forefront protection 2010 for exchange

Juan Luis García RamblaConsultor seguridad y sistemas

MVP Consumer Securityjlgrambla@informatica64.com

http://www.informatica64.comhttp://www.forefront-es.com

http://www.windowstecnico.comhttp://legalidadinformatica.blogspot.com

Introducción

– FPE 2010 proporciona un sistema de protección del correo electrónico para Exchange Server 2007 y 2010.• Solución multimotor antivirus.

• Protección contra gusanos.

• Sistema Antispam.

• Implementación de filtros adicionales a los proporcionados por Exchange.

– Evoluciona de la antigua solución de Forefront Security.

Mejoras y novedades

• Nueva consola de administración, con mejoras en la monitorización de amenazas y el estado del sistema

• Protección Antispam Premium. Incluye Forefront DNS block list, anti-backspatter protocol filtering e integración con el motor de filtro de contenido Cloudmark.

• Análisis antispyware proporcionado por el motor Antimalware de Microsoft.

• Integración y soporte con Exchange 2010, Hyper-V y PorwerShell para tareas de administración centralizada.

• Integración con Forefront Online Protection para entornos híbridos.

Escenarios

• FPE es compatible en su implementación con todos los escenarios de implementación de Exchange Server.

• Permite su instalación en cada uno de los roles que presenta el servicio.

• Adapta su funcionalidad en función del rol en el que se encuentra instalado.

Análisis de correo entrante

1. El correo es analizado en el servidor Edge Transport . Se identifica y marca comoseguro. Se enruta al servidor Hub Transport de la organización.

2. El correo marcado como analizado es entregado al servidor Mailbox sin análisisadicional.

Análisis de correo interno

1. El correo es analizado en el servidor Hub Transport . Se identifica y marca comoseguro.

2. El correo marcado como analizado es entregado al servidor Mailbox sin análisisadicional.

Análisis de correo saliente

1. El correo es analizado en el servidor Hub Transport . Se identifica y marca comoseguro.

2. El correo marcado como analizado es entregado al servidor Edge Transport sin análsisadicional.

Análisis en servidor Mailbox

• Permite análisis de tipo:– Online.

– Offline.

• Controla directamente el acceso a los buzones por parte de aplicaciones clientes, incluidas la web. Por ejemplo la subida de ficheros adjuntos a través del OWA.

• El análisis offline es interesante para detectar la presencia de posible malware que por su novedad no se incluyeran en las firmas de detección en tiempo real.

• Este análisis permite establecer estrategias diferentes de análisis, con la solución multimotor.

Análisis de malware

• Implementa 5 motores, además del motor de detección de gusanos.

• Basa su funcionalidad en función del tipo de servidor y la estrategia de análisis planificada.

Capas de protección

• FPE proporciona protección de filtrado mediante la aplicación de diferente técnicas en cuatro capas de aplicación secuencial.

Filtrado de correo no deseado

• Filtrado de conexión. Filtrado de la IP permitidsd, bloqueadas y elementos DNS bloqueados de propiedad (DNSBL).

• Filtrado de remitentes. Permite o bloquea direcciones o dominios, incluidos los que presenta remitente en blanco.

• Identificación de remitente. Implementa la tecnología de Sender ID.

• Filtrado de destinatarios. Listas de destinatarios permitidos o bloqueados.

• Filtrado de contenido. Utiliza el motor de protección Cloudmark para analizar y establecer el nive de confianza (SCL).

• Filtro de retrodifusión. Evita el correo enlazado o las notificaciones de estado de entrega por correos que no se enviaron de las direcciones de sus organizaciones

Filtros en Forefront Protection

• FPE permite la implantación de filtros adicionales a los que proporciona el servicio de Exchange.

– Filtro de remitentes permitidos.

– Filtro de ficheros.

– Filtro de palabras.

– Filtro de remitentes o dominio.

– Filtro en el asunto.

Aplicación de filtros

• Los filtros podrán aplicarse en función del sistema de análisis que se plantea:

Powershell

• Proporciona funciones para las tareas de administración y extensión de la configuración de FPE.

• Tareas de administración como gestión de motores, de incidencias o cuarentena, pueden implementarse mediante scripting.

• Se permite las tareas de exportación e importación de la configuración del sistema.

– Export-FseSettings -path c:\ConfigSettings\Export.xml

Protección de infraestructura de Exchange con Forefront Protection

Forefront Online Protection

• Proporciona de protección al servicio de correo de una organización directamente en Internet.

• Forefront Online Protection for Exchange consta de diversas tecnologías por capas que facilitan la protección del correo entrante y saliente de las empresas frente:

– Correo no deseado.

– Malware.

– Suplantación de identidad (phishing).

– Infracciones de las directivas relacionadas con el correo electrónico.

Componentes del servicio

• Aplicación de directivas deContenido activo, conexión y filtrado.

• Protección frente a virus y correo electrónico no deseado.

• Seguimiento e informes en tiempo real de los mensajes.

• Recuperación frente a desastres.

• Integración con la infraestructura de Forefront protection forExchange 2010.

Funcionamiento del servicio

Garantías de servicio

• Incorpora acuerdos de nivel de servicios.

– Infraestructura de red:• Tiempo de actividad del servicio 99,999%.

• Compromiso de entrega de correo electrónico medio inferior a un minuto.

– Precisión del bloque:• Protección del 100% contra todos los virus de correo electrónico

conocidos.

• Detención de al menos 98% de los correos entrantes no deseados.

• Compromiso de proporción de falsos positivos inferior a 1 por cada 250.000.