Bir önceki makalemizde TMG ürünü hakkında geniş bir bilgi vermiş ve yeni gelen özelliklerinden Malware Inspection için ayrı bir makale yazacağımızdan bahsetmiştik . Bu makalemde sizlere daha önceden tanıttığımız TMG ürünü üzerinde bizlere yeni olarak sunulan Malware Inspection özelliğini anlatacağım
Malware sözlük anlamı ; Kötücül yazılım (malware, "malicious software"in kısaltılmışı), bulaştığı bir bilgisayar sisteminde veya ağ üzerindeki diğer makinelerde zarara yol açmak veya çalışmalarını aksatmak amacıyla hazırlanmış yazılımların genel adıdır . Biz ise bunları genel olarak ; virüs , worm veya spyware gibi nitelendiririz. TMG ürünüde HTTP içeriği veya dosyalarındaki bu kötü amaçlı yazılımları tarama , temizleme veya bloklama özelliğine sahiptir .Bu özellik standart kurulumlarda 90 gün ücretsiz olarak sunulurken , Essential Business Server ın bir parçası halinde ise bir yıl sunulmaktadır . Bundan sonra ise lisansa tabi tutulacaktır .Bu özellik açık konuma getirildiğinde internet sitelerinin yüklenmesi sırasında gelen paketler veya sitelerden indirilen dosyalar için koruma sağlanmış olmaktadır.
Malware inspection ; HTTP paketlerinin bütününe bakar ( yani sadece header bölümündeki eylem dikkate alınmaz ) . Ancak gelen paket sıkıtştırılmış veya şifrelenmiş ise bu paketler taramadan geçmezler . Ancak sıkıştırma gzip formatında ise paketler açılır kontrol edilir ve tekrar kapatılır. Eğer indirilen dosyaların ( zip , tar , cab vb. ) içeriğinde bir virüs bulunur ise sistem önce temizlemeyi dener , eğer mümkün değil ise içeriği silip dosyayı bir txt ile değiştirir ( bilgilendirme notu ) . Eğer bunların hiçbirini yapamaz ise sistem indirme işlemini durdurur.
Sistemin güncelliği ise ister bizim tanımımız ile istersek standart ayar olan 15dk da bir windows update web sitesinden alınan bilgiler ile sağlanır . Bunun için öncelikle yönetim konsolundan Update Center Bölümüne geliyoruz
Bu bölümde sağ taraftaki menüleri kullanarak ilgili pencerelere ulaşabiliriz.Bu pencerede update işlemi için ; algıla , update yapma veya algıla ve update leri yükle diyebiliriz. Bu süreci hangi zaman aralıklarında yapacağını da yine kendimiz belirleyebiliyoruz.
Bu bölümde ise update ler için Microsoft Update Servisini kullanıp kullanmayacağımızı belirleyebiliyoruz.
Bu yeni özellik ile kullanılabilir seçeneklerde aşağıdaki gibidir ;
Attempt to clean files that are found to be infected— Zararlı içeriklerin tespit edilmesi halinde temizlemeyi dene – standart olarak açık gelir
Block files with low and medium severity threats— malware inspection tarafından önceden tanımlı low, medium, high, severe seviyeleri bulunmaktadır . Standart olarak high ve severe seviyeleri bloklanmak üzere ayarlıdır . low ve medium ise dikkate alınmamaktadır
Block suspicious files— Şüpheli dosyaları blokla , standart olarak açık gelir
Block files that are found to be corrupted—Bozuk dosyaları blokla , standart olarak kapalı gelir .
Block files that cannot be scanned—Taranamayan dosyaları blokla , standart olarak kapalı gelir .
Block all encrypted files—Bütün şifreli dosyaları blokla , standart olarak açık gelir
Block files if the scanning time exceeds the user-defined maximum scanning time— Belirtilen tarama süresinin aşılması halinde dosyayı blokla , standart süre 300 saniyedir
Block files whose size exceeds the user-defined maximum file size in megabytes— Belirtilen dosya boyutundan büyük dosyaları blokla , standart değer 1000 mb .
Block archives whose unpacked content size exceeds the user-defined maximum unpacked content size in megabytes— arşiv paketlerinin açılmış boyutları belirtilen boyuttan büyük ise blokla , standart boyut 4096 mb tır.
Block archives whose archive depth level exceeds the user-defined maximum level— Belirtilen değerden fazla derinliğe sahip arşiv dosya var ise blokla , standart değer 20 dir .
Bu bölüm sistem yöneticileri için çok kullanışlı bir bölüm olup sistem üzerinde internetten download yapılan dosyaların yönetiminide sağlamaktadır . Yani buraya tanımlanan download limit sayesinde ISA üzerinden daha büyük boyutlu dosyaların indirilmesini yasaklayabilirsiniz. Tabiki bu kural bazında da incelenmesi gereken bir özellik , yani bir kullanıcının internete çıktığı kural üzerinde malware özelliği açılmamış ise bu ayarların herhangi bir etkisi yoktur. Ve yine şu anda bu özellik kişi bazlı değil kural bazlık çalışmaktadır . Yani bir kuralda malware inspection özelliğini açmanız halinde bu sınırlamalar geçerli olmaktadır.
Bunların dışında ise istersek sisteme izinli ip ve domain setleri ekleyebiliyoruz . Yani tanımlayacağımız ip ve domain setlerinden gelen her türlü paketin Kabul edilmesini sağlayabiliriz.
Yine aynı pencere üzerinde “Content Delivery” sekmesini göreceksiniz .
TMG ; kullanıcıların tarama işlemi sırasında gecikmelerden etkilenmemesi için , dosyaların taranan bölümlerini istemci uygulamasına göndererek , uygulama tarafındaki time out sürelerini uzatmış olacaktır. Minimal parçalar istemci tarafına gönderildiği için bir güvenlik açığına da mahal vermemektedir . Ve yine kullanıcıları durumdan haberdar etmek isterseniz eğer ( standart olarak açıktır ) download sırasında kullanıcıya bir web sayfası açılarak bunun üzerinden indirme işlemi süreci gösterilebilir .
IE üzerindeki güvenlik ayarlarından kaynaklanan sorun
Eğer istemci tarafında IE güvenlik ayarları düzgün configure edilmemiş ise ( veya çok güvenlikli bir konfigürasyon sözkonusu ise , download progress notification işlemi çalışmamaktadır . Bu nedenle script in çalışması için gerekli izinler verildikten sonra aşağıdaki gibi bir ekran görebiliriz
Bu ekranda görüldüğü gibi kullanıcının download ettiği dosyalar malware inspection sürecinden geçmekte ve bu kullanıcıya gösterilmektedir .
Dosyanın indirme işlemi bittikten sonra ise malware inspection settings kısmındaki yapılan ayarlar ile bir çakışma olması halinde yukarıdaki gibi bir uyarı görebilmekteyiz. Standart ayarları hatırlayacak olursanız eğer , şifreli dosyaların malware inspection üzerinden geçişi yasaktı
Block all encrypted files—Bütün şifreli dosyaları blokla , standart olarak açık gelir
Bu ayarı değiştirmemiz halinde ise dosyayı kullanıcı gönül rahatlığı ile indirip kullanabilir.
Yine bu bölümde hangi contentler için bu uygulamayı aktif yapabileceğinizi seçme şansına sahipsiniz.
Var olan content leri silebilir veya yenilerini ekleyebiliriz.
Yine bu tarama işlemleri için kullanılacak geçici dizini değiştirme imkanına sahibiz ;
Malware Inspection özelliği her Web Access Rule başına açılıp kapatılabilmektedir. Yani her kurala bu özelliği ekleyebilmekteyiz .Eğer bu özellik system policy üzerinden kapatılır ise , o zaman TMG üzerinden internet erişimlerinde bu kontrol yapılmaz.
Malware Inspection özelliği saye
sinde very olarak alabileceğimiz istatistikler aşağıdaki gibidir ;
malware inspection ile taranan paketlerin raporu
malware inspection ile bloklanan paketlerin raporu
Raporlama bölümüne baktığımızda ise TMG aşağıdaki bilgi alanlarını kullanarak bizlere aktiviteler hakkında bilgi vermektedir.
| Field name (log viewer) | Possible values ( olabilecek değerler ) |
| Content Delivery Method | Progress Notification Fast Trickling Standard Trickling |
| Malware Inspection Result | Corrupted File Destination Included in Malware Inspection Exceptions List Encrypted File Infected File Low and Medium Level Threats Not Blocked Malware Inspection Disabled Malware Inspection Disabled for the Matching Policy Rule Malware Inspection Disabled for the Matching Web Chaining Rule Maximum Archive Nesting Exceeded Maximum Size Exceeded Maximum Unpacked File Size Exceeded No Violation Detected Request Served by Malware Inspection Web Filter Request/Response Pair Identified as Exempted Protocol Message Response Identified as a 200 Response to a CONNECT Request Response Originated from Proxy Server Response Scanned Before Being Routed by CARP Storage Space Limit Exceeded Suspicious File Time Out Unknown Unknown Encoding |
| Malware Inspection Action | Allowed Blocked Cleaned |
| Malware Inspection Duration | Time in milliseconds (0 if not inspected) |
| Threat Name | Description of the threat |
| Threat Level | Low Medium High Severe |
Bu bilgi alanlarındaki veriler bizlere ; Malware Inspection içerik raporu , anlık olarak gelen tehtidlerin bilgileri , kullanıcı ve websitesi bazlı malware durum raporları , malware filter hakkında bilgi , günlük malware aktivite özetlerini vermektedir.
Örnek raporlar ;
Top Threats. The most frequently detected threats.
Top Users. The users for which malware inspection was most frequently performed.
Top Sites. The Web sites from which content was inspected most frequently.
Top Inspection Times. The Web sites for which client-requested downloads required the longest average inspection time.
Yine ISA Server da olduğu gibi istersek listelenecek değerlerin sayılarını değiştirebiliyoruz
Malware Inspection özelliğinin gelişim sürecine destek olmak istiyorsanız eğer aşağıdaki pencereden bu sürece ne kadar dahil olmak istediğinizi ayarlayabilirsiniz.
Pencerenin isminden de görüleceği gibi TMG server özelliklerinden buraya erişmeniz mümkündür . Bu bölümde eğer Microsoft Telemetry Servisine yardımcı olmak isterseniz seçebileceğiniz iki seçenek vardır . İlk seçenek temel bilgilendirmeleri içerirken ikinci seçenek ise . Bu bilgiler Microsoft sunucularına iletilir ancak bu bilgiler kesinlikle illegal amaçla veya sizinle iletişim kurmak için kullanılmaz. Veya programa katılmak istememeniz durumunda son seçeneği seçebilirsiniz
Son olarak ise Malware Inspection özelliğinin performansa yansımasını aşağıdaki counterları kullanarak değerlendirebilirisiniz
| Malware Protection - Items Handled |
| Malware Protection - Total Items Handled |
| Malware Protection - Average Accumulation Duration (msec) |
| Malware Protection - Average Inspection Duration (msec) |
| Malware Protection - Items Trickled (Standard Trickling) |
| Malware Protection - Items Trickled (Fast Trickling) |
| Malware Protection - Total Items Trickled (Standard Trickling) |
| Malware Protection - Total Items Trickled (Fast Trickling) |
| Malware Inspection - Average Trickled Size (Standard Trickling, Bytes) |
| Malware Inspection - Average Trickled Size (Fast Trickling, Bytes) |
| Malware Protection - Items in Progress Page |
| Malware Protection - Total Items in Progress Page |
| Malware Protection - Average Progress Page Status Requests |
| Malware Inspection - Streaming Items |
| Malware Inspection - Total Excluded Item |
| Malware Inspection - Disk Accumulation (%) |
| Malware Inspection - Allocated Disk Space (Bytes) |
| Malware Inspection - Disk Errors |
| Malware Inspection - Total Partial Inspections (Standard Trickling) |
| Malware Inspection - Total Partial Inspections (Fast Trickling) |
| Malware Inspection - Partial Inspections per Item (Standard Trickling) |
| Malware Inspection - Partial Inspections per Item (Fast Trickling ) |
| Malware Inspection - Inspections Failed |
| Malware Inspection - Items Blocked (Size Exceeded) |
| Malware Inspection - Items Blocked (Unpacked Size Exceeded) |
| Malware Inspection - Items Blocked (Nesting Levels Exceeded) |
| Malware Inspection - Items Blocked (Corrupted) |
| Malware Inspection - Items Blocked (Encrypted) |
| Malware Inspection - Items Blocked (Infected) |
| Malware Inspection - Items Blocked (Suspicious) |
| Malware Inspection - Items Blocked (Unknown Encoding) |
| Malware Inspection - Items Blocked (Timeout) |
| Malware Inspection - Items Cleaned |
| Malware Inspection - Ping Timeouts |
| Malware Inspection - Download Timeouts |
| Malware Inspection - Extended Quota Usage (%) |
| Malware Inspection - Average Extended Quota Usage Time |
| Malware Inspection - Extended Quota Exceeded |
| Malware Inspection - Extended Quota Unavailable |
| Malware Inspection - Extended Quota Exceeded Delta |
| Malware Inspection - Extended Quota Unavailable Delta |
Hakan UZUNER