İlginizi Çekebilir
  1. Ana Sayfa
  2. ISA Server
  3. Thread Management Gateway (TMG) – NETWORK INSPECTION SERVICE

Thread Management Gateway (TMG) – NETWORK INSPECTION SERVICE

Bildiğiniz gibi yerini ’e bırakmak üzere. Her ne kadar beta versiyonları tüm özellikleri barındırmasa da , halihazırda sunulan özellikler ile bile, Microsoft’un neden isim değişikliğine gitmeye karar verdiğini anlayabiliyoruz. Günümüzde saldırıların ve tehditlerin büyük bir bölümü application katmanından gelmektedir. Microsoft ta bu gerçeği gözarda etmeyerek heyecanla beklenen ’yi, klasik firewall cihaz /server’larına oranla değişik özellikler ile donatmışa benziyor. Bu makalede Network Inspection Services’ı inceliyor olacağız.Thread Management Gateway’de ki özelliklerine bakmadan önce IPS ve tekniklerine biraz değinelim.

TMG zaafiyet’e dayalı bir Intursion Prevention Systemidir. (IPS). IPS’in temel görevi lokal networkunuzu bilinen ve bilinmeyen zaafiyertlere karşı korumaktır. Tabi ki network tasarımınızın da bu şekilde yani TMG server’in internet’ten gelen trafiği ilk olarak kontrol edecek cihaz olması da gerekmektedir.

IPS iki seviye olarak tanımlanabilir:

  • Sistem
  • Çözüm

Sistem seviyesinde IPS bir çok değişik güvenlik mekanizmanın birleşmesidir.

Çözüm seviyesinde ise tıpkı TMG’de olduğu gibi IPS lokal networku korumakla görevlidir ve networkun en ucuna yerleştirilir.

TMG imza tabanlı bir IPS sistemidir. İmza tabanlı IPS’ler lokal neworkunuzu, daha önceden bulunmuş olan zaafiyertleri kullanarak tehdit oluşturmak isteyen ataklara karşı korur. Bildiğiniz gibi güvenlik açıklarına karşı üretici en kısa zamanda yama geliştirir. Güvenlik açığı açıklandıktan, yama yayınlanan kadar ki süre ise heran bir tehditle karşı karşıya gelebilirsiniz. İşte imza tabanlı IPS bu süre için koruma sağlamaktadır. Tecrübelere göre yamalar sisteme yüklenene kadar çoktan saldırganlar ilgili açıkla ilgili exploitler geliştirmiş olabiliyor. İmzalar ise yamaya göre çok daha çabuk dağıtılabilmektedir.

Zero day zaafiyetleri (sıfır gün zaafiyetleri)

Zero Day zaafiyetleri sistemin zaaf olan bölgelerine yapılan saldırılardır. Tipik bir saldırıya karşı korunma aşağıdaki adımlaradn oluşur.

  • Zaafiyet keşfedilir.
  • Microsoft Response Takımı (MRT) zaafiyet imzasını çıkartır ve test eder
  • Microsoft imzayı yayınlar
  • TMG çıkan imzayı kullanmaya başlar.
  • TMG arkasındakli tüm bilgisayarlar Microsoft tarafından yama yayınlanana kadar korunmuş olur.

GAPA

  • Microsoft bu protokolu kullanarak imza hazırlamaktadır. TMG’de NIS te bu protokolu baz alır.
  • GAPA sayesinde imza üretimi gayet hızlı olabilmektedir.

(NIS)

IPS gibi kavramlara göz attıktan sonra TMG ile birlikte gelen NIS çözümünü incelemeye başlayalım.

1. TMG’de NIS konfigurasyonu gerçekten çok kolaydır ve sadece birkaç adımdan oluşur. Aşağıdaki görüntüde Intrusion Prevension System linkine tıkladığınızda karşınıza gelecek olan standart imza listesini bulabilirsiniz.

NIS
Resim-1

2. İlk olarak default Network Inspection ayarları yapılmalıdır. Bu bölümde yapılması gereken en onemli ayar NIS automatic definition güncellemesidir. Eger güncellemerin yüklenmesi ile ilgili bir sorun olursa sistem uyarı da gönderecek şekilde ayarlanabilir. Belirli bir gün kada update olmazsa uyarı tetikle gibi. Deafult ayar 45 gündür. Yeni uygulanmış bir imza için Microsoft’un ilk aksiyonu  “response”olarak ayarlanmıştır. Tabi ki isteğe bağlı olarak bu ayarlar da değiştirilebiliyor.


Resim-2

3. NIS menusunde tüm NIS kofigurasyonunu ve ve NIS imzalarına karşı alınacak aksiyonları resetleme imkanı vardır. Default aksiyon engellemek (block) veya sadece tespit et (only detect)


Resim-3

4. Her bir imzada zaafiyet ile ilgili detaylı bilgiye ulaşılabileceği gibi alınacak aksiyon da belirlenebilmektedir.


Resim-4

5. Details tabında imza ile ilgili çok daha detaylı bilgilere ulaşabilirsiniz. Herbir imza için Microsoft bir CVE numarası yayınlar. Microsoft bulletin sayfalarında bu numaraları kullanarak imza hakkında daha detaylı bilgi sahibi de olunabilmektedir. NIS ile ilgili nasıl bir test yapabiliriz ki çalışıp çalışmadığını veye nasıl bir tepki verdiğini görebilelim ?. TMG ile beraber bir test imzası gelmektedir. Aşağıdaki linke giriş yaptığınızda TMG sayfaya erişimi engellemelidir.

http://www.contoso.com/testNIS.aspx?testValue=1!2@34$5%256%5e%5b%7BNIS-test-URL%7D%7d1!2@34$5%256%5e

Eger NIS imza ile eşleşen bir durum yaklarsa TMG alert bölümünde bir alert aksiyonu oluşur ve Event Loga da kayıt düşer.


Resim-5

Bu makelede TMG ile birlikte gelen Network Inspection System (NIS) özelliğini tanımış olduk. Konfigurasyonu oldukça kolay olan bu özellik network güvenliği için olmazsa olmaz bir komponent olacağa benziyor. Yazımın başında da belirttiğim gibi günümüzde atakların büyük bir bölümü application layer seviyesinde gelmektedir. TMG sayesinde bu ataklar ile lokal networke geldikten sonra değil en uçta savaşabiliyor olacağız.

Bu konuyla ilgili sorularınızı https://forum.mshowto.org linkini kullanarak ulaşacağınız forum sayfamızda sorabilirsiniz.

Referanslar

Yorum Yap

Yazar Hakkında

Doğum tarihi: 28/03/1978 Lise. Özel Ortadoğu Koleji Üniversite : Çanakkale 18 mart üniversitesi –Japon Dili IT eğitim : Netron MCSE,CCNA,A+Linux Sertifikalar: MCP /MCSA/MCSE-S,MCSE-M, CCNA,VCP İş Tecrübesi : Technics – Network Administrator Nestle Waters – Senior Systems and Network Administrator Borusan Telekom – Sistem Destek Mühendisi

Yorum Yap