728x90 AdSpace

  • Latest News

    Được tạo bởi Blogger.
    Thứ Ba, 26 tháng 8, 2014

    Phát hiện và ngăn chặn xâm nhập trong Forefront TMG – Phần 2: NIS

    nino24 ) - Phát hiện và ngăn chặn xâm nhập trong Forefront TMG – Phần 2: NIS
    Quản trị mạng – Trong phần hai của loạt bài này, chúng tôi sẽ giới thiệu về các tính năng phát hiện và ngăn chặn xâm nhập nâng cao của TMG firewall.
    Như đã giới thiệu trong phần một, phần hai này chúng tôi sẽ tập trung vào việc giới thiệu về Network Inspection System (NIS). Trước tiên đi sâu tìm hiểu các tính năng của thành phần này, chúng ta hãy đi tìm hiểu xem Network Inspection System (NIS) là gì.

    Network Inspection System

    Network Inspection System (NIS) là một hệ thống phát hiện và ngăn chặn xâm nhập hoàn toàn mới, nó được giới thiệu lần đầu tiên trong Forefront Threat Management Gateway (TMG) 2010. NIS phân tích lưu lượng mạng và thực hiện việc thanh tra giao thức mức thấp để phát hiện và ngăn chặn tấn công dựa trên lỗ hổng trong hệ điều hành và ứng dụng của Microsoft. NIS hoạt động dựa trên chữ ký số. Các chữ ký này được phát triển bởi Microsoft Malware Protection Center (MMPC). Chúng được Microsoft cung cấp cho NIS cùng với các nâng cấp bảo mật được phát hành trong suốt chu trình phát hành nâng cấp thông thường của Microsoft (vào thứ Ba tuần thứ hai hàng tháng) hoặc có thể được phát hành không theo kế hoạch để đáp trả cho hiểm họa zero-day nếu cần.
    NIS được thiết kế để tránh lỗ hổng đã biết đến trong hệ điều hành và ứng dụng của Microsoft bị khai thác từ xa. Tập chữ ký số chỉ tương đối nhỏ nhưng lại rất có ý nghĩa. Bí mật của sự hiệu quả của NIS nằm ở ngôn ngữ phân tích giao thức có tên gọi GAPA (Generic Application-level Protocol Analyzer). GAPA không khác biệt  so với chức năng phân tích cú pháp giao thức được cung cấp bởi Network Monitor. Kiểu thanh tra này cho kết quả chính xác hơn nhiều so với kiểu phân tích theo byte vẫn gặp. NIS phân tích gói dữ liệu ở tầng giao thức, cấu trúc gói tin và nội dung tin. Nó có thể nhận dạng và khóa chặn tấn công nhắm vào lỗ hổng đã được biết trước. Ngoài ra NIS cũng có thể nhận dạng sự bất thường trong giao thức và ngăn chặn sự lạm dụng giao.
    Kỹ thuật NIS có trong nhiều sản phẩm bảo vệ Forefront, gồm có các sản phẩm bảo vệ máy chủ như Forefront Protection for Exchange (FPE) và SharePoint (FPSP) cũng như sản phẩm bảo vệ máy khách như Forefront Endpoint Protection (FPE) và Microsoft Security Essentials (MSE). Khi NIS được triển khai, Microsoft có thể thu thập thông tin phản hồi về kiểu tấn công đã và đang diễn ra và sử dụng thông tin này nhằm cải thiện chất lượng của các nâng cấp cho chữ ký số.
    Khi một gói dữ liệu được cho phép bởi chính sách tường lửa và được thanh tra bởi bộ lọc giao thức, cỗ máy chính sách NIS sẽ thực hiện việc thanh tra giao thức mạng mức thấp bằng cách sử dụng tập chữ ký số hiện đã được cài đặt. Nếu có sự trùng khớp xuất hiện, NIS sẽ đưa ra hành động dựa theo chính sách đã được thiết lập trước (khóa chặn hoặc phát hiện) và đưa ra cảnh báo. NIS hỗ trợ việc thanh tra giao thức mạng cho DNS, HTTP, IMAP, MIME, MSRPC, POP3, SMB và SMTP. Tương lai,Microsoft có thể bổ sung thêm một số giao thức nếu nhu cầu tăng cao.

    Kích hoạt và cấu hình NIS

    NIS có thể được kích hoạt và cấu hình bằng cách sử dụng Getting Started Wizard và kích liên kết Define Deployment Options, sau đó chọn Activate complementary license and enable NIS.

    Hình 1
    Thiết lập NIS Signature Update Settings và chọn automatic definition update action. Bạn có thể chọnCheck for an install definitions (recommended)only check for definitions, hoặc no automatic action. Chọn Automatic polling frequency và chỉ định ngưỡng cảnh báo nâng cấp.

    Hình 2
    Định nghĩa New Signature Set Configuration bằng cách chọn chính sách đáp trả mặc định cho các chữ ký mới. Bạn có thể chấp nhận Microsoft default policy (recommended)Detect only response, hoặc No response (disable signature).

    Hình 3
    Khi NIS được kích hoạt và được cấu hình xong, bạn có thể truy cập cấu hình NIS bằng cách mở TMG management console, đánh dấu Intrusion Prevention System, sau đó chọn tab Network Inspection System (NIS) trong giao diện điều khiển chính. Ở phía trên cửa sổ chính, bạn có thể xem trạng thái NIS Status,Signature Set VersionNew Signature Response: và Update Action:.

    Hình 4
    Kích vào bất kỳ liên kết nào sẽ xuất hiện trang thuộc tính của NIS. Trong tab General bạn có thể kích hoạt hoặc vô hiệu hóa toàn bộ NIS.

    Hình 5
    Trên tab Exceptions, bạn có thể định nghĩa đối tượng mạng (mạng, tập các mạng, máy tính, tập các máy tính, dải địa chỉ, mạng con hoặc tập các miền,…) cần được loại trừ khỏi sự thanh tra NIS. Việc miễn thanh tra một số lưu lượng mạng cần thiết trong một số tình huống, ví dụ như hệ thống tin cậy trao đổi rất nhiều thông tin và bạn cần giảm tải trọng trên TMG firewall, hoặc có thể là một ứng dụng sử dụng giao thức mạng không tuân theo các chuẩn RFC.

    Hình 6
    Trên tab Definition Updates, bạn có thể xem lại và thay đổi thiết lập cho các nâng cấp và việc cảnh báo cũng như chính sách đáp trả mặc định đối với một chữ ký mới. Mặc định, Microsoft sẽ cho phép chọn các trường hợp: để chữ ký sẽ được kích hoạt, được thiết lập để khóa hoặc chỉ phát hiện. Quyết định này được đưa ra dựa trên kiểu chữ ký và sự tin tưởng của chúng. Bằng cách kích Version Control…, quản trị viên  có thể “roll back” về tập chữ ký trước nếu cần. Chiêu thức này khá cần thiết khi tập chữ ký mới phát sinh vấn đề trong môi trường mạng của bạn. Nếu chọn tùy chọn này, bạn sẽ thấy một chỉ thị cảnh báo “activating an older NIS signature set may expose your network to newly discovered threats”.

    Hình 7
    Trên tab Protocol Anomalies Policy, quản trị viên có thể định nghĩa cách NIS đáp trả thế nào khi nó phát hiện ra lưu lượng mạng dị thường. Như được đề cập từ trước, NIS sẽ thực hiện việc thanh tra giao thức và có thể nhận diện khi lưu lượng không tuân theo RFC. Mặc định, NIS được cấu hình để cho phép lưu lượng dị thường, nhằm tránh khóa chặn lưu lượng hợp lệ. Nếu chọn khóa chặn lưu lượng dị thường, tăng độ bảo mật, thì rủi ro trong việc khóa chặn truyền thông hợp lệ cũng tăng.

    Hình 8

    Khám phám chữ ký số NIS

    Ở phần giữa của cửa sổ chính, bạn có thể quan sát tập chữ ký NIS hiện hành. Như những gì bạn có thể thấy, có khoảng 200 chữ ký được load. Có thể nhóm các chữ ký theo quan tâm của mình như: policy type, business impact, category, date published, severity, fidelity, protocol  status bằng cách chọn menu Group by:. Bạn cũng có thể phân loại bằng cách kích vào header cột. Bạn sẽ thấy chúng tôi phân loại chữ ký theo Date Published, cách thức phân loại cho phép xem nhanh chữ ký mới nhất vừa được bổ sung.

    Hình 9
    Kích đúp vào một chữ ký nào đó sẽ xuất hiện cửa sổ có chứa thông tin chi tiết về nó. Ở đây chúng tôi đã mở thuộc tính của chữ ký dựa trên lỗ hổng Win/MSIE.Redirect.RCE!CVE-2011-1262. Như những gì bạn có thể thấy, chính sách đáp trả cho chữ ký này được thiết lập là Microsoft default (recommended) và chữ ký được kích hoạt và được thiết lập ở trạng thái khóa. Quản trị viên có tùy chọn ghi đè chính sách đáp trả mặc định bằng cách kích Override. Ở đây, bạn có thể kích hoạt hoặc vô hiệu hóa chữ ký hay thay đổi chính sách đáp trả nếu cần.

    Hình 10
    Kích tab Details sẽ tiết lộ thêm thông tin về chữ ký, gồm có ứng dụng bị ảnh hưởng, hạng mục, số CVE, tác động doanh nghiệp, ngày xuất bản, đáp trả mặc định, trạng thái mặc định,… Có một trường để quản trị viên có thể bổ sung thêm lưu ý về chữ ký. Kích More help about this NIS signature online sẽ đưa bạn đến mục hỗ trợ kiến thức của Microsoft, nơi bạn có thể xem thêm thông tin chi tiết về các chữ ký.

    Hình 11

    Cấu hình đáp trả NIS

    Panel Tasks có nhiều liên kết đến vài nhiệm vụ cấu hình. Hai tùy chọn cấu hình quan trọng có thể truy cập ở đây là Set All Responses to Microsoft Defaults và Set All Responses to Detect Only. Nếu bạn muốn cấu hình NIS chỉ là một hệ thống phát hiện xâm nhập, hãy thiết lập chính sách đáp trả mặc định để chỉ phát hiện. NIS sẽ tiếp tục thanh tra lưu lượng nhưng sẽ chỉ cảnh báo chứ không khóa chặn. Cách thức này có thể hữu dụng khi kích hoạt NIS thời gian đầu trên mạng sản xuất. Sau khi tin tưởng rằng NIS sẽ không khóa chặn lưu lượng truyền thông thông thường, bạn có thể thiết lập tất cả các đáp trả với giá trị mặc định của Microsoft.

    Hình 12

    Các kiểu chữ ký số

    Có ba kiểu chữ ký của NIS:
    • Dựa trên lỗ hổng – Chữ ký dạng này sẽ phát hiện các khai thác đối với lỗ hổng đã biết trước. Chúng khác với các chữ ký dựa trên tấn công truyền thống vì có thể nhận dạng hầu hết các biến thể của những tấn công. Có nhiều chữ ký với độ chính xác cao và thường được kích hoạt để cho phép khóa mặc định.
    • Dựa trên sự khai thác – Chữ ký kiểu này giống như các chữ ký dựa trên tấn công truyền thống, chúng được thiết kế để phát hiện một khai thác rất cụ thể của lỗ hổng đã biết. Chúng cũng có độ chính xác cao và thường được kích hoạt để cho phép khóa mặc định.
    • Dựa trên chính sách – Đây là kiểu chữ ký có độ chính xác mức trung bình, chúng được thiết kế chủ yếu cho nhu cầu thẩm định. Không được kích hoạt mặc định. Nếu quản trị viên kích hoạt loại chữ ký này, chính sách đáp trả mặc định của chúng sẽ được thiết lập ở trạng thái chỉ phát hiện. Các chữ ký dựa trên chính sách này được tạo khi không thể tạo chữ ký dựa trên lỗ hổng hoặc dựa trên sự khai thác.
    • Ngoài ra còn nhiều chữ ký khác được tạo đặc biệt cho các mục đích test. Các chữ ký này được kích hoạt và thiết lập nhằm khóa chặn mặc định. Chúng có thể được sử dụng để bảo đảm TMG firewall và NIS đang thanh tra đúng lưu lượng mạng và cho kết quả đáp trả đúng.

    Nâng cấp chữ ký

    Kỹ thuật dựa trên chữ ký, NIS chỉ hiệu quả khi các chữ ký mới nhất được cập nhật một cách kịp thời. Các chữ ký này có thể được download từ Windows Update hoặc WSUS cục bộ. Để bảo đảm NIS đã được cập nhật đúng, đánh dấu nút Update Center trong cây giao diện điều hướng. Cửa sổ chính sẽ chỉ thị trạng thái nâng cấp cho cơ chế bảo vệ và sẽ có thông tin chi tiết về thời điểm nâng cấp xảy ra, số phiên bản của tập chữ ký hiện hành cũng như trạng thái đăng ký.

    Hình 13
    Nếu giao diện quản lý chỉ thị rằng các chữ ký NIS đã quá hạn, bạn có thể kiểm tra và cài đặt định nghĩa mới bằng cách sử dụng các liên kết tương ứng trong panel Tasks.

    Hình 14

    Kết luận

    Hệ thống phát hiện và ngăn chặn xâm nhập (IDS/IPS) là một thành phần cơ bản của bất cứ kiến trúc bảo mật mạng nào. Network Inspection System (NIS) của Forefront Threat Management Gateway là sự bổ sung duy nhất của IDS/IPS. Được thiết kế đặc biệt cho việc phát hiện và ngăn chặn lỗ hổng trong hệ điều hành và ứng dụng của Microsoft trước việc khai thác từ xa, NIS cung cấp một lớp bảo vệ giá trị cho mạng sử dụng sản phẩm của Microsoft. Với phạm vi hạn hẹp này, nó không được thiết kế để thay thế cho IDS/IPS mạng doanh nghiệp đang tồn tại mà chỉ bổ sung cho hệ thống này bằng cách cung cấp khả năng phát hiện và đáp trả các hiểm họa đối với tấn công dựa trên lỗ hổng của Microsoft đã được biết trước. Với các nâng cấp chữ ký được tạo bởi Microsoft Malware Protection Center (MMPC), NIS tỏ ra rất chính xác và hiệu quả, gây rất ít lỗi. NIS được gói gọn trong giá thành của một đăng ký TMG, do đó không cần đăng ký bổ sung để thực hiện chức năng này. Việc kích hoạt NIS trên Forefront TMG 2010 firewall sẽ cải thiện một cách đáng kể tình hình bảo mật cho toàn bộ tổ chức bạn.








    Nguồn :
    Người viết :
    Biên soạn lại : Nino 24



    Nhập địa chỉ email vào form bên dưới để nhận được tin từ đề tài này sớm nhất
    ( Vui lòng kích hoạt email khi nhận được link kích hoạt nhé )



    Nếu thấy hay thì click vào nút follow (G+) bên dưới nhé ! Thanks !

    Nếu thấy hay thì click vào nút thích (Like) bên dưới nhé ! Thanks !
    • Nino24 Comments
    • Facebook Comments
    Item Reviewed: Phát hiện và ngăn chặn xâm nhập trong Forefront TMG – Phần 2: NIS Rating: 5 Reviewed By: Poster
    Scroll to Top