352B - Forefront pour la protec3on des infrastructures de messagerie Stéphane Saunier, Fabien Duchène et Cyril Voisin MicrosoD
Sommaire! Vue d'ensemble! Forefront Protec3on 2010 for Exchange (FPES)! An#spam! Filtrage an#malware! Filtrage de contenu! Exploita#on! Forefront Online Protec#on for Exchange (FOPE)! Intégra#on avec Forefront Protec#on Manager (FPM)! Synthèse
3 grandes préoccupa3ons filtrage an3virus filtrage de contenu filtrage an3spam 2 grandes solu3ons : FPES / FOPE! Forefront Protec3on for Exchange Server (FPES)! Forefront Online Protec3on for Exchange (FOPE) 3 types de déploiements sur site hébergé hybride
Système de protec3on hybride FPES + FOPE + Exchange pare- feu logiciel sur site Internet Mail poli3que an3spam passerelle FOPE poli3que an3spam administra3on totale SMTP Mail Exchange Edge Hub Exchange serveur Mailbox
Focus sur l architecture FPES SMTP Edge Transport Routing Hub Transport SMTP Routing Mailbox Public Folders Client Access Web services, OWA, Outlook Forefront AV Agent (Routing Agent) Forefront AV Agent (Routing Agent) Forefront AV VSAPI FPES FPES FPES FPES Forefront Scanning Processes Forefront Scanning Processes Forefront Scanning Processes Engine Update Service Configuration DCOM process Eventing Service FSCController PowerShell
DEMO : la console FPES
Administra3on par script FPES Intégra3on Interface u3lisateur Script PowerShell PowerShell Ou3ls Tierces
DEMO : PowerShell
Défense An3spam Forefront Forefront Protec3on for Exchange u3lise plusieurs technologies pour évaluer l'iden3té de l'autre par3e, sa réputa3on et la fidélité de la transac3on SMTP Forefront Anti-Spam Protection Layers Viruses Malware Spam Source Analysis Protocol Analysis Content Analysis Client Analysis IP Allow/Block DNSBL SenderID SMTP TarpiVng Submission Rate (IP) Safelists Enforcement Hybrid Model Filtering Cloudmark Filter Fingerprin3ng
Défense An3spam Forefront Analyse de la source Source Analysis IP Allow/Block DNSBL SenderID Exécutée à différents points de la transac3on SMTP Résultat d'une collabora3on entre des équipes de MicrosoT et celles de partenaires externes pour fournir des solu3ons simples et efficaces
Protec3on an3spam FPES en lien avec l'adresse IP source! IP Allow / Deny Lists! DNSBL! hébergé par MicrosoT, sans surcoût de service! agrège de mul3ples sources DNSBL
FPES et DNSBL! 5. si la vérifica3on du hash échoue ou si la requête arrive en clair, NXDOMAIN est retourné, serveur Exchange protégé par FPES Client se connectant I N T E R N E T Service DNSBL FOPE 1. déclenchement des agents DNSBL par une requête de connexion en provenance de l'internet, 2. l'agent DNSBL de FPES construit une requête DNS avec un jeton hashé aeaché et envoie la requête au fournisseur de service DNSBL, 3. le fournisseur de service DNSBL valide le hash et répond à la requête, 4. le fournisseur de service DNSBL envoie la réponse en clair : si une correspondance est trouvée, il retourne 127.0.0.x (drop) si aucune correspondance n'est trouvée, il retourne NXDOMAIN (accept) 6. DNSBL est totalement transparent pour l'administra3on il n'y a rien à configurer! exemple de format de requête DNS : adresse IP address: 131.107.88.67 format de la requête hashée : 123ASD098LKJ0192-131.107.88.67.blocklist.messaging.microsoT.com 123ASD098LKJ0192 jeton hashé 131.107.88.67 adresse IP original blocklist.messaging.microsot.com fournisseur de service DNSBL
Défense An3spam FPES Analyse du protocole Protocol Analysis agrège la protec3on des composants intégrés au pipeline de transport et les technologies de Forefront fournit un point d'accès unique à la Global Excep#ons List pour les agents an3spam de Forefront (la Global Excep#ons List est partagée entre les filtres Forefront )
protec3on an3spam FPES SMTP Envelope / Data Related! par organisa3on! Backscaeer Protec3on! SenderID Verifica3on! Global Sender Filtering! Global Recipient Filtering! Global Exclusion List! par des3nataire! Safe / Blocked Senders! Safe / Blocked Recipients
filtrage SenderID de FPES Client se connectant I N T E R N E T serveur Exchange protégé par FPES serveurs DNS des domaines de messagerie! prise en charge des représenta3ons courantes et anciennes des entrées DNS! SPF 1.0 et SPF 2.0! types d'enregistrement DNS TXT et SPF (type 99)x 1. déclenchement de l'agent Forefront par une requête de connexion en provenance d'internet 2. l'agent SenderID de Forefront requête le serveur DNS du domaine de messagerie 3. le DNS de l'expéditeur du message répond à la requête 4. l'agent SenderID de Forefront vérifie que l'adresse IP du client qui se connecte est autorisée à envoyer des messages pour ce domaine
FPES BackscaWer protec#on sor3e Traitement HUB expéditeur Exchange interne des3nataire externe Traitement Hub: Applica3on des règles et policies Message prêt à l envoi Defini3on du Token : Compa3ble BATV Il s agit d un Hashed tag généré à par3r de clés privés An3- Backsca[er Agent: Implémenté comme un Agent de Routage Seulement sur les mails sortant. Aeache un jeton sur MailFrom:
Protec3on An3spam FPES Analyse de contenu! Nouvel agent de filtrage de contenu! Intégra3on de la technologie Cloudmark Authority! Possibilité de configurer les indices de sensibilités sur les mails non formellement catégorisés (Mails suspects)! Permet de choisir entre un traitement de quarantaines sur le serveur ou dans les boites u3lisateurs! Pour les Spam, choix sur l envoie d un NDR ou non.
Sélec3on Intelligente des moteurs! «Mul#ple Engine Manager» (MEM) contrôle le choix des moteurs candidats pour l analyse d un message! MEM évalue le moteurs sur la base de leurs performance ainsi que sur la date de leurs dernières mises à jours.! MEM u3lise ces données pour décider quel(s) moteur(s) aura (auront) les meilleures chance de succès dans l analyse du message.! Analyse en mémoire et en mul3 thread.! Une nouvelle interface de sélec3on des moteurs remplaçant l ancienne no3on de «BIAS» :! Donne aux administrateurs le moyen de choisir entre sécurité et performance selon les besoins du moment.! Permet de forcer un choix de moteur ou de laisser Forefront au travers de sa fonc3on MEM de faire un choix automa3que du moteur le plus à jour à un instant «t»
Quelques op3ons disponibles
Analyse en Transport Courrier entrant I N T E R N E T serveur Edge rôle Hub rôle Mailbox ANALYSE et MARQUAGE (stamp) PAS D'ANALYSE PAS D'ANALYSE! Les messages ne sont analysés qu une fois sur le Edge! Libère des cycle sur les serveurs Hub et Mailbox rôle Mailbox Dossier Public Client
Analyse en Transport Courrier entrant I N T E R N E T serveur Edge rôle Hub rôle Mailbox ANALYSE et MARQUAGE (stamp) PAS D'ANALYSE PAS D'ANALYSE! Les messages ne sont analysés qu une fois sur le Edge! Libère des cycle sur les serveurs Hub et Mailbox rôle Mailbox Dossier Public Client
Analyse en Transport! Un entête (header) sécurisé est écrit sur chaque message sur le Edge (mails entrants) ou sur le Hub (mails sortants) lors de la première analyse! X- MS- Exchange- Organiza3on- AVStamp- Mailbox: MSFTFF; 1;0;0 0 0 le numéro de version du moteur est toujours 1! Cet entête est vérifié lors des tenta3ves d'analyse ultérieures (Edge, Hub ou Store)! Si présent, le message n est pas analysé de nouveau! Sur le «Store» :! L'entête est transformé en propriété MAPI.! Les propriétés MAPI sont persistantes! L'entête X- header est re3ré.
Analyse en Transport Courrier sortant Internet serveur Edge rôle Hub rôle Mailbox PAS D'ANALYSE ANALYSE et MARQUAGE (stamp) PAS D'ANALYSE rôle Mailbox Client! Les courriers internes sont «routés» par le rôle Hub! L'analyse proactive sur le serveur Mailbox est activée par défaut! Economise du temps CPU sur les serveurs Mailbox PAS D'ANALYSE Dossier Public
Analyse en Transport Courrier sortant Internet serveur Edge rôle Hub rôle Mailbox PAS D'ANALYSE ANALYSE et MARQUAGE (stamp) PAS D'ANALYSE rôle Mailbox Client! Les courriers internes sont «routés» par le rôle Hub! L'analyse proactive sur le serveur Mailbox est activée par défaut! Economise du temps CPU sur les serveurs Mailbox PAS D'ANALYSE Dossier Public
Analyse automa3que en cas d'a[aque! L'op3on Scan ater engine update est désac3vée par défaut! Lorsqu'elle est ac3vée, elle incrémente le numéro de version du moteur an3virus à chaque mise à jour d'un moteur d'analyse! le suivi des numéros de version se fait dans la base de données Exchange! La version indiquée par une analyse en mode transport étant toujours 1, tous les messages sont scannés de nouveau au niveau du store! Ceee op3on ac3ve l'op3on de Proac3ve Scanning! Les messages seront de nouveau analysés au moment de l'ouverture! En cas d'aeaque, cocher la case pour provoquer une nouvelle analyse à chaque mise à jour d'un moteur et à l'ouverture des messages
analyse programmée u3lise! moteurs AV! règles de filtrage de fichiers! règles de filtrage de contenu (sujet, domaine de l'expéditeur)
DEMO tâche exécutée à la demande, mise à jour de moteurs! lors d'une analyse à la demande, possibilité de sélec3onner! Mailboxes! Public folders! op3ons d'analyse! à u3liser pour analyser un dossier ou une boîte aux leeres par3culière! Get- FseOnDemandScan - status
analyse an3spyware! le moteur MicrosoT AV doit être ac3vé! ac3va3on de l'analyse an3spyware pour l'analyse en mode transport/temps réel/programmée :! défini3on de l'ac3on (l'an3virus est prioritaire):
fonc3onnalité WormPurge! suppression du message du ver en en3er, y compris le corps du message! arrêt du ver avant qu'il n'entre dans le réseau! minimisa3on de l'impact sur le réseau! aucun impact sur le store ou les services email! ni le message, ni les pièces jointes ne sont mises en quarantaine! pour une économie d'espace et une meilleure efficacité de la zone de quarantaine! aucune no3fica3on n'est envoyée! les u3lisateurs ne sont pas alarmés pas d'appel au support! les inonda3ons de no3fica3ons sont arrêtées! op3on d'envoyer une no3fca3on à des administrateurs de "vers"! la purge de vers est ac3vée par défaut; pour le désac3ver :! Set-FseTransportScan -EnableWormPurge $false
filtrage de fichiers Forefront! filtre par nom, direc3on, type, ou taille! prise en charge des caractères de subs3tu3on, par ex : *curriculum*.doc! <in>*.exe, <out>*.doc! les filtres peuvent combiner la taille, le nom, le type et la direc3on! <in>photo1.jpg>10mb, <out>*.mp3>5mb, <in>*>10mb! fichiers qu'il est suggéré de bloquer : EXE, COM, PIF, SCR, VBS, SHS, CHM et BAT (ce sont les fichiers qui sont bloqués par Outlook)! ac3ons! Skip: Detect only enregistre l'événement mais ne bloque pas! Delete: Remove contents supprime la pièce jointe seule et la remplace par un texte de suppression personnalisable! Purge: Eliminate message supprime à la fois la pièce jointe et le corps du message
35
no3fica3ons par email permet aux u3lisateurs/ administrateurs d'êtee informés à propos des infec3ons/ changements :! no3fica3on d'incident incident lié à un filtre ou à un malware, peut être personnlisée et configurée pour être envoyée à l'auteur du fichier! no3fica3on d'événement no3fica3on de FPES vers un administrateur pour indiquer son statut
quarantaine! FPES crée une copie de chaque fichier détecté dans sa forme orginale et le stocke de manière encodée dans le dossier de quarantaine! la base de données d'incident (ESENT) con3ent les données du fichier! nom du fichier, nom du filtre, auteur, dernière modifica3on, etc.! l'administrateur peut accéder au panneau de quarantaine! pour suppression (Delete Selected Items)! ou extrac3on (Export Filtered Data) note: le serveur Exchange Server u3lise une quarantaine séparée
DEMO : Incidents, quarantaine
Forefront Online Security for Exchange SLA L offre FOPE fournit un ensemble de SLAs couvrant les performances réseau et la qualité du service an3 spam et an3 virus Spam and Virus Filtering Effec3veness 100% Known Virus Detec3on 98% Spam Detec3on < 1:250,000 False Posi3ve Ra3o Filtering Network Performance Network Up3me (>99.999%) Rapid E- mail Delivery (Average delivery commitment of less than 1 minute)
Architecture FOPE Internet Cloud I N T E R N E T Service FOPE En ligne Serveur de messagerie du client Quarantaine Spam
Service de Filtrage fonc3onnalités Filtrage à différents niveaux: An3- Spam An3- Virus: 3 moteurs indépendant (Kaspersky, Symantec et Trend) Filtrage de contenu Quarantaine de Spam pour u3lisateurs et Administrateur No3fica3ons (Francais, Anglaise, etc ) l envoi peut être jusqu a journalier Interface Web pour vérifier votre Spam 24/24, 7/7
DEMO : FOPE Interface d administration
Supervision centralisée FPM : Proposi3on de valeur! Visibilité centralisée des rapports de sécurité! Agréga3on des données collectées sur les différents serveur Exchange! Publica3on de rapports de tendances.! An3 Spam! Quarantaine unifiée! Administra3on simplifiée! Ges3on de mul3ple serveurs autonome ou en cluster! Ges3on des licences Forefront! Centralisa3on des mises à jours (produit, moteurs, signatures)! Intégra3on des Poli3ques de sécurité! Pousse une poli3que de sécurité au travers de mul3ples serveurs Exchange! Intégra3on au «Bus de Sécurité» SAS (Security Assessment Sharing framework)! Des alertes remontées par n importe quel protecteur d «asset» (ie FPES,TMG, Etc. ) peu déclencher une réponse prise en compte par d autre protecteurs
DEMO : réponse sur alerte de messagerie Internet Les moteurs AV de FPES détectent un message infecté envoyé par Fabiod et le nettoie automatiquement Technologie TMG FPES Centrale Personnalisée Réponse blocage de l'accès Internet Security Assessments Sharing Channel analyser la boîte aux le[res de l'u3lisateur alerte l'administrateur à propos d'un problème de sécurité spécifique exécu3on d'un script d'administrateur base de données d'incidents incident viral évalua3on 2-3 min serveur Exchange protégé par FPES AD FPSP FPES réini3alisa3on de compte analyse de boîte aux leeres Fabiod Poste Client bloquer messagerie
Conclusion Premium Email Security Forte intégration à Exchange 2007 and 2010 et Online Protection for Exchange filtrage antispam DNS Block List Inspection de contenu Allow/Block Lists Détection de spam entrant ou sortant Backscattering filtrage antimalware et de contenu protection par plusieurs moteurs protection antivirus protection antispyware mots clés nom ou type de fichiers sujet pour l'entreprise gestion intégrée de politique avec FPM performance et fiabilité améliorées intégration avec un service hébergé politique antispam commune pour FOPE & FPES antivirus en mode transport pour Exchange Online filtrage de spam entrant en amont pour réduire le TCO bâti sur l'infrastructure Microsoft Windows Server 2008 Active Directory CCR Clustering SC OpsMgr 2007 R2 SC ConfMgr 2007 SCC Clustering