protection des infrastructures exchange en 2011 façon ninja !!!

2

Protection des infrastructures Exchange en 2011 façon Ninja !!!

10/2/2011 – 16h00 – Salle 241Alexandre Giraud – Référent Sécurité des SI - Exakis – MVP ForefrontChristophe Cygan – Ingénieur Avant-Vente – Microsoft

4

Agenda• La Solution « Messagerie Sécurisé » et ses composants• Positionnement respectif des offres online et sur site• Protection de la messagerie sur le datacentre et dans

le nuage• Les éléments de protection dans l’offre :

• Antispam• Antimalware• Filtrage du contenu

• Administration centralisée• Publication et protection des données en scénario de

nomadisme

5

Messagerie Sécurisée

6

Les avantages de chaque type de solution Antispam

sur Site dans le Cloud• Protège les messages

échangés entre les utilisateurs en interne dans l’entreprise

• Contrôle sur les mises à jour et le déploiement de la solution

• Personnalisation et paramétrage plus flexible

• Maintien des données au sein de l’entreprise ? (contraintes légales)

• Facilité et délai de mise en œuvre

• Les niveaux de service garantis

• Réduit la complexité• Arrête le Spam avant qu’il

entre dans votre réseau, mais aussi DoS

• Le coût fixe et prévisible• Donne plus de temps aux

équipes IT pour se focaliser sur les projets stratégiques

7

Protection Exchange dans le Datacentre

8

Protection Exchange dans le nuage

9

Système de protection hybride – FPES + FOPE

10

Antispam

11

Défense Antispam dans Forefront Protection 2010 pour Exchange

• Technologie Antispam multicouche:• Analyse de la connexion (source)

• DNSBL, IP Allow/deny, SenderID• Analyse du protocole SMTP

• Fidélité aux RFC, intégrité• Filtrage du contenu

• Basé sur l’empreinte du message

12

Connection

Protection Antispam dansForefront Protection 2010 pour Exchange

SMTP Contenu

Reject

Safelisted Mail • Guaranteed to Inbox• Immediate Delivery• Rich rendering

Cloudmark

Maybe

SPAM and Bacn• Reduced Delivery Rates • Moved to JEF• Mail not Richly Rendered

Analyse de la Source

Sender Filtering

SenderID Filter

AS Processed Mail• Guaranteed to Inbox• Delivery after AS filtering• Conditional Rendering

IP Allow/Deny

Safe/Block Lists Aggregation

Vérifi

catio

nsCh

amp

Reject

Cloudmark engine

Trai

tem

ent d

es m

essa

ges

Filtr

age

RFC violations

No

Outlook

Tarpitting

Hybrid Model

Recipient Filtering

Filter

Exception lists

International Domain Support

Blocked Senders

BypassViolation

Spam

Backscatter

DNSBL

Analyse du Contenu

Analyse sur le Client

Junk E-Mail Filter

Analyse du Protocole

Reject

Backscatter

Safe IP

Backpressure

Submission rate Core

Tra

nspo

rt

Blocked IP/DNSBL

Keyword filtering

File Filtering

Quarantine

DHASpoofing

14

Microsoft Forefront Protection 2010 for Exchange Server – les résultats des tests Virus Bulletin

“One of the top performers in the previous test, Microsoft’s Forefront Protection 2010 for Exchange Server saw its performance improve even further and the product outperformed its competitors in all spam categories. Thanks to just four false positives, Forefront was the only product to achieve a final score of over 99%”.

15

Antimalware

16

Technologie multi-moteur

17

Gestion des moteurs multiples• « Multiple Engine Manager » (MEM) contrôle le choix des moteurs candidats pour l’analyse d’un

message• MEM évalue le moteurs sur la base de leurs performances ainsi que sur la date de leurs

dernières mises à jours.• MEM utilise ces données pour décider quel moteur a les meilleures chances de succès dans

l’analyse du message.• Analyse s’effectue en mémoire et avec des multiples threads

• Une interface de sélection des moteurs :• Donne aux administrateurs le moyen de faire la balance entre sécurité et performance selon les

besoins du moment. • Permet de forcer un choix de moteur ou de laisser Forefront au travers de sa fonction MEM de

faire un choix automatique du moteur le plus à jour.

18

Analyse du courrier entrant

19

Filtrage de contenu

20

Filtrage de contenu dans Forefront

• Les filtres Forefront permettent de bloquer selon les critères suivants:• Filtrage par mots-clés dans le corps du message• Filtrage par mots-clés dans l’objet du message• Filtrage de fichiers: par type, nom, ou combinaison des

deux• Filtrage en fonction des expéditeurs ou du domaine

d’expéditeur• FOPE permet de positionner les filtres sur : Taille maxi du

message, nombre maxi de destinataires, jeu de caractères en combinaison avec les règles d’en-tête, expéditeur, destinataire, pièce jointe, objet, corps du message, ceci dans le sens entrant ou sortant de messages.

21

Filtrage de fichiers dans Forefront

• Filtre par nom, direction, type, ou taille• prise en charge des caractères de substitution, par ex : “*curriculum*.doc”• <in>*.exe, <out>*.doc

• Les filtres peuvent combiner la taille, le nom, le type et la direction• <in>photo1.jpg>10mb, <out>*.mp3>5mb, <in>*>10mb

• Les fichiers qu‘on suggère de bloquer : EXE, COM, PIF, SCR, VBS, SHS, CHM et BAT (ce sont les mêmes types de fichiers qui sont bloqués par Outlook)

• Actions• Skip: Detect only - enregistre l'événement mais ne bloque pas• Delete: Remove contents - supprime la pièce jointe seule et la remplace par

un texte de suppression personnalisable• Purge: Eliminate message - supprime à la fois la pièce jointe et le corps du

message• Identifier dans l’objet du message ou dans l’en-tête (uniquement sur

Hub/Edge Transport)

22

Analyse intelligente

23

Administration

24

DémonstrationLa console d’administration Forefront Protection 2010 pour Exchange (FPE)

25

Simplifier l’administration : Forefront Protection Server

Management ConsoleConsole de Management centralisée

Déploiement et configuration de FPES et FPSPAutomatisation des mises à jour de signatures dans l’entrepriseLes rapports globaux

La session spécifique est dédié à la console d’administration FPSMC. Le jeudi 10 février 2011, (SEC2202)

26

Forefront Protection Server Management ConsoleFonctionnalités FPSMC (FPE 2010, FPSP 2010)

Découverte des Serveurs £Gestion des Groupes des Serveurs £Déploiement d’agents de gestion à distance £Distribution des Stratégies Multi-serveur £Administration de la Quarantine globale £Redistribution des Signatures £Gestion Hybride (avec Forefront Online Protection for Exchange) £Administration des Clusters £Activation et gestion des Licenses £Reporting Centralisé £

TechnologiesSQL Serveur SQL Express 2008 ou SQL Server 2008

Architecture d’interface d’admin Web (ASP.NET)

Architecture du Reporting SQL Express SRS + Custom

Canaux de Communications WCF / WS

27

Publication et sécurisation des services Microsoft Exchange

• Comment publier et sécuriser les informations de messagerie Microsoft Exchange ?

28

Introduction à la publication• Microsoft Exchange propose 3 services :

• Microsoft Outlook Anywhere• Microsoft ActiveSync• Microsoft Outlook Web Application

• Problématique d’entreprise :• Accès en temps réel aux informations• Sécurisation et authentification• Nomadisme et accès distants• Protection contre le vol d’informations

• Les solutions :• Microsoft Forefront TMG (anciennement ISA)• Microsoft Forefront UAG

29

TMG et UAG ActiveSync Outlook

AnywhereOutlook Web Application

TMG

UAG

• TMG est avant tout une passerelle sécurisée d’accès internet (proxy sortant)

• UAG est une solution avancée pour la publication (proxy entrant)• OWA peut bénéficier de nombreux avantages à être publié

avec UAG (authentification forte, protection des données, ..)• Unification des publication web sur une seule passerelle

30

TMG ou UAG, les avantages • TMG

• Toujours des fonctions de Reverse Proxy• Investissements sur « firewall » (NIS, 0-day attack) et

Proxy sortant (Filtrage URL, malware, SSL inspection, …)• =>Pas d’investissement sur accès distants.

• UAG• Reverse proxy scénarios avancés Web-SSO et

authentifications• Firewall applicatif (URL Set) avec optimiseur Exchange• Analyse du poste, politiques de sécurité• Portail d’accès pour toutes les applications• => « La solution » pour les accès distants• => Collaboration forte avec les équipes produits

31

TMG ou UAG, conclusion !

• Quel choix faire ?• UAG est recommandé pour des scénarios avancés• D’un point de vue technique

• TMG = ISA au niveau accès distants• UAG : Fonctions avancées comme SSO,

authentification forte, sécurité applicative (optimizer)• UAG : Passerelle universelle pour MOSS, CRM, … mais

aussi DirectAccess, AppV, TS, Citrix• UAG inclut la protection pare-feu TMG

• D’un point de vue Licences• UAG nécessite des CALs• Sauf si le client dispose d’une ECAL (Entreprise CAL)

qui inclut UAG en plus de FPE et FOPE

32

DémonstrationPublication de OWA via UAGScénario de conformitéPrésentation des règles URLs

33

Retours d’expérience• Authentifications forte OWA

• Solution de grille OTP dynamique• Solution de génération OTP par SMS

• Protection contre le vol d’informations avec OWA

• Vérification du numéro de série pour autoriser ActiveSync

34

Conclusion• FPE et FOPE constituent une solution efficace et à la pointe

de technologie pour assurer la protection de votre messagerie Exchange

• Vous pouvez tester dés maintenant le produit FPE en téléchargeant la version d’évaluation sur : http://www.microsoft.com/forefront/en/us/trial-software.aspx

• Le service Online (FOPE) est également disponible en essai gratuit durant 30 jours : https://provisioning.messaging.microsoft.com/trial.aspx

• UAG est disponible en version d’évaluation de 120 jours : http://www.microsoft.com/downloads/en/details.aspx?FamilyID=740bd005-5ff9-426e-9c17-a93ae8629582&displaylang=en

• A vous de jouer … pour devenir Ninjas

http://www.microsoft.com/forefront/en/us/trial-software.aspx

http://www.microsoft.com/forefront/en/us/trial-software.aspx

https://provisioning.messaging.microsoft.com/trial.aspx

https://provisioning.messaging.microsoft.com/trial.aspx

http://www.microsoft.com/downloads/en/details.aspx?FamilyID=740bd005-5ff9-426e-9c17-a93ae8629582&displaylang=en



35

Ressources• White Papers :

http://www.microsoft.com/forefront/protection-for-exchange/en/us/white-papers.aspx

• Forefront Protection 2010 for Exchange Server (FPE) capacity planning tool : http://go.microsoft.com/fwlink/?LinkId=191021

• Forefront Protection 2010 for Exchange Server Management Pack : http://go.microsoft.com/fwlink/?LinkId=18962

• Microsoft Forefront Protection 2010 for Exchange Server Best Pratices Analyzer : http://www.microsoft.com/downloads/en/details.aspx?displaylang=en&FamilyID=31cc5b93-e83c-467a-892d-6a0eda208baf

• Microsoft Forefront Protection Server Script Kit : http://www.microsoft.com/downloads/en/details.aspx?displaylang=en&FamilyID=70a3fb33-a4bf-4a08-aa3c-cc05c81e4ee3

• List of recommendations from the Messaging Anti-Abuse Working Group: “Managing Port 25 for Residential or Dynamic IP Space: Benefits of Adoption and Risks of Inaction”.

• Blog Alexandre Giraud : www.alexgiraud.net/blog • White Paper: publication Exchange avec TMG et UAG : http://

www.microsoft.com/downloads/en/details.aspx?FamilyID=894bab3e-c910-4c97-ab22-59e91421e022



http://go.microsoft.com/fwlink/?LinkId=191021

http://go.microsoft.com/fwlink/?LinkId=18962

http://www.microsoft.com/downloads/en/details.aspx?displaylang=en&FamilyID=31cc5b93-e83c-467a-892d-6a0eda208baf




http://www.microsoft.com/downloads/en/details.aspx?displaylang=en&FamilyID=70a3fb33-a4bf-4a08-aa3c-cc05c81e4ee3




http://www.maawg.org/sites/maawg/files/news/MAAWG_Port25rec0511.pdf



http://www.alexgiraud.net/blog

http://www.microsoft.com/downloads/en/details.aspx?FamilyID=894bab3e-c910-4c97-ab22-59e91421e022



36

MSDN et TechNet : l’essentiel des ressources techniques à portée de clic

http://technet.com http://msdn.com

Portail administration et infrastructure pour informaticiens

Portail de ressources technique pour développeurs

protection des infrastructures exchange en 2011 façon ninja !!!

Documents

protection des donnes

filtrage de contenu

protection hybride fpes

date7protection exchange

date6protection exchange

messages entrants

date10dfense antispam

messagerie scurise