Dat Microsoft de naam Internet Security and Acceleration (ISA) Server laat vallen en het product voortaan Forefront Threat Management Gateway (TMG) noemt, is meer dan een nieuw label op dezelfde doos. Dit is duidelijk geworden na enkele gesprekken en sessies over het nieuwe product, op de Microsoft TechEd conferentie in Barcelona. Microsoft plaatst de nieuwe TMG niet alleen van naam bij de andere Forefront producten voor zakelijke beveiliging maar bouwt met de verschillende componenten een intelligent beveiligingsplatform.

Threat Management Gateway

De Threat Management Gateway (TMG) is niet langer een standalone beveiligingsproduct maar een schakel in een intelligente beveiligingsketen. Volgens Vinny Gullotto, hoofd van het Microsoft Malware Protection Center dat signaturefiles en scantechnieken ontwikkelt voor de verschillende beveiligingsproducten van Microsoft, zijn samenwerkende beveiligingsproducten de volgende stap in de beveiliging van bedrijfsnetwerken en een belangrijke stap om die beveiliging efficiënter te maken.

Microsoft doet dit door de Forefront beveiligingssoftware die is geïnstalleerd op de desktops en servers in een bedrijfsnetwerk, te laten samenwerken met de beveiligingsoplossing aan de rand van het netwerk, voorheen de ISA Server. Gershon Levitz is programma manager bij Microsoft en werkzaam in het team dat de TMG ontwikkelt. Levitz noemt als voorbeeld het initiëren door de Forefront TMG van een systeemscan op een client-pc, wanneer deze verdachte communicatie over het netwerk veroorzaakt. Niet alleen initieert de TMG de systeemscan, ook plaatst het de client zolang de scan niet is afgerond terug in het quarantaine-LAN. Dit terugplaatsen is een nieuwe functionaliteit van de TMG. ISA-server 2006 scant de clients alleen wanneer deze op het netwerk komen maar staat machteloos wanneer een gebruiker daarna alsnog de firewall uitschakelt.

"Clients, servers en gateway delen informatie die relevant is voor de beveiliging van alle componenten in het bedrijfsnetwerk zoals bijvoorbeeld sessie-informatie. Het nieuwe Forefront platform maakt het daarbij mogelijk de gehele beveiligingsoplossing met centrale policies te beheren", aldus Levitz.

Delta

Levitz roemt daarbij het nieuwe Forefront Network Inspection System (NIS) dat zorgt voor intrusion detection. Deze functionaliteit is gebaseerd op de GAPA (Generic Application Level Protocol Analyzer) die Microsoft Research hiervoor ontwikkeld heeft. Naar de mening van Levitz versterken deze de mogelijkheid om besmetting van componenten in het netwerk te voorkomen.

Een belangrijk voordeel van de NIS techniek voor beheerders is dat het hen meer tijd geeft om patches te testen en uit te rollen. In de huidige situatie zijn de systemen zolang de beheerders nog testen, onbeschermd. NIS verandert dit. Microsoft zal voortaan op dezelfde dag dat een patch beschikbaar komt ook een vulnerability-signature uitbrengen voor de TMG. Deze update de firewall met kennis over het nieuwe beveiligingsprobleem en zorgt ervoor dat de clients vervolgens niet besmet of misbruikt kunnen worden zolang ze nog niet zijn gepatcht. Dit biedt bovendien bescherming voor niet-beheerde systemen.

SSl-scannen en URL-filtering

Volgens Levitz is de TMG de eerste versie van Microsofts beveiligingsproduct die alle https verkeer volledig kan scannen. De TMG treedt daarbij op als man in the middle tussen de gebruiker en de door hem benaderde SSL-server. Belangrijk is daarbij dat de nieuwe TMG een oplossing biedt voor al die bedrijven die tot nu toe afzien van SSL-scanning vanwege het risico daarbij in te breken op bijvoorbeeld de communicatie van een medewerker met zijn bank.

De nieuwe TMG biedt hiervoor meerdere oplossingen. Heel basic kan iedere gebruiker die een https-sessie begint, een popup krijgen met de melding dat ondanks de versleuteling, zijn communicatie toch wordt bekeken. Maar door integratie met de nieuwe URL-filtering is het ook mogelijk om bijvoorbeeld SSL-verkeer met bekende financiële instellingen, niet te inspecteren maar wel al het overige SSL-verkeer. Voor het informeren van de gebruikers is het wel noodzakelijk dat de pc's die worden gebruikt, zijn uitgerust met de Microsoft Firewall Client software. Dit is maar in weinig bedrijven gebruikelijk voor standaard gebruikers.

Voor de URL-filtering werkt Microsoft samen met een aparte leverancier. Wie dat is wilde het op dit moment nog niet bekend maken. Bedrijven die kiezen voor de TMG kunnen er wel voor kiezen de URL-filters van een andere leverancier te betrekken wat volgens product manager David Cross geen gevolgen hoeft te hebben voor de functionaliteit van de TMG.

Redundantie maar geen IPv6

De TMG wordt ook de eerste versie van ISA server die meerdere vormen van redundantie aan kan. Zowel het gebruik van twee uplinks naar twee ISP's wordt nu goed ondersteund, maar ook gebruik van meerdere lijnen voor loadbalancing. Dit dan wel alleen voor uitgaand verkeer. Zoals te verwachten ondersteunt Microsoft het gebruik van de TMG in een virtuele machine op Hyper-V volledig.

Opmerkelijk blijft dat de nieuwe TMG met een verwachte releasedatum in 2009, geen ondersteuning biedt voor IPv6. Volgens David Cross, neemt Microsoft hiervoor de tijd die de klanten haar gunnen door niet of maar zeer minimaal migraties naar IPv6 uit te voeren.

Releasedatum

Microsoft wil nog geen releasedatum voor de nieuwe versie van de ISA-server vrijgeven. Verwacht mag worden dat het product als onderdeel van een reeks nieuwe Forefront-releases in de eerste helft van 2009 op de markt komt.

De op 12 november te introduceren Essential Business Server bevat al wel een subset van de functionaliteit van de TMG. Deze is echter uitsluitende 32-bit, biedt geen URL-filtering, anti-spam en anti-malware, NIS en eveneens ontbreekt de integratie met de overige Forefront-producten.

Bron: Techworld