Trong phần hai của loạt bài này, chúng tôi sẽ giới thiệu về các tính năng phát hiện và ngăn chặn xâm nhập nâng cao của TMG firewall. Như đã giới thiệu trong phần một, phần hai này chúng tôi sẽ tập trung vào việc giới thiệu về Network Inspection System (NIS). Trước tiên đi sâu tìm hiểu các tính năng của thành phần này, chúng ta hãy đi tìm hiểu xem Network Inspection System (NIS) là gì. Network Inspection SystemNetwork Inspection System (NIS) là một hệ thống phát hiện và ngăn chặn xâm nhập hoàn toàn mới, nó được giới thiệu lần đầu tiên trong Forefront Threat Management Gateway (TMG) 2010. NIS phân tích lưu lượng mạng và thực hiện việc thanh tra giao thức mức thấp để phát hiện và ngăn chặn tấn công dựa trên lỗ hổng trong hệ điều hành và ứng dụng của Microsoft. NIS hoạt động dựa trên chữ ký số. Các chữ ký này được phát triển bởi Microsoft Malware Protection Center (MMPC). Chúng được Microsoft cung cấp cho NIS cùng với các nâng cấp bảo mật được phát hành trong suốt chu trình phát hành nâng cấp thông thường của Microsoft (vào thứ Ba tuần thứ hai hàng tháng) hoặc có thể được phát hành không theo kế hoạch để đáp trả cho hiểm họa zero-day nếu cần. NIS được thiết kế để tránh lỗ hổng đã biết đến trong hệ điều hành và ứng dụng của Microsoft bị khai thác từ xa. Tập chữ ký số chỉ tương đối nhỏ nhưng lại rất có ý nghĩa. Bí mật của sự hiệu quả của NIS nằm ở ngôn ngữ phân tích giao thức có tên gọi GAPA (Generic Application-level Protocol Analyzer). GAPA không khác biệt so với chức năng phân tích cú pháp giao thức được cung cấp bởi Network Monitor. Kiểu thanh tra này cho kết quả chính xác hơn nhiều so với kiểu phân tích theo byte vẫn gặp. NIS phân tích gói dữ liệu ở tầng giao thức, cấu trúc gói tin và nội dung tin. Nó có thể nhận dạng và khóa chặn tấn công nhắm vào lỗ hổng đã được biết trước. Ngoài ra NIS cũng có thể nhận dạng sự bất thường trong giao thức và ngăn chặn sự lạm dụng giao. Kỹ thuật NIS có trong nhiều sản phẩm bảo vệ Forefront, gồm có các sản phẩm bảo vệ máy chủ như Forefront Protection for Exchange (FPE) và SharePoint (FPSP) cũng như sản phẩm bảo vệ máy khách như Forefront Endpoint Protection (FPE) và Microsoft Security Essentials (MSE). Khi NIS được triển khai, Microsoft có thể thu thập thông tin phản hồi về kiểu tấn công đã và đang diễn ra và sử dụng thông tin này nhằm cải thiện chất lượng của các nâng cấp cho chữ ký số. Khi một gói dữ liệu được cho phép bởi chính sách tường lửa và được thanh tra bởi bộ lọc giao thức, cỗ máy chính sách NIS sẽ thực hiện việc thanh tra giao thức mạng mức thấp bằng cách sử dụng tập chữ ký số hiện đã được cài đặt. Nếu có sự trùng khớp xuất hiện, NIS sẽ đưa ra hành động dựa theo chính sách đã được thiết lập trước (khóa chặn hoặc phát hiện) và đưa ra cảnh báo. NIS hỗ trợ việc thanh tra giao thức mạng cho DNS, HTTP, IMAP, MIME, MSRPC, POP3, SMB và SMTP. Tương lai,Microsoft có thể bổ sung thêm một số giao thức nếu nhu cầu tăng cao. Kích hoạt và cấu hình NISNIS có thể được kích hoạt và cấu hình bằng cách sử dụng <>Getting Started Wizard và kích liên kết <>Define Deployment Options, sau đó chọn <>Activate complementary license and enable NIS.
Thiết lập <>NIS Signature Update Settings và chọn <>automatic definition update action. Bạn có thể chọn <>Check for an install definitions (recommended), <>only check for definitions, hoặc <>no automatic action. Chọn <>Automatic polling frequency và chỉ định ngưỡng cảnh báo nâng cấp.
Định nghĩa <>New Signature Set Configuration bằng cách chọn chính sách đáp trả mặc định cho các chữ ký mới. Bạn có thể chấp nhận <>Microsoft default policy (recommended), <>Detect only response, hoặc <>No response (disable signature).
Khi NIS được kích hoạt và được cấu hình xong, bạn có thể truy cập cấu hình NIS bằng cách mở TMG management console, đánh dấu <>Intrusion Prevention System, sau đó chọn tab <>Network Inspection System (NIS) trong giao diện điều khiển chính. Ở phía trên cửa sổ chính, bạn có thể xem trạng thái <>NIS Status, <>Signature Set Version, <>New Signature Response: và <>Update Action:.
Kích vào bất kỳ liên kết nào sẽ xuất hiện trang thuộc tính của NIS. Trong tab <>General bạn có thể kích hoạt hoặc vô hiệu hóa toàn bộ NIS.
Trên tab <>Exceptions, bạn có thể định nghĩa đối tượng mạng (mạng, tập các mạng, máy tính, tập các máy tính, dải địa chỉ, mạng con hoặc tập các miền,…) cần được loại trừ khỏi sự thanh tra NIS. Việc miễn thanh tra một số lưu lượng mạng cần thiết trong một số tình huống, ví dụ như hệ thống tin cậy trao đổi rất nhiều thông tin và bạn cần giảm tải trọng trên TMG firewall, hoặc có thể là một ứng dụng sử dụng giao thức mạng không tuân theo các chuẩn RFC.
Trên tab <>Definition Updates, bạn có thể xem lại và thay đổi thiết lập cho các nâng cấp và việc cảnh báo cũng như chính sách đáp trả mặc định đối với một chữ ký mới. Mặc định, Microsoft sẽ cho phép chọn các trường hợp: để chữ ký sẽ được kích hoạt, được thiết lập để khóa hoặc chỉ phát hiện. Quyết định này được đưa ra dựa trên kiểu chữ ký và sự tin tưởng của chúng. Bằng cách kích <>Version Control…, quản trị viên có thể “roll back” về tập chữ ký trước nếu cần. Chiêu thức này khá cần thiết khi tập chữ ký mới phát sinh vấn đề trong môi trường mạng của bạn. Nếu chọn tùy chọn này, bạn sẽ thấy một chỉ thị cảnh báo “activating an older NIS signature set may expose your network to newly discovered threats”. <> Trên tab <>Protocol Anomalies Policy, quản trị viên có thể định nghĩa cách NIS đáp trả thế nào khi nó phát hiện ra lưu lượng mạng dị thường. Như được đề cập từ trước, NIS sẽ thực hiện việc thanh tra giao thức và có thể nhận diện khi lưu lượng không tuân theo RFC. Mặc định, NIS được cấu hình để cho phép lưu lượng dị thường, nhằm tránh khóa chặn lưu lượng hợp lệ. Nếu chọn khóa chặn lưu lượng dị thường, tăng độ bảo mật, thì rủi ro trong việc khóa chặn truyền thông hợp lệ cũng tăng.
Khám phám chữ ký số NISỞ phần giữa của cửa sổ chính, bạn có thể quan sát tập chữ ký NIS hiện hành. Như những gì bạn có thể thấy, có khoảng 200 chữ ký được load. Có thể nhóm các chữ ký theo quan tâm của mình như: policy type, business impact, category, date published, severity, fidelity, protocol và status bằng cách chọn menu <>Group by:. Bạn cũng có thể phân loại bằng cách kích vào header cột. Bạn sẽ thấy chúng tôi phân loại chữ ký theo <>Date Published, cách thức phân loại cho phép xem nhanh chữ ký mới nhất vừa được bổ sung.
Kích đúp vào một chữ ký nào đó sẽ xuất hiện cửa sổ có chứa thông tin chi tiết về nó. Ở đây chúng tôi đã mở thuộc tính của chữ ký dựa trên lỗ hổng <>Win/MSIE.Redirect.RCE!CVE-2011-1262. Như những gì bạn có thể thấy, chính sách đáp trả cho chữ ký này được thiết lập là <>Microsoft default (recommended) và chữ ký được kích hoạt và được thiết lập ở trạng thái khóa. Quản trị viên có tùy chọn ghi đè chính sách đáp trả mặc định bằng cách kích <>Override. Ở đây, bạn có thể kích hoạt hoặc vô hiệu hóa chữ ký hay thay đổi chính sách đáp trả nếu cần.
Kích tab <>Details sẽ tiết lộ thêm thông tin về chữ ký, gồm có ứng dụng bị ảnh hưởng, hạng mục, số CVE, tác động doanh nghiệp, ngày xuất bản, đáp trả mặc định, trạng thái mặc định,… Có một trường để quản trị viên có thể bổ sung thêm lưu ý về chữ ký. Kích <>More help about this NIS signature online sẽ đưa bạn đến mục hỗ trợ kiến thức của Microsoft, nơi bạn có thể xem thêm thông tin chi tiết về các chữ ký.
Cấu hình đáp trả NISPanel <>Tasks có nhiều liên kết đến vài nhiệm vụ cấu hình. Hai tùy chọn cấu hình quan trọng có thể truy cập ở đây là <>Set All Responses to Microsoft Defaults và <>Set All Responses to Detect Only. Nếu bạn muốn cấu hình NIS chỉ là một hệ thống phát hiện xâm nhập, hãy thiết lập chính sách đáp trả mặc định để chỉ phát hiện. NIS sẽ tiếp tục thanh tra lưu lượng nhưng sẽ chỉ cảnh báo chứ không khóa chặn. Cách thức này có thể hữu dụng khi kích hoạt NIS thời gian đầu trên mạng sản xuất. Sau khi tin tưởng rằng NIS sẽ không khóa chặn lưu lượng truyền thông thông thường, bạn có thể thiết lập tất cả các đáp trả với giá trị mặc định của Microsoft.
Các kiểu chữ ký sốCó ba kiểu chữ ký của NIS:
Nâng cấp chữ kýKỹ thuật dựa trên chữ ký, NIS chỉ hiệu quả khi các chữ ký mới nhất được cập nhật một cách kịp thời. Các chữ ký này có thể được download từ Windows Update hoặc WSUS cục bộ. Để bảo đảm NIS đã được cập nhật đúng, đánh dấu nút <>Update Center trong cây giao diện điều hướng. Cửa sổ chính sẽ chỉ thị trạng thái nâng cấp cho cơ chế bảo vệ và sẽ có thông tin chi tiết về thời điểm nâng cấp xảy ra, số phiên bản của tập chữ ký hiện hành cũng như trạng thái đăng ký.
Nếu giao diện quản lý chỉ thị rằng các chữ ký NIS đã quá hạn, bạn có thể kiểm tra và cài đặt định nghĩa mới bằng cách sử dụng các liên kết tương ứng trong panel <>Tasks.
Kết luậnHệ thống phát hiện và ngăn chặn xâm nhập (IDS/IPS) là một thành phần cơ bản của bất cứ kiến trúc bảo mật mạng nào. Network Inspection System (NIS) của Forefront Threat Management Gateway là sự bổ sung duy nhất của IDS/IPS. Được thiết kế đặc biệt cho việc phát hiện và ngăn chặn lỗ hổng trong hệ điều hành và ứng dụng của Microsoft trước việc khai thác từ xa, NIS cung cấp một lớp bảo vệ giá trị cho mạng sử dụng sản phẩm của Microsoft. Với phạm vi hạn hẹp này, nó không được thiết kế để thay thế cho IDS/IPS mạng doanh nghiệp đang tồn tại mà chỉ bổ sung cho hệ thống này bằng cách cung cấp khả năng phát hiện và đáp trả các hiểm họa đối với tấn công dựa trên lỗ hổng của Microsoft đã được biết trước. Với các nâng cấp chữ ký được tạo bởi Microsoft Malware Protection Center (MMPC), NIS tỏ ra rất chính xác và hiệu quả, gây rất ít lỗi. NIS được gói gọn trong giá thành của một đăng ký TMG, do đó không cần đăng ký bổ sung để thực hiện chức năng này. Việc kích hoạt NIS trên Forefront TMG 2010 firewall sẽ cải thiện một cách đáng kể tình hình bảo mật cho toàn bộ tổ chức bạn. |