Jedna z tych nowych funkcji przybiera postać nowego węzła w lewym polu konsoli zapory TMG. Ten nowy węzeł o nazwie Web Access Policy (Polityka Dostępu do Sieci) dostarcza lokalizacji, gdzie można skonfigurować zaporę TMG w taki sposób, aby dopuszczała zewnętrzne protokoły HTTP, HTTPS i połączeń FTP poprzez sieć proxy do Internetu. Wydaje się, że zmiany te reprezentują zwiększony nacisk na HTTP dla produktu. Podczas gdy poprzednie wersje ISA Firewall posiadały wyszukany filtr sieci proxy oraz HTTP Security Filter, zapora TMG przechodzi do wyższego poziomu poprzez dodanie inspekcji złośliwego oprogramowania dla zapytań z zewnętrznego protokołu HTTP.
Przegląd zakładki zadań na węźle Web Access Policy
Jedną z pierwszych rzeczy, jaką zauważysz, gdy otworzysz konsolę zapory TMG, jest bardziej przejrzysty wygląd lewego pola konsoli. Mamy tu jeden poziom pod nazwą serwera i nowe gałęzie węzła, prowadzące do własnych opcji administratora zapory ISA. Na poniższym rysunku widać nowy węzeł Web Access Policy.
Rysunek 1
Gdy wejdziesz do węzła Web Access Policy i klikniesz zakładkę Tasks w polu zadań, zobaczysz, że zespół TMG uprościł wiele rzeczy poprzez stworzenie „one-stop shop” („zrób wszystko w jednym miejscu”) dla dostępu do sieci i konfiguracji filtra sieci proxy. Te dwa główne zadania to: Configure Web Access Policy (Skonfiguruj Politykę Dostępu do Sieci) oraz Configure Malware Inspection (Skonfiguruj Inspekcję Złośliwego Oprogramowania) – oba zadania są nowością w zaporze Forefront TMG. W zbiorze Related Tasks możesz także zobaczyć, że połączono zadania konfiguracji filtra sieci proxy i HTTP, aby znajdowały się na pojedynczej liście.
Rysunek 2
Popatrzmy na te zadania zanim przejdziemy do szczegółów tworzenia Polityki Dostępu do Sieci. Najpierw klikamy na link Configure Malware Inspection w zakładce Tasks w Polu Zadań (Task Pane). Pokaże się okno dialogowe Malware Inspection i zakładka General. Masz tu opcję włączenia lub wyłączenia inspekcji złośliwego oprogramowania dla całego systemu. Zauważ, że włącza to inspekcję złośliwego oprogramowania dla systemu, a nie dla konkretnej zasady. Musisz najpierw włączyć to właśnie tutaj, zanim będziesz mógł uaktywnić to dla konkretnej reguły albo – jak zobaczymy później – któregokolwiek ze zbiorów zasad Dostępu do Sieci.
Rysunek 3
Kliknij na zakładkę Exceptions. Możesz tu stworzyć listę stron, których zawartości nie chcesz nigdy sprawdzać pod kątem złośliwego oprogramowania. Grupa Sites Exempt from Malware Inspection (Strony Wolne od Inspekcji Złośliwego Oprogramowania) zostaje automatycznie zawarta.
Rysunek 4
Jeśli klikniesz na wpis Site Exempt from Malware Inspection na powyższej liście i klikniesz przycisk Edit, zobaczysz strony zawarte w zestawie nazwy domeny Sites Exempt from Malware Inspection. Strony te to: *.microsoft.com, *.windows.com oraz *.windowsupdate.com. Możesz dodać więcej stron, jeśli chcesz.
Pojawia się tu interesujący problem dotyczący bezpieczeństwa. Możesz się chronić, ograniczając ilość stron, do których dostęp będzie możliwy oraz sprawdzając zawartość pod kątem złośliwego oprogramowania. I możesz zdecydować się na oba wyjścia. Filozofia, kryjąca się za inspekcją połączeń pod kątem złośliwego oprogramowania, jest taka, że nawet jeżeli strona jest zaufana, nadal istnieje niebezpieczeństwo, że może być naruszona przez malware. Czy w takim przypadku wykluczanie stron z inspekcji zawartości ma sens? Nie znam ostatecznej odpowiedzi, ale każdy powinien sam zdecydować czy wykluczyć dodatkowe strony z inspekcji złośliwego oprogramowania.
Rysunek 5
Na stronie Inspection Settings masz wiele opcji odnośnie tego, w jaki sposób system oceni złośliwe oprogramowanie. Opcje te są następujące:
- Attempt to clean infected files /Spróbuj wyczyścić zainfekowane pliki/. TMG będzie próbował wyczyścić plik. Jeśli plik nie może być wyczyszczony, nie jest zapisywany i zostaje usunięty z magazynu. Strona pokaże użytkownikowi, że plik nie mógł być wyczyszczony i został usunięty.
- Block files with low and medium severity threats (higher level threats are blocked automatically) /Blokujpliki stanowiące niskie i średnie zagrożenie (wyższy poziom zagrożenia blokowany jest automatycznie)/.Podnosi towrażliwość skanera. Jednak sposób, w jaki TMG określa co jest niskim, średnim czy wysokim zagrożeniem, nie został jeszcze opisany w pliku pomocy.
- Block suspicious files /Blokuj podejrzane pliki/. Blokuje to pliki, które TMG uważa za podejrzane. Jednak metoda określania czy plik jest podejrzany nie jest wyszczególniona na razie w pliku pomocy.
- Block corrupted files /Blokuj uszkodzone pliki/. Blokuje to pliki, które TMG rozpoznaje jako uszkodzone. Jednak na tę chwilę plik pomocy nie określa sposobu, w jaki zapora TMG definiuje fakt uszkodzenia pliku.
- Block files that cannot be scanned /Blokuj pliki, które nie mogą zostać przeskanowane/.Blokuje to pliki, których TMG nie może przeskanować. Jednak sposób, w jaki TMG określa, że pliku nie można przeskanować, nie jest opisany w pliku pomocy.
- Block encrypted files /Blokuj zaszyfrowane pliki/.Sprawi to, że TMG będzie blokował pliki, które są zaszyfrowane.
- Block files if scanning time exceeds (seconds) /Blokuj pliki, jeżeli czas skanowania został przekroczony (sekundy)/. Ta opcja umożliwia ustanowienie limitu czasu jaki TMG będzie miał na skanowanie pliku, zanim je przerwie i usunie plik. Domyślna wartość to 300 sekund (5 minut).
- Block files if archive depth level exceeds /Blokuj pliki, jeżeli przekroczony zostaje poziom głębokości archiwum/. Ustanawia to limit na to ile razy plik może być zaapisany w archiwum, zanim TMG go usunie. Przykładem może być plik zip, który jest pakowany ponownie. Często się zdarza, że malware próbuje się ukryć poprzez wielokrotną archiwizację. Domyślna wartość to 20.
- Block files larger than (MB) /Blokuj pliki większe niż (MB)/. Ustanawia to limit rozmiaru pliku, jaki może być ściągany poprzez filtr sieci proxy zapory Forefront TMG. Domyślna wartość to 1000 MB.
- Block archive files if unpacked content if larger than (MB) /Blokuj pliki archiwalne, jeżeli nierozpakowana zawartość jest większa niż (MB)/.Ustanawia to limit rozmiaru nierozpakowanych plików. Domyślna wartość to 4095 MB.
Jak widzisz, jest tu wiele opcji. Osobiście uważam, że niektóre z limitów są trochę za wysokie i mogą potencjalnie nadwyrężać pamięć i wydajność dysku, ale jeśli posiadasz super sprzęt (poczwórny procesor, ponad 8 GB pamięci, szybkie dyski twarde), wartości te mogą wcale nie być tak nierozsądne.
Rysunek 6
Skanowanie złośliwego oprogramowania może być trochę nieprzyjemne dla zwykłych użytkowników. Jednym sposobem na ułatwienie pracy i ograniczenie ilości telefonów do biura pomocy jest wybranie „ograniczania” (trickle) użytkownikom plików w czasie skanowania. Użytkownicy będą widzieli pasek postępu, gdy plik jest ściągany, jak to pokażę później.
Zauważ, że musisz zaznaczyć pole wyboru w Send progress notifications to clients as files are downloaded and inspected (applies to the second content types only) /Wysyłaj powiadomienia o postępie klientom w czasie, gdy pliki są ściągane i sprawdzane/, jeśli chcesz, aby użytkownicy mieli pasek postępu.
I tu jest mały problem. Wydaje mi się, że jeśli wybierzesz tę opcję, nie będziesz miał ograniczanej częściowej zawartości. W zamian dostaniesz pasek postępu na stronie WWW, którą później pokażę, i tylko dla wybranych przez Ciebie typów zawartości, gdy klikniesz przycisk Content Types. Jeżeli nie wybierzesz tej opcji, użytkownicy będą widzieć okno dialogowe ściągania, które może iść wolniej niż wtedy, gdy zawartość nie byłaby sprawdzana.
Nie sprawdzałem jednak każdego z powyższych scenariuszy, więc nadal nie jest jasne, czego doświadczy użytkownik.
Rysunek 7
Oto lista typów MIME, które określają czy zawartość będzie ograniczana, czy nie w zależności od decyzji, jaką podjąłeś w poprzednim oknie dialogowym. Jak widzisz, większość typów MIME jest wybrana poprzez powiadomienie o postępie, a nie poprzez ograniczanie.
Rysunek 8
Rysunek poniżej pokazuje to, co widzi użytkownik w czasie, gdy ściąga plik przy włączonych powiadomieniach o postępie. W tym przykładzie pokazałem postęp ściągania programu Open Office (nie, żebym używał Open Office’a, ale potrzebowałem na tyle dużego pliku, żebym mógł zrobić zrzut ekranu).
Rysunek 9
Gdy ściąganie pliku zostaje zakończone, przeglądarka poinformuje użytkownika, że w pliku nie wykryto żadnego złośliwego oprogramowania i że użytkownik może kliknąć w przeglądarce przycisk Download, aby ściągnąć czysty plik.
Rysunek 10
Przejdźmy do ostatniej zakładki w oknie dialogowym Malware Inspection. Jest to zakładka Storage. Możesz tu skonfigurować lokalizację, gdzie ściągnięte pliki będą przechowywane do sprawdzania pod kątem złośliwego oprogramowania.
Rysunek 11
Przyjrzałem się plikowi Windows\Temp, aby sprawdzić czy jest tam coś interesującego. Okazuje się, że zapora Forefront TMG przechowuje mnóstwo plików w tym folderze, co pokazuje rysunek poniżej. Nie wiem co te wszystkie pliki robią w tym folderze, ale wygląda na to, że jest tam wiele plików rejestru. Myślę, że pliki .etl są to logi „trace”, ale nie mogę tego stwierdzić na pewno.
Rysunek 12
Ustawienia zabezpieczeń w tym folderze są ciekawe. Jak widzisz, konto SQLServer2005ReportingServiceWebServiceUsers$ISAS ma uprawnienia do tego folderu. Pod tym folderem jest jeszcze jeden o nazwie Emp i konto fwsrv ma PEŁNĄ kontrolę.
Rysunek 13
Podsumowanie
W pierwszej części tej trzyczęściowej serii na temat Polityki Dostępu do Sieci w Bramie Forefront Threat Management Gateway (TMG) omówiliśmy niektóre z opcji konfiguracji anty-malware oraz wpisy w zakładce Tasks w węźle Web Access Policy konsoli zapory TMG. W kolejnej części tej serii przyglądniemy się dokładnie innym opcjom w zakładce Tasks Pola Zadań Web Access Policy.
Tłumaczenie: Małgorzata Kotlińska, Rzeszów
