La présentation est en train de télécharger. S'il vous plaît, attendez

La présentation est en train de télécharger. S'il vous plaît, attendez

Stanislas Quastana, CISSP Architecte Infrastructure (et super fan dISA Server depuis Proxy 2.0 ) Microsoft France

Présentations similaires


Présentation au sujet: "Stanislas Quastana, CISSP Architecte Infrastructure (et super fan dISA Server depuis Proxy 2.0 ) Microsoft France"— Transcription de la présentation:

1 Stanislas Quastana, CISSP Architecte Infrastructure (et super fan dISA Server depuis Proxy 2.0 ) Microsoft France

2 Introduction Nouvelles fonctionnalités Déploiement et administration Protection des clients Web Protection de la messagerie Prévention des intrusions Améliorations du pare-feu Forefront TMG et Forefront Stirling Synthèse Ressources utiles

3 Introduction Nouvelles fonctionnalités Déploiement et administration Protection des clients Web Protection de la messagerie Prévention des intrusions Améliorations du pare-feu Forefront TMG et Forefront Stirling Synthèse Ressources utiles

4

5 Passerelle daccès sécurisée Protection contre les menaces en ligne Plateforme universelle daccès distants aux applications (Web et C/S)

6 Contrôler les accès entrant et sortant au niveau du périmètre de votre réseau Protéger les utilisateurs lors de la navigation sur le Web Protéger les infrastructures de messagerie Protéger les machines contre les exploits au travers du réseau Faciliter ladministration et le déploiement

7 Proxy authentifiant / pare-feu multicouches Anti-virus HTTP et filtrage dURLs Inspection du trafic HTTP et HTTPS Passerelle sécurisée pour le Web VPN nomade VPN Site à site Publication Web sécurisée Passerelle daccès distant Anti Spam Anti Virus Filtrage du contenu des courriers Relais de messagerie sécurisé Solution tout en 1 pour les moyennes entreprises ou les réseaux dagences Pare-feu, VPN, Web sécurisé, NIS, relais SMTP sécurisé Unified Threat Management (UTM)

8 Introduction Nouvelles fonctionnalités Déploiement et administration Protection des clients Web Protection de la messagerie Prévention des intrusions Améliorations du pare-feu Forefront TMG et Forefront Stirling Synthèse Ressources utiles

9 Pré-requis dinstallation Windows Server bit PowerShell,.Net Framework 3.5, MSMQ Assistant de démarrage (configuration initiale) Interface orientée tâches Gestion centralisée de la configuration (groupe de serveurs) Amélioration de la journalisation et des rapports

10 Aperçu de la console Forefront TMG

11 Analyse anti logiciels malveillants Analyse des fichiers téléchargés Paramétrage de lanalyse global ou par règle Filtrage dURLs Catégories dURL et exclusions Inspection du trafic sortant HTTPS Filtrage dURLs, analyse AV et protection IPS Zone dadministration dédiée au contrôle des accès Web sortants

12 Moteur antivirus de Microsoft 3 scénarios danalyse Régulier : analyse du contenu avant délivrance Si le temps dinspection prend moins de X secondes Si le temps dinspection dépasse X secondes Page HTML avec barre de progression de lanalyse Pour les exécutables et certains types de fichiers Envoi de contenu partiel (Trickling) Dinfimes morceaux de données (sains) sont envoyés au client jusquà ce que linspection complète du fichier soit finie

13 Analyse AV

14 Une fois la session SSL établie, les proxies ou les pare-feu sont incapables de voir les données échangées. De nombreuses logiciels utilisent cette solution Outlook 2003/2007 (RPC over HTTPS) Terminal Server (via la passerelle TS) Messageries instantanées Clients VPN SSL Logiciels P2P….

15 IM P2P MS RPC… IM, P2P, MS RPC… Client Pare feu réseau Internet HTTP(S) http, https, FTP IM, P2P, MS RPC… HTTP, https, FTP…

16 Comment réduire le risque induit par ces échanges non contrôlés ? Limiter les accès HTTPS sortants via des listes blanches Bloquer les requêtes dans la phase de négociation Déchiffrer le SSL en sortie au niveau du proxy/pare feu (Man In The Middle). Concept intéressant en terme de sécurité mais pas vraiment en terme de confidentialité… … on va en discuter car Forefront TMG fonctionne sur ce modèle

17 Internet IM P2P MS RPC… IM, P2P, MS RPC… Client Forefront TMG HTTPS Analyse HTTP (URL, entêtes, contenu, antivirus…) & Inspection SSL

18 Inspection SSL

19 Hygiène complète des flux SMTP Anti-virus multi moteurs (5 à choisir parmi 8) Anti-spam/ Anti-Phishing Filtrage de contenu Grâce à lintégration de Exchange Server 2007 en rôle Edge Forefront Security for Exchange Protège tout type de serveur SMTP

20 Paramétrage

21 Détection et prévention des attaques sur des vulnérabilités connues Permet de fermer la fenêtre le temps nécessaire aux tests et au déploiement des correctifs de sécurité Forefront Network Inspection System (NIS) Basé sur GAPA provenant de Microsoft Research Generic Application Level Protocol Analyzer Basé sur des signatures de vulnérabilités Mise à jour via Microsoft Update

22

23 Filtrage SIP Redondance des connexions Internet (2 FAI) NAT « avancé » Nouveau client pare-feu Découverte automatique et sécurisée avec utilisation Active Directory

24 Local IP PBX support SIP messages quota protection Support de SIP trunk

25 2 options dutilisation : Tolérance de panne Agrégation de liens Uniquement pour le trafic sortant Trafic réseau « NATé » par Forefront TMG pour le réseau Externe

26 Ou presque ;-)

27

28

29

30

31

32

33

34

35

36

37

38

39

40

41

42 Support de Network Access Protection Mise en conformité et quarantaine Support des nouveaux algorithmes (AES…) Support de SSTP Avec un peu de chance, on peut espérer celui de IKEv2 (VPN Reconnect) disponible dans Windows Server 2008 R2 combiné à Windows 7 si ce nest pas dans la version RTM de Forefront TMG, ça pourrait arriver avec le premier Service Pack

43 Introduction Nouvelles fonctionnalités Déploiement et administration Protection des clients Web Protection de la messagerie Prévention des intrusions Améliorations du pare-feu Forefront TMG et Forefront Stirling Synthèse Ressources utiles

44 Protection des postes et serveurs Protection des applications serveurs Protection du périmètre « v2 » Remontée et partage dinformations Réponse dynamique Administration / Supervision

45 Intégration à la suite de sécurité Supervision au travers de System Center Operation Manager Remontée des incidents Participation dynamique à la protection globale Stratégies de réponse et de remède

46 Introduction Nouvelles fonctionnalités Déploiement et administration Protection des clients Web Protection de la messagerie Prévention des intrusions Améliorations du Pare-feu Forefront TMG et Forefront Stirling Synthèse Ressources utiles

47 Pare feu réseau Pare- feu applicatif Protection des accès Internet (Proxy) Publication basique Web IPSec VPN (remote & site-to-site) Web caching, HTTP compression Web anti-virus, anti malware URL filtering anti-malware, anti-spam Network intrusion prevention ISA 2006 ForefrontTMG Integration with codename Stirling Enhanced UI, management, reporting Exchange publishing (RPC over HTTP) Windows Server 2008, 64-Bit (only) TMG dans EBS* Nouveau * EBS = Windows Essential Business Server Nouveau Nouveau Nouveau Nouveau Nouveau Nouveau Nouveau Nouveau

48 VoIP traversal (SIP) NAT « avancé » Redondance des connexions FAI Pare-feu Anti-virus/spyware HTTP(s) Filtrage dURLs Inspection https sortant Accès Web sécurisés Intégration dExchange Edge/FSE Anti-virus Anti-spam Protection messagerie Intrusion Prevention System Security Assessment and Response (SAS) Prévention des intrusions VPN avec support de Network Access Protection (NAP) SSTP Accès distants W2K8, 64-bit natif Assistants adaptés aux scénarios Amélioration des journaux et des rapports Déploiement et admin. Update Center : HTTP: AV+ Filtrage dURLs AV+Anti-Spam Signatures NIS Abonnement Services 48

49 Blog de Stanislas Dans ce blog, cliquez Forefront TMG / Threat Management Gateway dans la zone de tags pour accéder à toutes les informations complémentaires et les liens vers les documents de références.

50 14 – 15 avril 2010, CICG

51 Classic Sponsoring Partners Premium Sponsoring Partners

52


Télécharger ppt "Stanislas Quastana, CISSP Architecte Infrastructure (et super fan dISA Server depuis Proxy 2.0 ) Microsoft France"

Présentations similaires


Annonces Google