2 Protection des infrastructures Exchange en 2011 façon Ninja !!! 10/2/2011 – 16h00 – Salle 241 Alexandre Giraud – Référent Sécurité des SI - Exakis – MVP Forefront Christophe Cygan – Ingénieur Avant-Vente – Microsoft

3

4 Agenda La Solution « Messagerie Sécurisé » et ses composants Positionnement respectif des offres online et sur site Protection de la messagerie sur le datacentre et dans le nuage Les éléments de protection dans l’offre : Antispam Antimalware Filtrage du contenu Administration centralisée Publication et protection des données en scénario de nomadisme

5 Messagerie Sécurisée

6 Les avantages de chaque type de solution Antispam sur Sitedans le Cloud Protège les messages échangés entre les utilisateurs en interne dans l’entreprise Contrôle sur les mises à jour et le déploiement de la solution Personnalisation et paramétrage plus flexible Maintien des données au sein de l’entreprise ? (contraintes légales) Facilité et délai de mise en œuvre Les niveaux de service garantis Réduit la complexité Arrête le Spam avant qu’il entre dans votre réseau, mais aussi DoS Le coût fixe et prévisible Donne plus de temps aux équipes IT pour se focaliser sur les projets stratégiques

7 Protection Exchange dans le Datacentre

8 Protection Exchange dans le nuage

9 Système de protection hybride – FPES + FOPE

10 Antispam

11 Défense Antispam dans Forefront Protection 2010 pour Exchange Technologie Antispam multicouche: Analyse de la connexion (source) DNSBL, IP Allow/deny, SenderID Analyse du protocole SMTP Fidélité aux RFC, intégrité Filtrage du contenu Basé sur l’empreinte du message

12 Connection Protection Antispam dans Forefront Protection 2010 pour Exchange SMTP Contenu Reject Safelisted Mail Guaranteed to Inbox Immediate Delivery Rich rendering Cloudmark Maybe SPAM and Bacn Reduced Delivery Rates Moved to JEF Mail not Richly Rendered Analyse de la Source Sender Filtering SenderID Filter AS Processed Mail Guaranteed to Inbox Delivery after AS filtering Conditional Rendering IP Allow/Deny Safe/Block Lists Aggregation Vérifications Champ Reject Cloudmark engine Traitement des messages Filtrage RFC violations No Outlook Tarpitting Hybrid Model Recipient Filtering Filter Exception lists International Domain Support Blocked Senders Bypass Violation Spam Backscatter DNSBL Analyse du Contenu Analyse sur le Client Junk Filter Analyse du Protocole Reject Backscatter Safe IP Backpressure Submission rate Core Transport Blocked IP/ DNSBL Keyword filtering File Filtering Quara ntine DHA Spoofing

13 Tendances et statistiques du courrier indésirable Pour toute l'année 2010, environ 1 seul message entrant sur 48 est parvenu dans la boîte aux lettres des destinataires. Le reste a été bloqué sur le périmètre du réseau ou via le filtrage de contenu. Environ 95,4 % de tous les messages entrants ont été bloqués sur le périmètre du réseau, ce qui signifie que 4,6 % des messages entrants ont dû être soumis au processus de filtrage de contenu qui nécessite un plus grand nombre de ressources. L'efficacité des techniques de filtrage sur le périmètre, telles que le contrôle de la réputation des adresses IP, l'analyse de la connexion SMTP et la validation du destinataire, a considérablement augmenté au cours des dernières années, ce qui permet aux services de filtrage de courrier électronique de fournir une meilleure protection aux utilisateurs, même au moment où le volume total du trafic de courrier indésirable sur Internet reste plus élevé que jamais.

14 Microsoft Forefront Protection 2010 for Exchange Server – les résultats des tests Virus Bulletin “One of the top performers in the previous test, Microsoft’s Forefront Protection 2010 for Exchange Server saw its performance improve even further and the product outperformed its competitors in all spam categories. Thanks to just four false positives, Forefront was the only product to achieve a final score of over 99%”.

15 Antimalware

16 Technologie multi-moteur

17 Gestion des moteurs multiples « Multiple Engine Manager » (MEM) contrôle le choix des moteurs candidats pour l’analyse d’un message MEM évalue le moteurs sur la base de leurs performances ainsi que sur la date de leurs dernières mises à jours. MEM utilise ces données pour décider quel moteur a les meilleures chances de succès dans l’analyse du message. Analyse s’effectue en mémoire et avec des multiples threads Une interface de sélection des moteurs : Donne aux administrateurs le moyen de faire la balance entre sécurité et performance selon les besoins du moment. Permet de forcer un choix de moteur ou de laisser Forefront au travers de sa fonction MEM de faire un choix automatique du moteur le plus à jour.

18 Analyse du courrier entrant

19 Filtrage de contenu

20 Filtrage de contenu dans Forefront Les filtres Forefront permettent de bloquer selon les critères suivants: Filtrage par mots-clés dans le corps du message Filtrage par mots-clés dans l’objet du message Filtrage de fichiers: par type, nom, ou combinaison des deux Filtrage en fonction des expéditeurs ou du domaine d’expéditeur FOPE permet de positionner les filtres sur : Taille maxi du message, nombre maxi de destinataires, jeu de caractères en combinaison avec les règles d’en-tête, expéditeur, destinataire, pièce jointe, objet, corps du message, ceci dans le sens entrant ou sortant de messages.

21 Filtrage de fichiers dans Forefront Filtre par nom, direction, type, ou taille prise en charge des caractères de substitution, par ex : “*curriculum*.doc” *.exe, *.doc Les filtres peuvent combiner la taille, le nom, le type et la direction photo1.jpg>10mb, *.mp3>5mb, *>10mb Les fichiers qu‘on suggère de bloquer : EXE, COM, PIF, SCR, VBS, SHS, CHM et BAT (ce sont les mêmes types de fichiers qui sont bloqués par Outlook) Actions Skip: Detect only - enregistre l'événement mais ne bloque pas Delete: Remove contents - supprime la pièce jointe seule et la remplace par un texte de suppression personnalisable Purge: Eliminate message - supprime à la fois la pièce jointe et le corps du message Identifier dans l’objet du message ou dans l’en-tête (uniquement sur Hub/Edge Transport)

22 Analyse intelligente

23 Administration

24 Démonstration La console d’administration Forefront Protection 2010 pour Exchange (FPE)

25 Simplifier l’administration : Forefront Protection Server Management Console Console de Management centralisée Déploiement et configuration de FPES et FPSP Automatisation des mises à jour de signatures dans l’entreprise Les rapports globaux La session spécifique est dédié à la console d’administration FPSMC. Le jeudi 10 février 2011, (SEC2202)

26 Forefront Protection Server Management Console FonctionnalitésFPSMC (FPE 2010, FPSP 2010) Découverte des Serveurs  Gestion des Groupes des Serveurs  Déploiement d’agents de gestion à distance  Distribution des Stratégies Multi-serveur  Administration de la Quarantine globale  Redistribution des Signatures  Gestion Hybride (avec Forefront Online Protection for Exchange)  Administration des Clusters  Activation et gestion des Licenses  Reporting Centralisé  Technologies SQL ServeurSQL Express 2008 ou SQL Server 2008 Architecture d’interface d’adminWeb (ASP.NET) Architecture du ReportingSQL Express SRS + Custom Canaux de CommunicationsWCF / WS

27 Publication et sécurisation des services Microsoft Exchange Comment publier et sécuriser les informations de messagerie Microsoft Exchange ?

28 Introduction à la publication Microsoft Exchange propose 3 services : Microsoft Outlook Anywhere Microsoft ActiveSync Microsoft Outlook Web Application Problématique d’entreprise : Accès en temps réel aux informations Sécurisation et authentification Nomadisme et accès distants Protection contre le vol d’informations Les solutions : Microsoft Forefront TMG (anciennement ISA) Microsoft Forefront UAG

29 TMG et UAG ActiveSync Outlook Anywhere Outlook Web Application TMG UAG TMG est avant tout une passerelle sécurisée d’accès internet (proxy sortant) UAG est une solution avancée pour la publication (proxy entrant) OWA peut bénéficier de nombreux avantages à être publié avec UAG (authentification forte, protection des données,..) Unification des publication web sur une seule passerelle

30 TMG ou UAG, les avantages TMG Toujours des fonctions de Reverse Proxy Investissements sur « firewall » (NIS, 0-day attack) et Proxy sortant (Filtrage URL, malware, SSL inspection, …) =>Pas d’investissement sur accès distants. UAG Reverse proxy scénarios avancés Web-SSO et authentifications Firewall applicatif (URL Set) avec optimiseur Exchange Analyse du poste, politiques de sécurité Portail d’accès pour toutes les applications => « La solution » pour les accès distants => Collaboration forte avec les équipes produits

31 TMG ou UAG, conclusion ! Quel choix faire ? UAG est recommandé pour des scénarios avancés D’un point de vue technique TMG = ISA au niveau accès distants UAG : Fonctions avancées comme SSO, authentification forte, sécurité applicative (optimizer) UAG : Passerelle universelle pour MOSS, CRM, … mais aussi DirectAccess, AppV, TS, Citrix UAG inclut la protection pare-feu TMG D’un point de vue Licences UAG nécessite des CALs Sauf si le client dispose d’une ECAL (Entreprise CAL) qui inclut UAG en plus de FPE et FOPE

32 Démonstration Publication de OWA via UAG Scénario de conformité Présentation des règles URLs

33 Retours d’expérience Authentifications forte OWA Solution de grille OTP dynamique Solution de génération OTP par SMS Protection contre le vol d’informations avec OWA Vérification du numéro de série pour autoriser ActiveSync

34 Conclusion FPE et FOPE constituent une solution efficace et à la pointe de technologie pour assurer la protection de votre messagerie Exchange Vous pouvez tester dés maintenant le produit FPE en téléchargeant la version d’évaluation sur : Le service Online (FOPE) est également disponible en essai gratuit durant 30 jours : UAG est disponible en version d’évaluation de 120 jours : 740bd005-5ff9-426e-9c17-a93ae &displaylang=en 740bd005-5ff9-426e-9c17-a93ae &displaylang=en A vous de jouer … pour devenir Ninjas

35 Ressources White Papers : exchange/en/us/white-papers.aspxhttp:// exchange/en/us/white-papers.aspx Forefront Protection 2010 for Exchange Server (FPE) capacity planning tool : Forefront Protection 2010 for Exchange Server Management Pack : Microsoft Forefront Protection 2010 for Exchange Server Best Pratices Analyzer : milyID=31cc5b93-e83c-467a-892d-6a0eda208baf milyID=31cc5b93-e83c-467a-892d-6a0eda208baf Microsoft Forefront Protection Server Script Kit : milyID=70a3fb33-a4bf-4a08-aa3c-cc05c81e4ee3 milyID=70a3fb33-a4bf-4a08-aa3c-cc05c81e4ee3 List of recommendations from the Messaging Anti-Abuse Working Group: “Managing Port 25 for Residential or Dynamic IP Space: Benefits of Adoption and Risks of Inaction”. “Managing Port 25 for Residential or Dynamic IP Space: Benefits of Adoption and Risks of Inaction” Blog Alexandre Giraud : White Paper: publication Exchange avec TMG et UAG : -c910-4c97-ab22-59e91421e c910-4c97-ab22-59e91421e022

36 MSDN et TechNet : l’essentiel des ressources techniques à portée de clic Portail administration et infrastructure pour informaticiens Portail de ressources technique pour développeurs