Blog by PQR

Malware is een verzamelnaam voor virussen, spyware, Rootkit enz. Allemaal software die we liever niet op ons netwerk binnen krijgen. Nu is het zo dat veel van dit "type" software op internet te vinden is. Hierdoor is het risico groot dat gebruikers er mee in aanraking komen. Vaak zonder dat ze het weten halen ze dan een stukje malware binnen. De meeste anti-virus clients zullen malware opvangen en verwijderen, maar het is dan nog steeds je netwerk binnengekomen. De Malware Inspection Functionaliteit van de TMG zorgt er voor dat malware je organisatie niet binnenkomt.

Web Antimalware

Web Antimalware is malware dat via een link gedownload wordt door de gebruiker. Voordat de TMG de download doorsluist naar de gebruiker controleert hij het eerst op de aanwezigheid van een virus. Om dit mogelijk te maken moet hij eerst de hele download binnenhalen om deze te kunnen inspecteren. Hierdoor kan een download mislukken, omdat onze browser pakketjes verwacht. Deze pakketje komen alleen niet. Om dit probleem op te vangen maakt de TMG gebruik van trickling. Trickling houdt in dat de TMG steeds een klein beetje data voert aan de browser op de client PC. Zo denkt deze dat de download nog steeds goed loopt en vindt er geen time-out plaats. Pas als de hele download goedgekeurd is door de TMG zal deze de overige bits doorsturen naar de browser op de client PC.

HTTPS Inspection

Het controleren van http traffic is eenvoudig te doen, want iedereen kan het inlezen. Dit is niet het geval met https verkeer. Het voordeel van https verkeer is juist dat niemand het kan inlezen. Hackers en virus verspreiders bieden software daarom aan over een https verbinding.

De TMG heeft de optie om https verkeer bij de TMG te stoppen, te controleren en dan als https verkeer door te sturen. Als een browser connectie zoek met een https site, zal de TMG de https connectie beëindigen. Hij creëert een SSL certificaat voor de betreffende website en geeft deze aan de browser als zijnde het SSL certificaat van de website. De browser maakt dus een https verbinding met de TMG en niet met de website. De TMG op zijn beurt maakt weer een https verbinding met de webserver. Hij kan nu dus al het verkeer decrypten, controleren en encrypten zonder dat de client in principe hier iets van merkt.

Network Inspection System

De laatste optie die ik wil bespreken is Network Inspection System (NIS). De meeste Operating Systems zijn vandaag de dag zo veilig dat het voor een hacker steeds moeilijker wordt een succesvolle aanval te openen op het Operating System. Daarom is hun aandacht van het Operating System verschoven naar de applicaties. Een favoriete applicatie is natuurlijk de browser. Door het maken van handig geformuleerd URL's en deze achter een link te verstoppen, hopen ze een browser Hijack uit te voeren. De NIS inspecteert elke URL en stopt een verzoek naar een verkeerde URL.

Ik hoop dat je een idee hebt gekregen van de Malware Inspection features van de TMG. Als je precies wilt weten hoe ze werken adviseer ik je de TMG te downloaden en er mee te gaan testen.

Martijn Bellaard