Suchen

Microsoft Forefront Stirling soll Security-Tools bündeln – Teil 3 IDS-, NAP- und Policy-Funktionen innerhalb der neuen Security-Suite

Autor / Redakteur: Johann Baumeister / Stephan Augsten

Unter der Familie Forefront ordnet Microsoft seine gesamten Sicherheitstools ein. Diese Suite wird derzeit von Microsoft unter dem Codenamen „Stirling“ überarbeitet. Was Stirling umfasst und wie es die Sicherheitskonzepte verändert stellen wir in dieser Reihe vor.

Firmen zum Thema

Microsoft Forefront Stirling umfasst weitreichende Funktionen zur Abwehr von Eindringlingen.
Microsoft Forefront Stirling umfasst weitreichende Funktionen zur Abwehr von Eindringlingen.
( Archiv: Vogel Business Media )

Der ISA-Server übernimmt heute den Schutz des Netzes am Perimeter. Er stellt damit im Kern eine Firewall mit VPN-Zugangsverwaltung dar.

Microsoft beabsichtigt, den ISA-Server in Zukunft zu einem umfassenden Threat Management Gateway (TMG) zu erweitern. Das TMG übernimmt dabei eine umfassende Überwachung jeglichen Datenverkehrs, die über jene Untersuchungen hinausgeht, die der ISA heute bereits macht.

Content Filter zur weiteren Untersuchung

Änderungen sind auch hinsichtlich des Content-Filter Forefront für Exchange und Sharepoint angekündigt. Diese werden noch mehr in Richtung eines Content-Filters für jeglichen Datenverkehr, vom oder zum Exchange-Server und Sharepoint-Server, ausgebaut.

So ist geplant, eine weitere und vor allem auch tiefergehende Untersuchung der ausgetauschten Daten durchzuführen. Zur Analyse der übermittelten Anhänge betrachten viel der Tools lediglich die Dateierweiterungen, wie etwa MP3 oder TXT.

Diese Schutzmechanismen lassen sich allerdings durch einen versierten Benutzer leicht aushebeln. Forefront für Exchange orientiert sich daher nicht an den Dateierweiterungen, sondern untersucht den Dateiheader.

Integriert wird ferner die Untersuchung des Datenstroms auf Schlüsselwörter (Keyword Filtering). Dazu greift die Lösung auch auf ein Wörterbuch zurück, das der Anwender nach eigenen Anforderungen erweitern kann. Zum Umfang der Sicherheitssuite soll ferner ein Malware Inspection Filter gehören, der den Datenstrom auf jeglichen Angriffscode hin untersucht.

Untersuchung des Datenstroms

Eingeschlossen sind ferner Aspekte, die heute meist durch die Werkzeuge von Intrusion Detection Systemen (IDS) erbracht werden. Die Abwehr der Angriffe – also jene Funktionen, die meist durch die Intrusion-Prevention-Werkzeuge (IPS) erbracht werden – passiert bei Forefront aber im Verbund der verschiedenen Module durch die erwähnte Interaktion der einzelnen Bausteine.

Parallel dazu will Microsoft ein Forefront Network Inspection System (NIS) aufbauen und in Betrieb nehmen. Dabei handelt es sich um einen von Microsoft gehosteten Dienste zur Untersuchung der Angriffe, den Microsoft im Internet bereitstellt. NIS liefert dann Informationen über die Angriffe und aktuellen Geschehnisse im Internet. Geplant ist auch ein Load Balancing für IIS-Web-Farmen direkt durch das TMG.

Seite 2: Das Intelligent Access Gateway

Das Intelligent Access Gateway

Erneuert wird auch das Intelligent Access Gateway (IAG). Das IAG ist im Kern ein VPN-Gateway, dass externen Benutzern den Zugang auf Applikationen im Unternehmen ermöglicht. Ein umfangreiches Berechtigungskonzept erlaubt dabei einen flexiblen Einsatz des Gateways. Die Nutzer des IAGs können die eigenen Mitarbeiter, aber auch Partner oder Besucher sein.

Als Entscheidungskriterien für die Applikationszuordnung fließen mehrere Faktoren ein. So erhalten die Benutzer in Abhängigkeit von der Konfiguration des Gerätes, das sie für den Zugang verwenden, dessen Sicherheitsstatus und den Login-Angaben des Benutzers unterschiedliche Zugangsberechtigungen und Applikationen zugewiesen.

Das IAG wird in Zukunft zum Unified Access Gateway ausgebaut. Die Zielsetzung Applikationen nach außen verfügbar zu machen, bleibt dabei aber die Kernaufgaben. Das IAG wird setzt bei der sicheren Kommunikation auf SSL.

Security-Policies legen die Kommunikationsregeln fest

Die Grundlage für die Verwaltung stellen Security-Policies dar, welche in abstrakter Form all die Sicherheitseinstellungen für die Geräte beschreiben. Diese Policies werden dann durch das Active Directory den Benutzer- oder Rechnergruppen zugeordnet.

Durch eine n:n-Zuordnung der Policies an mehrere Benutzer- bzw. Rechnergruppen lassen sich dabei recht flexible Verwaltungsstrukturen aufbauen.

Diese Zuordnung der Gruppen kann aber auch dynamisch erfolgen. Dies ist die Voraussetzung für die laufende Überwachung und den Konzepten des „Dynamic Response Systems“.

Ändert beispielsweise ein Benutzer an seiner Firewall-Konfiguration eine Einstellung oder deaktiviert sie gänzlich, so erhält der Benutzer einen neuen Sicherheitsstatus. Ein ähnliches Verfahren wird auch bei NAP angewandt.

Sicherlich wird Forefront sehr eng mit NAP zusammenspielen. In diesem Verbund übernimmt NAP die Überwachung des Clients und dessen Prüfung auf den Sicherheitsstatus. Die Verwaltungsmodule von Forefront wiederum kümmern sich mehr um die zentrale Konfiguration und das Zusammenspiel mit den weiteren Servern. Denn NAP betrachtet nur einen einzelnen Client, aber keinesfalls dessen Interaktionen mit den weiteren Backend-Servern.

In den Policies kann zum Beispiel festgelegt werden, dass ein Virus automatisch entfernt werden soll oder wie die Firewall-Einstellungen aussehen müsste. Durch diese Konfigurationen lassen sich auch weitaus granularere Einstellungen der gesamten Sicherheitskonfiguration vornehmen und verwalten.

Seite 3: Policy-Verteilung durch Forefront

Policy-Verteilung durch Forefront

Die Verwaltung von Rechnerpolicies passiert heute im Kontext des Group Policy Management und den dazu gehörenden Werkzeugen, wie etwa der Group Policy Management-Konsole, dem Active Directory und natürlich den Hintergrundprozessen zum Ausrollen der Policies auf die Clients.

Als Manko der bestehenden Policy-Verwaltung entpuppt sich dabei ihre Zeitverzögerung. Um den Netzwerkverkehr nicht übermäßig zu belasten, erfolgt die Verteilung der Policies in relativ hohen Zeitabständen. Dies ist auch darin begründet, das die Policies ursprünglich auch mehr für relativ langlebige Aktionen herangezogen wurde, wie beispielsweise allgemeinen Berechtigungen beim Zugriff auf Objekte.

Um eine Policy sofort auszurollen, musste dies der Administrator meist manuell (durch gpupdate) durchführen. Für eine dynamische Reaktion des Forefront-Sicherheitssystems, also der Dynamik im Dynamic Response System ist dies natürlich nicht anwendbar. Daher werden in Zukunft diese Änderungen an den Policies durch Forefront selbständige ausgerollt.

Der Schutz der Clients durch Forefront

Zu den weiteren Modulen aus der Forefront Familie gehören jene Tools, die bisher in der „Forefront Client Security“ zusammengefasst wurden. Optimierung gibt es ferner im Forefront Antivirus. Diese soll nicht nur schneller in den Reaktionen werden, sondern vor allem weniger Ressource benötigen und ein effektives und besseres Managementinterface aufweisen.

Neben der Kommunikation via Emails soll in Zukunft auch die Instant Messaging abgesichert werden. Änderungen sind auch hinsichtlich des Content-Filter Forefront für Exchange oder Sharepoint angekündigt.

Erscheinen soll die neue Forefront-Familie voraussichtlich im kommenden Jahr. Doch schon jetzt hat Microsoft Teile daraus in die bestehenden Forefront-Produkte gepackt.

Auf dem Weg zum TMG wird es daher erstmals noch Erweiterungen und Servicepacks zum ISA geben. Auch im Servicepack 2 des IAG sind dabei schon einzelne Neuerungen der späteren Version implementiert. Derzeit wird das IAG nur als Appliance von Drittanbietern geliefert.

Durch die Erweiterungen des Servicepacks 2 kann das IAG nun auch in einer virtuellen Maschine ausgeführt werden. In Zukunft soll es aber auch als reine Software-Lösung verfügbar sein und dem Kunden ermöglichen, es auf einer eigenen Hardware einzusetzen.

(ID:2018376)