMG 2010: Testeando el motor NIS [III de VI]
- MS Forefront TMG 2010: Testeando el motor NIS [IV de VI]
- MS Forefront TMG 2010: Testeando el motor NIS [V de VI]
- MS Forefront TMG 2010: Testeando el motor NIS [VI de VI]
============================================================================

En estas últimas entregas dedicadas al motor de NIS (Network Inspection System), vamos a evaluar la firma que tiene Forefront TMG 2010 para detectar ataques de tipo XSS (Cross Site Scripting) a servidores que estén protegidos con NIS. Para ello, Forefront TMG 2010 cuenta con una firma específica, la cual se va actualizando cada cierto tiempo, ya que este tipo de ataque es común que se manifieste de muchas maneras.

En el caso de la firma protagonista de este artículo, por defecto viene deshabilitada. Si en algún momento deseamos testear alguna de las aplicaciones Web que tengamos en la organización contra este tipo de ataques, Forefront TMG 2010, y su motor NIS, es una buena solución, ya que se puede modificar el comportamiento a la hora de detectar amenazas. En una primera instancia configuraremos NIS para que sólo detecte este tipo de amenazas. Esta configuración puede ser útil a la hora de detectar falsos positivos en las querys que hayan definido los desarrolladores Web.

Figura 15: XSS en aplicación de pruebas

Para modificar el comportamiento de la detección, tendremos que hacerlo desde la propia firma en sí. Para ello, bastará con dar doble clic sobre la firma, y realizar los cambios oportunos, tal y como se muestra en la siguiente imagen.

Figura 16: SÓLO detección de XSS

Una vez que se ha modificado la firma en la función de sólo detección, es hora de atacar nuestro sitio a conciencia, y ver cómo se comporta Forefront TMG 2010 y su motor NIS. Para ello, se inserta una URL construida de forma maliciosa, y examinamos los paquetes enviados y recibidos.

Figura 17: Conexión permitida XSS

Como se puede comprobar en la siguiente imagen, Forefornt TMG 2010 ha dejado pasar la conexión, incluso cuando la URL es maliciosa, pero no hay que olvidar que hemos configurado la firma para que sólo detecte. A la hora de mirar las alertas en NIS, nos podemos encontrar con lo siguiente:

Figura 18: Detección de XSS

============================================================================
- MS Forefront TMG 2010: Testeando el motor NIS [I de VI]
- MS Forefront TMG 2010: Testeando el motor NIS [II de VI]
- MS Forefront TMG 2010: Testeando el motor NIS [III de VI]
- MS Forefront TMG 2010: Testeando el motor NIS [IV de VI]
- MS Forefront TMG 2010: Testeando el motor NIS [V de VI]
- MS Forefront TMG 2010: Testeando el motor NIS [VI de VI]
============================================================================

Category: Forefront TMG
Tags: firewall, firewall, antimalware, exploits, nis, xss
Comentarios (0)

E-mail Permalink Post RSS

Publicaciones relacionadas

Microsoft Forefront Threat Management Gateway TMG 2010Página de Recusos Técnicos de Forefront Threat Management Gateway TMG 2010 en español. Artículos, ví...MS Forefront TMG 2010: Testeando el motor NIS [I de VI]Probando el servicio NIS De MS Forefront Threat Management Gateway TMG 2010MS Forefront TMG 2010: Testeando el motor NIS [IV de VI]Probando el servicio NIS De MS Forefront Threat Management Gateway TMG 2010