360 likes | 460 Views
Protection des infrastructures Exchange en 2011 façon Ninja !!!. 10/2/2011 – 16h00 – Salle 241 Alexandre Giraud – Référent Sécurité des SI - Exakis – MVP Forefront Christophe Cygan – Ingénieur Avant-Vente – Microsoft. Agenda. La Solution « Messagerie Sécurisé » et ses composants
E N D
Protection des infrastructures Exchange en 2011 façon Ninja !!! 10/2/2011 – 16h00 – Salle 241 Alexandre Giraud – Référent Sécurité des SI - Exakis – MVP Forefront Christophe Cygan – Ingénieur Avant-Vente – Microsoft
Agenda • La Solution « Messagerie Sécurisé » et ses composants • Positionnement respectif des offres online et sur site • Protection de la messagerie sur le datacentre et dans le nuage • Les éléments de protection dans l’offre : • Antispam • Antimalware • Filtrage du contenu • Administration centralisée • Publication et protection des données en scénario de nomadisme
Les avantages de chaque type de solution Antispam sur Site dans le Cloud Protège les messages échangés entre les utilisateurs en interne dans l’entreprise Contrôle sur les mises à jour et le déploiement de la solution Personnalisation et paramétrage plus flexible Maintien des données au sein de l’entreprise ? (contraintes légales) Facilité et délai de mise en œuvre Les niveaux de service garantis Réduit la complexité Arrête le Spam avant qu’il entre dans votre réseau, mais aussi DoS Le coût fixe et prévisible Donne plus de temps aux équipes IT pour se focaliser sur les projets stratégiques
Défense Antispam dans Forefront Protection 2010 pour Exchange • Technologie Antispam multicouche: • Analyse de la connexion (source) • DNSBL, IP Allow/deny, SenderID • Analyse du protocole SMTP • Fidélité aux RFC, intégrité • Filtrage du contenu • Basé sur l’empreinte du message
Protection Antispam dansForefront Protection 2010 pour Exchange Analyse du Contenu Analyse de la Source Analyse du Protocole Analyse sur le Client Champ Connection SMTP Outlook Contenu Filtrage Cloudmark engine IP Allow/Deny Tarpitting Sender Filtering Junk E-Mail Filter Recipient Filtering Backpressure DNSBL File Filtering International Domain Support Core Transport Vérifications Submission rate Backscatter Keyword filtering SenderID Filter Safe/Block Lists Aggregation Hybrid Model Exception lists • Safelisted Mail • Guaranteed to Inbox • Immediate Delivery • Rich rendering Cloudmark Bypass • AS Processed Mail • Guaranteed to Inbox • Delivery after AS filtering • Conditional Rendering Safe IP Violation Traitement des messages No Spam Spoofing Blocked IP/ DNSBL Backscatter RFC violations DHA Blocked Senders Maybe • SPAM and Bacn • Reduced Delivery Rates • Moved to JEF • Mail not Richly Rendered Reject Reject Reject Quarantine Filter
Microsoft Forefront Protection 2010 for Exchange Server – les résultats des tests Virus Bulletin “One of the top performers in the previous test, Microsoft’s Forefront Protection 2010for Exchange Server saw its performance improve even further and theproduct outperformed its competitors in all spam categories. Thanks to just four false positives, Forefront was the only product to achieve a final score of over 99%”.
Gestion des moteurs multiples • « Multiple Engine Manager » (MEM) contrôle le choix des moteurs candidats pour l’analyse d’un message • MEM évalue le moteurs sur la base de leurs performances ainsi que sur la date de leurs dernières mises à jours. • MEM utilise ces données pour décider quel moteur a les meilleures chances de succès dans l’analyse du message. • Analyse s’effectue en mémoire et avec des multiples threads • Une interface de sélection des moteurs : • Donne aux administrateurs le moyen de faire la balance entre sécurité et performance selon les besoins du moment. • Permet de forcer un choix de moteur ou de laisser Forefront au travers de sa fonction MEM de faire un choix automatique du moteur le plus à jour.
Filtrage de contenu dans Forefront • Les filtres Forefront permettent de bloquer selon les critères suivants: • Filtrage par mots-clés dans le corps du message • Filtrage par mots-clés dans l’objet du message • Filtrage de fichiers: par type, nom, ou combinaison des deux • Filtrage en fonction des expéditeurs ou du domaine d’expéditeur • FOPE permet de positionner les filtres sur : Taille maxi du message, nombre maxi de destinataires, jeu de caractères en combinaison avec les règles d’en-tête, expéditeur, destinataire, pièce jointe, objet, corps du message, ceci dans le sens entrant ou sortant de messages.
Filtrage de fichiers dans Forefront • Filtre par nom, direction, type, ou taille • prise en charge des caractères de substitution, par ex : “*curriculum*.doc” • <in>*.exe, <out>*.doc • Les filtres peuvent combiner la taille, le nom, le type et la direction • <in>photo1.jpg>10mb, <out>*.mp3>5mb, <in>*>10mb • Les fichiers qu‘on suggère de bloquer : EXE, COM, PIF, SCR, VBS, SHS, CHM et BAT (ce sont les mêmes types de fichiers qui sont bloqués par Outlook) • Actions • Skip: Detectonly - enregistre l'événement mais ne bloque pas • Delete: Remove contents - supprime la pièce jointe seule et la remplace par un texte de suppression personnalisable • Purge: Eliminate message - supprime à la fois la pièce jointe et le corps du message • Identifier dans l’objet du message ou dans l’en-tête (uniquement sur Hub/Edge Transport)
Démonstration La console d’administration Forefront Protection 2010 pour Exchange (FPE)
Simplifier l’administration : Forefront Protection Server Management Console • Console de Management centralisée • Déploiement et configuration de FPES et FPSP • Automatisation des mises à jour de signatures dans l’entreprise • Les rapports globaux La session spécifique est dédié à la console d’administration FPSMC. Le jeudi 10 février 2011, (SEC2202)
Publication et sécurisation des services Microsoft Exchange • Comment publier et sécuriser les informations de messagerie Microsoft Exchange ?
Introduction à la publication • Microsoft Exchange propose 3 services : • Microsoft Outlook Anywhere • Microsoft ActiveSync • Microsoft Outlook Web Application • Problématique d’entreprise : • Accès en temps réel aux informations • Sécurisation et authentification • Nomadisme et accès distants • Protection contre le vol d’informations • Les solutions : • Microsoft Forefront TMG (anciennement ISA) • Microsoft Forefront UAG
TMG et UAG • TMG est avant tout une passerelle sécurisée d’accès internet (proxy sortant) • UAG est une solution avancée pour la publication (proxy entrant) • OWA peut bénéficier de nombreux avantages à être publié avec UAG (authentification forte, protection des données, ..) • Unification des publication web sur une seule passerelle
TMG ou UAG, les avantages • TMG • Toujours des fonctions de Reverse Proxy • Investissements sur « firewall » (NIS, 0-day attack) et Proxy sortant (Filtrage URL, malware, SSL inspection, …) • =>Pas d’investissement sur accès distants. • UAG • Reverse proxy scénarios avancés Web-SSO et authentifications • Firewall applicatif (URL Set) avec optimiseur Exchange • Analyse du poste, politiques de sécurité • Portail d’accès pour toutes les applications • => « La solution » pour les accès distants • => Collaboration forte avec les équipes produits
TMG ou UAG, conclusion ! • Quel choix faire ? • UAG est recommandé pour des scénarios avancés • D’un point de vue technique • TMG = ISA au niveau accès distants • UAG : Fonctions avancées comme SSO, authentification forte, sécurité applicative (optimizer) • UAG : Passerelle universelle pour MOSS, CRM, … mais aussi DirectAccess, AppV, TS, Citrix • UAG inclut la protection pare-feu TMG • D’un point de vue Licences • UAG nécessite des CALs • Sauf si le client dispose d’une ECAL (Entreprise CAL) qui inclut UAG en plus de FPE et FOPE
Démonstration Publication de OWA via UAG Scénario de conformité Présentation des règles URLs
Retours d’expérience • Authentifications forte OWA • Solution de grille OTP dynamique • Solution de génération OTP par SMS • Protection contre le vol d’informations avec OWA • Vérification du numéro de série pour autoriser ActiveSync
Conclusion • FPE et FOPE constituent une solution efficace et à la pointe de technologie pour assurer la protection de votre messagerie Exchange • Vous pouvez tester dés maintenant le produit FPE en téléchargeant la version d’évaluation sur : http://www.microsoft.com/forefront/en/us/trial-software.aspx • Le service Online (FOPE) est également disponible en essai gratuit durant 30 jours : https://provisioning.messaging.microsoft.com/trial.aspx • UAG est disponible en version d’évaluation de 120 jours : http://www.microsoft.com/downloads/en/details.aspx?FamilyID=740bd005-5ff9-426e-9c17-a93ae8629582&displaylang=en • A vous de jouer … pour devenir Ninjas
Ressources • White Papers : http://www.microsoft.com/forefront/protection-for-exchange/en/us/white-papers.aspx • Forefront Protection 2010 for Exchange Server (FPE) capacity planning tool : http://go.microsoft.com/fwlink/?LinkId=191021 • Forefront Protection 2010 for Exchange Server Management Pack : http://go.microsoft.com/fwlink/?LinkId=18962 • Microsoft Forefront Protection 2010 for Exchange Server Best PraticesAnalyzer : http://www.microsoft.com/downloads/en/details.aspx?displaylang=en&FamilyID=31cc5b93-e83c-467a-892d-6a0eda208baf • Microsoft Forefront Protection Server Script Kit : http://www.microsoft.com/downloads/en/details.aspx?displaylang=en&FamilyID=70a3fb33-a4bf-4a08-aa3c-cc05c81e4ee3 • List of recommendations from the Messaging Anti-Abuse Working Group: “Managing Port 25 for Residential or Dynamic IP Space: Benefits of Adoption and Risks of Inaction”. • Blog Alexandre Giraud : www.alexgiraud.net/blog • White Paper: publication Exchange avec TMG et UAG : http://www.microsoft.com/downloads/en/details.aspx?FamilyID=894bab3e-c910-4c97-ab22-59e91421e022
MSDN et TechNet: l’essentiel des ressources techniques à portée de clic • Portail administration et infrastructure pour informaticiens • Portail de ressources technique pour développeurs http://technet.com http://msdn.com