Binnen elke organisatie kunnen gebruikers vandaag de dag internet op. Nu is internet niet een ongevaarlijke plaats om te zijn. Er zijn nogal wat risico’s verbonden aan het surfen op internet. De TMG heeft een aantal mechanismes om de gebruiker te beschermen tijdens zijn bezoek op internet. In deze blog wil ik stil staan bij de verschillende technieken die TMG gebruikt om de gebruiker te beschermen.
Malware Inspection
Bij het bezoeken van internet zullen gebruikers, naast het bezoeken van websites, ook zaken willen downloaden. Soms zijn dit onschuldige zaken, zoals een foto van hun schoonmoeder, en soms is dat het niet, zoals een stukje software.
De TMG heeft een ingebouwde antivirus engine. Op het moment dat een gebruiker een download opdracht geeft zal deze eerst op de TMG gedownload worden. Deze controleert de download op de aanwezigheid van een virus. Is deze niet aanwezig, dan kan de gebruiker de download lokaal opslaan.
URL Filtering
Het idee achter URL filtering is niet nieuw. De mogelijkheid om speciale URLs te blokken of juist toe te staan kennen we ook al uit de ISA server. Het grootste probleem bij veel van deze methodes is dat je zelf als beheerder dan de filter up-to-date moet houden. In de TMG wordt dit gedaan door de Microsoft Reputation Service. Er zijn verschillende categorieën die gebruikt kunnen worden. Hieronder vallen categorieën zoals Porno, Botnets, Games, Free Hosting enzovoort. Als beheerder kun je dan aangeven van welke categorie je gebruik wilt maken en van welke niet.
HTTP Filtering
HTTP is een protocol dat nogal wat toelaat. Zo kun je via HTTP websites opvragen, webapplicaties gebruiken (bijv webmail) en downloaden/uploaden. Doordat er veel verschillende type verkeer via HTTP binnen kan komen wil je dit misschien wel beperken. Dit kun je doen met HTTP filtering. Met HTTP filtering kun je bepalen welk HTTP verkeer je wel wilt toestaan en welk http verkeer niet. Bijvoorbeeld het verbieden van de POST op een speciale website, of het downloaden van *.avi bestanden van een andere website.
Network Inspection System (NIS)
NIS is een onderdeel van Intrusion Prevention System (ISP) van de TMG. NIS inspecteert alle web requests van elke gebruiker op bekende aanvallen. Aanvallen die via een webrequest worden uitgevoerd op de gebruikers werkplek. Dit soort aanvallen worden verstopt in een HTTP request. De betreffende HTTP request zorgt er voor dat de gebruikers browser iets gaat doen wat we niet willen. NIS houdt dit soort bedreigingen bij de poort tegen. Elk request van een gebruiker wordt door de NIS geïnspecteerd op de bekende bedreigingen.
HTTPS Filtering
Wat we tegenwoordig steeds vaker zien is dat een “foute” website over HTTPS gaat werken. Het voordeel hiervan (voor de hacker) is dat onze inspectie systemen (zoals de TMG) er niet in kunnen kijken. Erg slim dus, want op die manier komen virussen en hackers toch binnen. In de TMG hebben ze dit opgelost met HTTPS filtering. De TMG terminate de SSL verbinding. Hij krijgt dan leesbaar HTTP verkeer, inspecteert dit en versleutelt het weer richting de browser op de client. Om dit mogelijk te maken zal de TMG tijdens de installatie een eigen certificaat creëren of je wijst hem er eentje toe. Dit certificaat wordt dan gebruikt om al het verkeer richting de cliënt te encrypten.
Conclusie
De Thread Manager Gateway zorgt er voor dat web bedreigingen, zoals virussen, aan de poort tegen gehouden worden. Hierdoor komen deze bedreiging niet langer op het interne netwerk terecht, maar blijven ze daar waar ze horen. Aan de buitenkant van het netwerk.