Segurança no perímetro com baixo custo usando o TMG 2010

Introdução – Cenário atual

O tema segurança nunca foi tão abordado como nos últimos anos. Isso se deve a vários fatores, como por exemplo, o barateamento para aquisição de um computador, criação da web 2.0, a própria evolução da tecnologia e por que não citar a mudança de comportamento do mundo. Afinal de contas, se determinada tecnologia é criada e não é utilizada, ela se tornará defasada.

Realmente é difícil encontrarmos pessoas que não estejam inseridas em pelo menos uma rede social ou não possuam acesso a um aparelho celular. Até mesmo as empresas mudaram suas estratégias de marketing baseadas nessa mudança do cenário e começaram a utilizar as vantagens que essas ferramentas oferecem.

Levando em consideração que o número de ameaças online cresceu exponencialmente nesses últimos anos, expondo cada vez mais o usuário final a vários tipos de perigos. Essas ameaças, preferencialmente, devem ser evitadas no perímetro de rede. Prevenindo, assim, uma possível contaminação em massa da rede corporativa.

Diante do cenário atual muitas empresas procuram ou tem o desejo de controlar melhor o acesso à internet de seus funcionários evitando comprometer os seus ativos de rede. No entanto, pequenas e médias empresas podem cair no problema do baixo orçamento para aquisição de softwares de segurança, e, muitas vezes optam por uma solução free ou com um custo muito baixo, que não atendem as necessidades reais do mundo corporativo, sendo muitas delas difíceis de administrar e gerenciar.

É a partir dessa visão que surge a motivação para levar o conhecimento de pequenas, médias empresas, e, também grandes corporações, o mais recente software de firewall UTM (Unified Threat Management) da Microsoft, o Forefront Threat Management Gateway (TMG) 2010.

O problema

Por trás de todo esse leque de novas possibilidades e grandes tecnologias que estão surgindo, existem também vários perigos que estamos susceptíveis. Em geral, o uso de redes sociais nas empresas cresceu de forma, desenfreada. Devido as vantagens, visibilidade e oportunidades de negócios que esta ferramenta apresenta.

O tema Computação em Nuvem (Cloud Computing) se mostra um grande atrativo para que os negócios das empresas necessitem mais do que nunca de um acesso à internet confiável, seguro e rápido, no que se diz respeito à disponibilidade, segurança das estações de trabalho e agilidade de conseguir as informações necessárias.

As redes sociais podem ser utilizadas por pessoas maliciosas para distribuição de softwares maliciosos ou envio de SPAMs com objetivo de phishing (é uma técnica usada por crackers para iludir os usuários, criando sites maliciosos bastante parecidos com os sites reais, porém, possuem o objetivo de captar informações pessoais ou infectar computadores), por exemplo.

Além dos problemas citados acima, a quantidade de sites legítimos que são utilizados para hospedar malwares vem crescendo. Baseado nesse fato é possível afirmar que não podemos confiar em mais nenhum website, pois todos estão inclinados a sofrerem este tipo de problema.

Outro vetor de ataque que pode ser utilizado para comprometer a rede são os ataques internos. Esses podem ser os mais destrutivos, pois são iniciados na rede interna da corporação por algum dispositivo removível, por exemplo, podendo afetar os servidores vulneráveis a ameaça em questão, comprometendo assim os sistemas corporativos.

A evolução do produto – Um pouco de história

Com o objetivo de sanar o problema de segurança no perímetro a Microsoft vem desenvolvendo soluções para filtro de conteúdo desde 1996 quando foi lançado o primeiro produto criado para esse fim: Proxy Server 1.0. Como o próprio nome descreve, esse foi o primeiro servidor Web Proxy criado pela Microsoft. O produto evoluiu e deu lugar a um produto mais robusto e com funcionalidades de Web Proxy, Firewall, Virtual Private Network (VPN), entre outras. Estava surgindo o Internet Security and Acceleration (ISA) Server 2000. Posteriormente, foram lançadas respectivamente as versões do ISA Server 2004 e 2006 com melhorias muito significativas com relação ao ISA 2000.

O firewall mais recente lançado pela Microsoft é o Forefront Threat Management Gateway (TMG) 2010. Além de incorporar todas as funcionalidades das versões anteriores trouxe vários melhoramentos, como a inspeção de saída de tráfego HTTPS, Filtro dinâmico de URL, Sistema de Prevenção de Intrusão de rede (NIS), Balanceamento de carga e Failover dos Links de provedores de internet distintos, entre outras mais.

As versões do ISA Server 2004, 2006 e TMG 2010 foram desenvolvidas baseadas na SDL (Security Development Lifecycle) da Microsoft. O sucesso no desenvolvimento dessas versões do ISA Server foi tão grande que desde o lançamento do ISA Server 2004, em Junho de 2004, não houve nenhuma vulnerabilidade reportada até Abril de 2009. Quase cinco anos sem precisar instalar nenhum patch de segurança nesses firewalls! Porém para TMG 2010, lançado em Novembro de 2009, ainda não existe nenhuma vulnerabilidade reportada.

O ISA Server foi submetido ao mais rigoroso teste para avaliação da segurança e do processo de desenvolvimento de uma aplicação, Common Criteria for Information Technology Security Evaluation, e conseguiu receber o certificado EAL4+. Este é o maior nível de segurança que um produto pode atingir.

Todas as versões do Proxy Server e do ISA Server eram baseadas na arquitetura de 32-bits. Herdando assim as limitações impostas por esta arquitetura. No entanto, o TMG 2010 foi desenvolvido para vencer essas limitações e se tornar cada vez mais escalável e confiável, independentemente, do ambiente em que será inserido, pois foi desenvolvido utilizando a arquitetura 64-bits.

A solução

Visando bloquear as ameaças que atualmente circulam na internet, o Threat Management Gateway (TMG) 2010 possui um grande leque de funcionalidades que podem ser implantadas em cenários distintos, adaptando-se ao cenário exigido pelo negócio da empresa. As principais estão descritas abaixo:

• Firewall de filtro de estado de conexão (Stateful filtering firewall), a restrição quanto ao número de adaptadores de rede que podem ser instalados no TMG 2010 é imposta somente pelo hardware da máquina.
• Servidor Web Proxy, possui um filtro dinâmico de URLs (URL Filtering) que utiliza o Microsoft Reputation Services (MRS) para categorizar as URLs. Existem vários filtros web e de aplicação para resolver o problema de conexões secundárias em aplicações como o FTP, e, fazer a inspeção de tráfego HTTP e HTTPS, tanto de entrada como de saída.
• Servidor Cache, que aumenta a velocidade de carregamento das páginas mais acessadas por diferentes usuários que utilizam o TMG 2010. Diminuindo também a degradação na utilização do link de internet.
• Sistema de Prevenção de Intrusão, o Network Inspection System (NIS) executa a inspeção de todos os pacotes, dos protocolos mais utilizados para explorar vulnerabilidades, protegendo assim a rede contra códigos maliciosos até que uma correção seja disponibilizada pelo fabricante.
• Inspeção contra malwares, conta com o mecanismo de inspeção utilizado no Forefront Client Security (FCS), antivírus voltado para o mercado corporativo, para fazer detectar ameaças no perímetro da rede, antes que essas cheguem até o usuário final.
• Servidor Virtual Private Network (VPN), nos modelos Servidor-para-Servidor e Cliente-para-Servidor. Os seguintes protocolos podem ser utilizados no modelo Servidor-para-Servidor: Point-to-point Tunneling Protocol (PPTP), Layer Two Tunneling Protocol (L2TP)/Internet Protocol Security (IPSec), Internet Protocol Security (IPSec) em modo de tunelamento. No modelo Cliente-para-Servidor podem ser utilizados os protocolos PPTP, L2TP/IPSec e SSTP (Secure Socket Tunneling Protocol), mais conhecido como SSL VPN.
• Aperfeiçoamento do NAT, o Enhanced NAT permite que os administradores do TMG criem regras NAT no modelo 1-to-1.
• Redundância de ISPs, aumentando assim a disponibilidade do acesso à internet para as empresas, caso, por exemplo, os sistemas de e-mail, colaboração, etc estejam baseados na nuvem (cloud).
• Qualidade para visualização de logs e relatórios, ao contrário de muitas soluções de segurança, o TMG possui uma interface muito intuitiva e de fácil administração. Que facilita bastante a visulização de logs em tempo real ou em forma de relatórios periódicos.

Conclusão

Para acompanhar e controlar de uma forma fácil e escalável as mudanças que estão acontecendo no mundo da tecnologia é necessário ter um firewall que seja inteligente e forneça um grau de segurança para todos os tipos de negócios.

Com o Forefront Threat Management Gateway (TMG) 2010 é possível atingir um nível de segurança de perímetro adotado por grandes corporações com um custo acessível às pequenas e médias empresas.