Понятие о службе NIS (Network Inspection Service – служба проверки сети) и ее настройка

Несколько месяцев прошло с того времени, как компания Microsoft выпустила версию Beta 2 приложения Microsoft Forefront TMG (Threat Management Gateway), владеющего многими замечательными качествами. Перед тем, как разбираться с функциями NIS в Microsoft Forefront TMG, поначалу необходимо объяснить, что такое NIS и на каких протоколах и разработках она базирована.

Определение NIS и IPS

IPS (Intrusion Prevention System – система предотвращения вторжений) – это система в TMG, работающая с уязвимостями. IPS должна защищать вашу внутреннюю сеть от атак на известные и неведомые уязвимости в случае использования TMG конкретно на границе меж внутренней сетью и Вебом. Весь сетевой трафик проходит через TMG, потому TMG представляет собой первую линию обороны от атак на разные уязвимости.

IPS определяется на 2-ух уровнях:

Системный уровень
Уровень принятия решений

На системном уровне (System level) IPS представляет собой сумму огромного количества защитных устройств.

На уровне принятия решений (Solution level) IPS относится к внутреннему хосту либо устройствам на краю сети, в нашем случае – Microsoft Forefront TMG.

Функции NIS в IPS TMG: перекрыть известные и неведомые атаки на слабенькие места на уровне сети.

TMG употребляет IPS, основанную на сигнатурах. Такая IPS защищает ваши машины от атак на уже известные уязвимости. Система IPS, основанная на сигнатурах, употребляется для закрытия временного окна меж обнаружением уязвимости и выходом заплаток для данной уязвимости. Как указывает практика, злоумышленники делают вредное ПО, использующее уязвимости, резвее, чем админы получают возможность установить нужные обновления. Сигнатуры становятся доступными и могут быть установлены ранее, чем будут сделаны заплаты, потому, пока админы ожидают заплаток, их системы будут защищены при помощи NIS в TMG.

Атаки «нулевого дня»

Атака «нулевого дня» представляет собой атаку на уязвимость, для которой еще не сделаны заплаты. Обыденный метод защиты от таковой атаки заключается в последующих действиях:

Уязвимость находится
Команда Microsoft Response Team (MRT) делает и инспектирует сигнатуру уязвимости
Компания Microsoft распространяет сигнатуру через службу рассредотачивания
TMG передает сигнатуру в функцию NIS
Сейчас все внутренние машины за TMG защищены до того времени, пока не будет разработана заплата в компании Microsoft, которую позже распространят через Windows Update, WSUS либо другую систему рассредотачивания.

GAPA

Для сотворения сигнатуры уязвимости Microsoft употребляет протокол GAPA (Generic Application Protocol Analyzer – анализатор типовых протоколов прикладного уровня). В TMG служба NIS базирована на GAPA.

GAPA – база для надежного и резвого низкоуровневого поиска данных по протоколу. GAPA был сконструирован компанией Microsoft. GAPA употребляет язык GAPAL (Generic Application Protocol Analyzer Language – язык анализатора типовых протоколов прикладного уровня). В согласовании с документацией компании Microsoft, GAPA дает возможность стремительно создавать анализаторы протоколов, существенно понижая время на их разработку.

Обзор системы Network Inspection System

Настройка NIS в Forefront TMG очень ординарна и просит всего нескольких шагов. На последующем рисунке вы видите сигнатуры, приобретенные по дефлоту при установке TMG. При желании можно сгруппировать сигнатуры для упрощения поиска определенных сигнатур.

Понятие о службе NIS (Network Inspection Service – служба проверки сети) и ее настройка
Прирастить

Набросок 1: Система предотвращения вторжений

В качестве первого шага определяются опции NIS по дефлоту. Можно найти исключения при сканировании службой NIS. Принципиально также настроить автоматическое обновление сигнатур. Можно настроить предупреждение, появляющееся в случае, если обновление сигнатур не выполнялось конкретное число дней. Стандартно это 45 дней. Реакция по дефлоту для новых сигнатур от Microsoft – Response only (Только ответ). Если желаете, сможете поменять реакцию по дефлоту.

Понятие о службе NIS (Network Inspection Service – служба проверки сети) и ее настройка

Набросок 2: Определение опций обновления

В панели задач NIS можно скинуть деяния по настройке NIS и реакции для всех сигнатур NIS. Действие по дефлоту – перекрыть либо только определять уязвимость сетевого трафика зависимо от опций сигнатуры (см. след. Набросок).

Понятие о службе NIS (Network Inspection Service – служба проверки сети) и ее настройка

Набросок 3: Сброс опций NIS

Из каждой сигнатуры можно получить подробную информацию об уязвимости. Также можно установить действие по дефлоту для данной сигнатуры (только определять либо перекрыть).

Понятие о службе NIS (Network Inspection Service – служба проверки сети) и ее настройка

Набросок 4: Характеристики сигнатуры

Если вы желаете получить подробную информацию о сигнатуре, нажмите на вкладку Details, после этого вам будет предоставлена подробная информация. Также для каждой сигнатуры в Microsoft выпустили номер CVE, по которому можно отыскать более подробную информацию об угрозы от уязвимости. Подробную информацию о определенной опасности можно отыскать на веб-сайте бюллетеней по безопасности компании Microsoft.

Понятие о службе NIS (Network Inspection Service – служба проверки сети) и ее настройка

Набросок 5: Характеристики сигнатуры – Подробности

Как проверить функциональность NIS

Одним из методов проверить функциональность NIS является открытие испытательной сигнатуры в веб-браузере, после этого вы увидите, работает ли NIS так, как ожидалось. В TMG есть тестовая сигнатура. Введите в вашем веб-браузере URL для проверки NIS. Если система работает, попытка открыть сайт должна блокироваться TMG, и при всем этом должно появляться предупреждающее сообщение.

Опции предупреждений в TMG

Если компонент NIS определяет либо перекрывает сетевой трафик из-за нахождения некоторой сигнатуры, предупреждающее действие по дефлоту в TMG заключается в том, чтоб сделать запись в журнальчике событий на сервере TMG. Предупреждающие деяния настраиваются в секции alert в TMG. Также вероятны другие деяния, к примеру, выполнение какой-нибудь программки либо остановка службы.

Понятие о службе NIS (Network Inspection Service – служба проверки сети) и ее настройка

Набросок 6: Определения предупреждений в NIS

Заключение

В этой статье я предоставил обзор функций системы NIS в Microsoft Forefront Threat Management Gateway. Также я попробовал обрисовать функциональность NIS и поведать о том, как админы могут защищать свои сети от атак на разные уязвимости. Способности NIS – массивное орудие в руках админов TMG в борьбе против попыток проникания со стороны злоумышленников.

Ссылки по теме

Overview of GAPA and GAPAL(Обзор GAPA и GAPAL)
Forefront Threat Management Gateway Beta 2
Forefront TMG Beta 2 is Released (Выпущен Forefront TMG Beta 2)
What’s new in Forefront TMG Beta 2 (Part 1) (Что нового в Forefront TMG Beta 2 – часть 1)
Installing and configuring Microsoft Forefront TMG Beta 2(Установка и настройка Microsoft Forefront TMG Beta 2)
Microsoft Security Bulletin Search (Поиск бюллетеней по безопасности от Microsoft)

Аналогичный товар: Комментирование на данный момент запрещено, но Вы можете оставить ссылку на Ваш сайт.

Комментарии закрыты.