Das Threat Management Gateway (TMG) ist wohl die bekannteste und wichtigste Komponente aus der Microsoft-Forefront-Reihe. Das TMG löst den ISA 2006 (Internet Security and Acceleration Server) ab, oder besser gesagt, es ist die erneuerte Version des ISA 2006. Grund für die aktuelle Namensänderung ist folgender: Microsoft möchte mit dem Namen Threat Management Gateway vermitteln, dass es sich dabei um eine umfassende Netzwerksicherheitslösung handelt. Auch wenn der ISA in der Vergangenheit meist als Firewall bezeichnet wurde, so gilt das schon seit mehreren Versionen nicht mehr. Microsoft hat den ISA, der mit der Version 2000 den Proxy Server ablöste, kontinuierlich weiterentwickelt und mit neuen Funktionen versehen. Seine wichtigsten Komponenten sind eine Applikations-Firewall, die Proxy-Dienste und die Verwaltung der VPN-Verbindungen. Hinzu kommt eine Reihe von Assistenten zur Bereitstellung von dedizierten Microsoft-Servern im Internet.
Firewalls zählen neben den Virenscannern zu den festen Basisdiensten der IT-Sicherheit. Deren Funktionsumfang ist nur wenigen Änderungen unterworfen. Im Kern geht es immer darum, wer wann mit wem wie kommunizieren darf oder nicht. Die Unterschiede in den Produkten liegen vor allem in der Menge dieser Konfigurationsattribute. Gravierende, tief greifende Neuerungen sind da eher nicht zu erwarten. Stattdessen erweitern die Hersteller ihre Produkte in der Breite, wie auch Microsoft anhand des Forefront Threat Management Gateway 2010 unter Beweis stellt.
Die Neuerungen des Threat Management Gateway 2010
Die Verbesserungen des Threat Management Gateway 2010 (TMG) gegenüber dem ISA 2006 sind weniger in den traditionellen Kernfunktionen einer Firewall zu suchen als vielmehr in den angrenzenden Funktionen. Das liegt bei Microsoft sicherlich auch darin begründet, dass das Unternehmen die eigenen Serversysteme bestmöglich unterstützen will und diese damit gleichzeitig für den Zugriff aus dem Internet optimal vorbereitet. Zu den Neuerungen des TMG zählen vor allem die folgenden Funktionen:
• HTTPS-Überprüfung. Diese erlaubt die Prüfung von verschlüsselten Verbindungen aufgrund einer speziellen HTTPS-Kommunikation hinsichtlich Malware oder Sicherheitslücken. Dabei wird die HTTPS-Verbindung aus dem Internet durch das TMG terminiert, das den Datenstrom untersucht und dann eine weitere HTTPS-Verbindung zum Benutzergerät aufbaut. Für die Verbindungen, die aus Datenschutzgründen nicht durch das TMG untersucht werden sollen, wie zum Beispiel bei der Kommunikation mit Websites von Banken, lassen sich Ausnahmen definieren. Benutzer des Forefront-TMG-Clients können außerdem über die Überprüfung der HTTPS-Kommunikation benachrichtigt werden.
• Abonnementdienst für E-Mail-Schutz: Zum Umfang von Forefront TMG gehört auch ein Abonnementsdienst für den E-Mail-Schutz, der auf der Technologie von Forefront Protection 2010 für Exchange Server basiert. Forefront TMG fungiert dabei als Vermittler für SMTP-Datenverkehr und überprüft E-Mails auf Viren, Malware, Spam und bestimmte Inhalte wie zum Beispiel ausführbare oder verschlüsselte Dateien, die im Netzwerk übermittelt werden.
• URL-Filterung: Durch die URL-Filter lassen sich Webseiten vor dem Aufruf sperren. Hierzu werden diese anhand von URL-Kategorien wie zum Beispiel mit den Wörtern Pornografie, Drogen oder Gewalt gruppiert. Diese Funktion ist heute von vielen Anbietern von Sicherheits-Tools bekannt. Im TMG hat Microsoft diese Sicherheitsfunktionen nun ebenfalls integriert.
• Web-Malware-Schutz: Durch den Schutz vor Web-Malware werden Internetseiten auf Viren, Malware und andere Bedrohungen überprüft. Diese Schutzfunktion ist Bestandteil des Abonnementdiensts für Forefront TMG.
• Netzwerküberprüfungssystem: Das Netzwerküberprüfungssystem (NIS) ermöglicht es, den Datenverkehr auf die Ausnutzung von Microsoft-Sicherheitsrisiken zu überprüfen. NIS kann auf der Grundlage von Protokollanalysen Angriffsklassen blockieren und False-Positive-Ergebnisse minimieren. Der Schutz kann bei Bedarf jederzeit aktualisiert werden.
• Erweiterte Netzwerkadressübersetzung: Die Network Address Translation (NAT) erlaubt die Bestimmung einzelner E-Mail-Server, die auf einer 1:1-NAT-Basis veröffentlicht werden können.
• Erweitere und verbesserte VoIP-Unterstützung: Diese ermöglicht die Integration von SIP, um damit die Bereitstellung von VoIP im Netzwerk zu vereinfachen.
• Support für Windows Server 2008 mit 64-Bit-Unterstützung: Das TMG basiert auf dem Windows Server 2008 und dessen Support für 64-Bit-CPUs. Diese soll für mehr Leistungsfähigkeit und höheren Datendurchsatz sorgen.
Sicherheitsfunktionen des TMG auf dem Prüfstand
Mit all den bereits beschriebenen Funktionen möchte Microsoft sein Flaggschiff in Sachen Sicherheit auf die neuen Anforderungen ausrichten. Doch worin liegen diese? Der Trend zur Nutzung von Unternehmensdiensten aus dem Internet wird sich auch in Zukunft fortsetzen. Darüber hinaus wird sich das heutige Modell mit den internen Unternehmensnetzen wie dem LAN, einem standortübergreifenden WAN und dem öffentlichen Internet sowie der DMZ dazwischen zusehends verändern.
Zusätzlich werden Mitarbeiter infolge der erhöhten Mobilität überall und jederzeit auf alle Unternehmensdienste zugreifen wollen und müssen. Damit müssen sich aber auch die Rechtestrukturen in einer Unternehmens-IT ändern. Zudem ist das heutige Modell, das darauf basiert, dass man dem Nutzer aus dem LAN per se vertraut, aber jenen, die aus dem WAN auf das System zugreifen, eher misstraut, nicht mehr zeitgemäß. All diese Techniken sollten nicht ohne entsprechende Auswirkungen auf die zentrale Schutzkomponente – die Firewall – bleiben.
Die Architektur des TMG
Die Architektur des TMG 2010 orientiert sich an der Neuausrichtung der beschriebenen IT-Kommunikation. Das TMG unterscheidet dabei im Kern nach dem Internet, einer DMZ und einer oder mehreren internen Netzsegmenten. Diese drei Netzbereiche werden in der Netzwerktopologie des TMG fest verankert. Sie beschreibt die prinzipielle Architektur des abzusichernden Netzes. Geboten werden mehrere Varianten.
Die Firewall an der Grenze zwischen dem internen Netz und dem Internet (dem Perimeter) nennt Microsoft die Edgefirewall. Ferner existieren die Modelle eines Drei-Abschnitt-Umkreisnetzwerks mit der DMZ (Demilitarisierter Zone), der Backend-Firewall und einem Einsatz des TMG auf Rechnern mit nur einem einzigen Netzwerkadapter. Daneben können auch komplexere Szenarien mit einer DMZ und dem Umkreisnetzwerk oder der Trennung des Unternehmensnetzes in unterschiedliche Sicherheitsbereiche eingerichtet werden.
Forefront-TMG-Assistenten im Dienste des Administrators
Unterstützend zu den Netzwerkmodellen will Microsoft mit dem TMG einen immerwährenden Zugriff auf die Dienste und Server im Unternehmensnetz bieten. Das sind in erster Linie die Mail-Dienste des Exchange-Servers, die Informationsdienste des SharePoint-Servers und die Webdienste des Internet Information Servers. Um den Internetzugang auf diese Serverdienste zu vereinfachen, stellt Microsoft eine Reihe von Assistenten bereit, die diese Konfiguration übernehmen. Zwar war die Konfiguration des Internetzugriffs auch vorher schon möglich, nur musste da der Administrator noch mehr zeitraubende Detailarbeit manuell leisten.
Fazit
Mit den erweiterten Funktionen des Threat Management Gateways 2010 stärkt Microsoft sein Sicherheitsportfolio und baut dieses schrittweise aus. Durch die HTTPS-Untersuchungen, die URL-Filter und den Malware-Schutz wird das Gateway in Richtung eines umfassenden Sicherheitssystems erweitert. Hinzu kommen die Assistenten zur Veröffentlichung der eigenen Server für das Internet sowie die Ausrichtung am Windows Server 2008 und an dessen Funktionen. Vor allem in der Zusammenarbeit mit dem Exchange Server oder dem SharePoint Server kann der TMG seine Vorteile ausspielen. (hal)