Bu makalemde Trend Micro ‘un yeni piyasaya sürdüğü bir security çözümünü anlatmaya çalışacağım. Genelde tüm yeni çıkan ürünlerin veya versiyon upgrade lerin en önemli ortak özelliği daha fazla güvenliktir. TM bu üründe de güvenliği daha kuvvetlendirmiş ve spam sorununa çözümler getirmiştir.
Bir önceki makalelerimde sizlere üç bölümden oluşan Trend Micro ‘ nun Client/Server Messaging Security for SMB sini anlatmaya çalıştım. Bu makalemde Worry-Free Business Security Advanced (CSM 5.0) ürününü sizlere tanıtmaya, daha doğrusu CSM 3.6 sürümü ile aralarındaki farklılıkları anlatmaya çalışacağım.
WFBS, 2 Haziran 2008 tarihinde piyasaya sürüldü. Bu sürümde en çok dikkatimi çeken özellikleri, Web Reputation, Email Reputation Service ve Location Awareness oldu. Ayrıca WFBS ile, Exchange 2007 server desteklenmiş ve Ms Server 2008 uyumlu hale getirilmiştir.
Lisans konusuna değinmek gerekirse, CSM in farklı versiyonuna sahip olanlar, Maintanence Licence süreleri bitmemiş ise ücretsiz upgrade edebiliyor. Upgrade için aşağıdaki linkten yararlanabilirsiniz.
http://esupport.trendmicro.com/support/viewxml.do?ContentID=EN-1037428
Upgrade prosedürünü anlatmayacağım fakat upgrade sonrası için birkaç bilgi vermek isterim. Upgrade işlemi bittikten sonra server restart istemiyor. Terminal Server Clientların upgrade sırasında bağlantıları kopabiliyor. Aşağıdaki linkte yaşayabileceğiniz problemler değinilmiş. İncelemenizde fayda var:
http://esupport.trendmicro.com/support/viewxml.do?ContentID=EN-1037432
Trend Micro Worry-Free Business Security Advanced sürümüne hangi ürünleri kullananlar upgrade edebilir? Bu sorunun cevabı da aşağıdaki linkte:
http://esupport.trendmicro.com/support/viewxml.do?ContentID=EN-1037395
Csm 5.0 da neler yeni?
Location Awareness :
Location Awareness, client ların ofis içi veya ofis dışı oldukları denetleyen bir özelliktir. Csm 3.6 da Clientlara roaming mode yetkisi verirdik ve böylece client lar Updatelerini server üzerinden değilde TM ActiveUpdate server üzerinden alırdı. Bu özellik sayesinde clientlar şirket dışına çıktığında otomatik olarak Roaming mode a geçiyor ve updateleri TM ActiveUpdate server üzerinden alıyor. Ayrıca yazılan firewall kuralları şirket dışına çıktıklarında problem yaratabiliyordu. CSM 5.0 da bu dezavantajlar giderilmiş ve Clientlara şirket içi ve şirket dışı olarak firewall ve security kuralları yazabiliyor hale getirilmiş, bu da bizim işimizi çok kolaylaştırmıştır. Peki Location Awareness şirket içinde olduğunu nasıl anlıyor? Onu inceleyelim
Default ta Location Awareness enable olarak gelir ve Gateway ‘in ip adresini ve mac adresinden yararlanarak Client ın Roaming mode a geçtiğini tespit eder.
Web Reputation : Trend Micro ‘ nun denetlediği URL lerin, zaralı kod ve içerik li sitelerin bloklanmasını sağlar. Bir çeşit Web Filtering olarak da adlandırılabilir.
Location Awareness sayesinde Web reputation ı Out Of Office mode için de kullanabiliyoruz. Kullanıcı zararlı içerikli bir web sitesine girmek istediğinde browser da uyarı çıkacaktır. Eğer, URL nin bloklanmasını istemiyor isek Global Approved URL(s) listesine eklememiz gerekir.
Test için bir site giriyorum ve aldığım Browser tarafına çıkan hata ve Agent Notification Message.
http://reclassify.wrs.trendmicro.com/ adresinde ise URL nin Black List te olup olmadığını veya black list ten çıkartılmasını talep edebilirsiniz.
Not: Out Of Office Mode da ise default olarak, security Level : Medium olarak geliyor.
Behavior Monitoring : Client ları registry değişikliğinde, işletim sistemine yapılan değişikliklerde, dublicate folder lar vb değişikliklere karşı uyarır. Default olarak kapalı gelir
Aktif etmek için enable behaviour monitoring işaretlemeniz yeterli. Action ise değişiklik algılandığında ne yapılacağını belirlersiniz. Kullanıcının seçmesine veya bloklanmasını belirliye bilirsiniz.
Ayrıca uzantı bazlı bloklama yapabilirsiniz. Bunun için, programın bulunduğu klasörü belirtmeniz ve daha sonra blocked list e almanız gerekir. Bu tarz uygulamaları biz GPO dan da yapabiliyoruz fakat Domain ortamında olmayan clientlar için alternatif bir çözüm olabilir. Hatırlatmakta fayda var, dosya yeri veya ismi değiştiğinde bloklama işlemi gerçekleşmeyecektir.
Live Status Screen de Web reputation ve Behavior Monitoring eklenerek genişletilmiş.
Plug-in Manager : Eklentisi ile plug-in leri yönetebiliyoruz ve client lara dağıtabiliyoruz. Şu anda WFBS için aktif plug-in bulanmadığı için bu konuya değinmeyeceğim.
Exchange Server Spam :
Bünyemizde bir mail server barındırıyor isek mutlaka hepimiz spam ile mücadele etmişizdir. Lokalde Mail server barındırmak büyük bir yüktür ve bu sorumluluğun altına giriyor isek karşılaşabileceğimiz problemlere karşı önlemlerimizi almalıyız. Spam mailler bazen çok baş ağrıtıcı durumlara sebep olabilir. Bunun önüne geçmek için mutlaka iyi bir anti-spam çözümünün mail server ile desteklenmesi gerekir. Spam konusu önemli olduğundan, bu konuya daha çok değineceğim.
Exchange server tarafındaki önemli yenilik ise Email Reputation Service bundle (bütün) olarak sunulmuştur.
ERS Nasıl Çalışır?
ERS, ip başına iki dns server sorgulama yöntemini kullanır. Açıklamak gerekirse, Mail server, gönderen tarafındaki mail server dan bağlantı kabul ettiğinde, gönderenin ip adresini kayıt altına alır. ilk önce kendi dns sine sorgu atar ve daha sonra Reputation DNS server a sorgu atar ve ip adresi black-list te ise mail bloklanır. Böylece tüm mail içeriği taramadan geçmeden, bağlantı mertebesinde bloklanarak daha hızlı ve verimli bir çözüm ortamı yaratılmış olur.
ERS Servis Çeşitleri:
Trend Micro Email Reputation Services Standard : Trend Micro Threat Prevention Network sağladığı, Trend Micro reputation database zindeki ip adreslerine bakarak bloklama yapar. Bu database 1,6 milyar ip den oluşuyor. Doğruluğu sağlamak için TM bu ip leri sürekli olarak günceller. ERS Standard Service, DNS single-query-based service sorgulama yapar. Yani bir bilinmeyen bir hosttan mail geldiğinde, reputation database server a sorgu atar ve gelen mail black-list teki bir ip den çıkıyor ise spam olarak algılanır.
Trend Micro Email Reputation Services Advanced : Bu seçenek real-time anti-spam çözümdür. TM spam uzmanları sürekli olarak network monitoring yapar ve spam lerden örnekler alır ve yeni bir spam kaynağı algılandığında dinamik olarak database lerini günceller. Sign ların güncelleşmesi genellikle birkaç dakika içinde gerçekleşir. ERS Standart gibi, Advanced de DNS sorgu yöntemini kullanır fakat 2 farklı database e sorgu atar : the standard reputation database ve dynamic reputation database.
Hata Kodları:
Black-list te olan bir ip adresi bloklandığında karşı tarafa NDR mesajı ulaşır:
Email Reputation Services Standard: ‘550’ kodlu hata kodu veya mail server tarafından reject edildiğini dair hata alır.
Email Reputation Services Advanced : Eğer ilk sorgudan geçer, dynamic reputation database sorgusunda taklır ise ‘450’ nolu hata kodu veya ‘temporary failure’ hatası alır.
Eğer spam olarak algılanan kaynak güvenli olduğunu düşünüyor iseniz Approved IP Addresses a eklemelisiniz.
TM, %99 a yakın bir oranda spam leri engeller. ERS in enable veya disable olması spam oranını etkilemez. Enable olması, %80 oranında spam mailleri, mail server ınıza ulaşmadan bloklanmasını sağlar. Böylece,sistem kaynaklarından ve bant genişliğinden tasarruf etmiş olup, güvenliği de artırmış oluruz.
https://nrs.nssg.trendmicro.com/index.php linkinden lisans no ile register ettiğinizde. ERS hakkında raporlar alıp ve Policy ler yazabilirsiniz.
Peki, spam ler bizim network ümüze ulaşmadan taransın ve süzülsün derseniz: ERS Hosted ve InterScan Messaging Hosted Security (IMHS) çözüm olacaktır.
ERS Hosted da MX kaydı Trend Micro server larına yönlendirilir. Burada mailler spam den ve zararlı içerikten arındırıldıktan sonra bizim mail server ımıza route edilir. TM, hardware, software, ve uzmanlardan oluşan bir sistem ile mailleri taratır. Cost-effective bir çözümdür.
InterScan Messaging Hosted Security (IMHS) de ise MX kayıtları Trend Micro server ına yönlendirilir.
ERS Hosted ile arasındaki fark, mailler spam, viruses, worms, Trojans, ve phishing ataklarına karşı taranır. Cost-effective bir çözümdür.
InterScan Messaging Hosted Security (IMHS) hesabınızı ücretsiz aktive etmek için :
http://esupport.trendmicro.com/support/viewxml.do?ContentID=1037483
Instant Message Content Filtering : Instant Message kullanan user lar kelime bazlı filtering uygulamamızı sağlayan bir özelliktir.
Preferences – Global Settings ten bloklanmasını istediğim kelimeyi giriyorum.
Daha sonra kullanıcı yasaklı kelimeyi kullandığında Notification Message çıkıyor.
IM Content Filtering desteklediği platformlar :
MSN Messenger 7.5
Live Messenger Live 8.1 / 8.5
Yahoo! Messenger 8.1
AIM 6
ICQ 6
TrendSecure : Browser tabanlı TrendProtect ve Transaction Protector eklentilerinden oluşur.
Wi-Fi Advisor: Wireless network ün güvenli olup olmadığını kontrol eder.
Keystroke Encryption: Keylogger lara karşı güvenliği sağlar.
Page Ratings: Url nin Zaralı kod veya içerik olmadığını denetler
TrendProtect ile yapılan aramayı görüyorsunuz. Bu eklentiler free olarak sunuluyor yani bu browser eklentileri kullanmanız için WFBS lisansı almanıza gerek yok. Eklentileri konsol üzerinden aktif ettikten sonra Client ‘ın agent tan install etmesi ve daha sonra browser üzerinde etkinleştirmesi gerekiyor.
http://www.trendsecure.com/portal/en-US/tools/security_tools eklentileri indirebilirsiniz.
Makale bitirmeden önce EICAR (European Institute for Computer Antivirus Research) Script ile Agent ları test edelim.
http://www.eicar.org linkinde virüs testlerini yapabilirsiniz.
Agent tarafındaki test sonucu. Linkteki kodlar, cansız ve zararlı kod içermeyen dosyalardır. Çoğu anti-virus yazılımı virus olarak algılar. Hiçbir zaman gerçek bir virüs ile, yazılımın test edilmesi önerilmez.
Bu Makalemde Trend Micro Worry-Free Business Security Advanced ‘in yeni özelliklerini anlatmaya çalıştım. Bir sonraki Trend Micro makalemde görüşmek üzere.
Murat GUCLU