De TMG en FEP zijn beide uitgerust met Network Inspection System, afgekort NIS. NIS is een techniek waarbij de gebruiker beschermt wordt tegen bekende exploits. Op het moment dat een gebruiker het netwerk opgaat loopt hij het risico dat hij wordt aangevallen. Een aanvaller zal dan een bekende (remote) exploit gebruiken om toegang tot het systeem van de gebruiker te krijgen. Bijvoorbeeld: CVE-2009-2532 (http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2009-2532). In het geval van deze exploid maakt de aanvaller gebruik van een speciaal geformuleerd SMBv2 pakketje. Op deze manier kan de aanvaller dan een commando laten uitvoeren. Nu maakt Microsoft regelmatig updates om deze exploits te dichten, maar het maken van een patch kost tijd. Daarnaast zullen de meeste organisaties niet direct een patch willen. Al die tijd loopt het systeem het risico om aangevallen te worden. Hier komt NIS kijken. NIS patcht niet het systeem, maar herkent de aanval. Dit doet hij op basis van een signature herkennig in de netwerk pakketten. Als deze overeenkomt met de signature van een bekende exploit zal hij deze tegenhouden. Hiervoor beschikt NIS over een database met signatures. Nu krijgt een beetje TMG een heleboel netwerk te verstouwen. Als hij van elk pakketje moet gaan controleren tegen elk mogelijk signature zal dit de performance niet ten goede komen. Om te voorkomen dat elke pakketje tegen elke signatuur gehouden wordt onderzoekt NIS eerst wat voor pakketje het is. Op het moment dat een pakketje binnenkomt kijkt NIS eerst of het TCP of UDP is. Daarna kijkt hij een niveau hoger. Het kan dan bijvoorbeeld http of ftp verkeer zijn. Als het http is kijkt hij naar eventuele onderliggende protocollen en dan naar eventuele extensies. Pas als hij precies weet welk protocol met welke extensie het is zal hij kijken of er een bijpassende signature is. Door op deze manier te kijken naar de netwerk stream hoeft NIS niet alles te vergelijken. Dit scheelt veel tijd en resource van de Thread Management Gateway en dus zal de gebruiker sneller zijn verkeer binnen krijgen. 
|