Forefront Threat Management Gateway

Download Report

Transcript Forefront Threat Management Gateway 

Stanislas Quastana, CISSP
Architecte Infrastructure (et super fan d’ISA Server depuis Proxy 2.0
)
Microsoft France
http://blogs.technet.com/stanislas
Présentation de la nouvelle génération ISA
Introduction
Nouvelles fonctionnalités
Déploiement et administration
Protection des clients Web
Protection de la messagerie
Prévention des intrusions
Améliorations du pare-feu
Forefront TMG et Forefront Stirling
Synthèse
Ressources utiles
Présentation de la nouvelle génération ISA
Introduction
Nouvelles fonctionnalités
Déploiement et administration
Protection des clients Web
Protection de la messagerie
Prévention des intrusions
Améliorations du pare-feu
Forefront TMG et Forefront Stirling
Synthèse
Ressources utiles
Passerelle d’accès
sécurisée Protection contre
les menaces en ligne
2004
2006
2007
2008
2009
Plateforme universelle
d’accès distants aux
applications (Web et C/S)
Contrôler les accès entrant et sortant au
niveau du périmètre de votre réseau
Protéger les utilisateurs lors de la navigation
sur le Web
Protéger les infrastructures de messagerie
Protéger les machines contre les exploits au
travers du réseau
Faciliter l’administration et le déploiement
Passerelle
sécurisée pour le
Web
Passerelle
d’accès distant
Relais de
messagerie
sécurisé
Unified Threat
Management
(UTM)
• Proxy authentifiant / pare-feu multicouches
• Anti-virus HTTP et filtrage d’URLs
• Inspection du trafic HTTP et HTTPS
• VPN nomade
• VPN Site à site
• Publication Web sécurisée
• Anti Spam
• Anti Virus
• Filtrage du contenu des courriers
• Solution tout en 1 pour les moyennes
entreprises ou les réseaux d’agences
• Pare-feu, VPN, Web sécurisé, NIS, relais
SMTP sécurisé
Présentation de la nouvelle génération ISA
Introduction
Nouvelles fonctionnalités
Déploiement et administration
Protection des clients Web
Protection de la messagerie
Prévention des intrusions
Améliorations du pare-feu
Forefront TMG et Forefront Stirling
Synthèse
Ressources utiles
Pré-requis d’installation
Windows Server 2008 64 bit
PowerShell, .Net Framework 3.5, MSMQ
Assistant de démarrage (configuration
initiale)
Interface orientée tâches
Gestion centralisée de la configuration
(groupe de serveurs)
Amélioration de la journalisation et des
rapports
Aperçu de la
console Forefront TMG
Analyse anti logiciels malveillants
Analyse des fichiers téléchargés
Paramétrage de l’analyse global ou par règle
Filtrage d’URLs
Catégories d’URL et exclusions
Inspection du trafic sortant HTTPS
Filtrage d’URLs, analyse AV et protection IPS
Zone d’administration dédiée au contrôle
des accès Web sortants
Analyse anti-logiciels malveillants
Moteur antivirus de Microsoft
3 scénarios d’analyse
Régulier : analyse du contenu avant délivrance
Si le temps d’inspection prend moins de X secondes
Si le temps d’inspection dépasse X secondes
Page HTML avec barre de progression de l’analyse
Pour les exécutables et certains types de fichiers
Envoi de contenu partiel (Trickling)
D’infimes morceaux de données (sains) sont envoyés au client
jusqu’à ce que l’inspection complète du fichier soit finie
Analyse AV
Le cas du trafic HTTPS sortant
Une fois la session SSL établie, les proxies ou les
pare-feu sont incapables de voir les données
échangées.
De nombreuses logiciels utilisent cette solution
Outlook 2003/2007 (RPC over HTTPS)
Terminal Server (via la passerelle TS)
Messageries instantanées
Clients VPN SSL
Logiciels P2P….
Inspection du trafic HTTPS sortant
Comment réduire le risque induit par ces
échanges non contrôlés ?
Limiter les accès HTTPS sortants via des listes
blanches
Bloquer les requêtes dans la phase de négociation
Déchiffrer le SSL en sortie au niveau du proxy/pare feu
(Man In The Middle).
Concept intéressant en terme de sécurité mais pas vraiment en
terme de confidentialité…
… on va en discuter car Forefront TMG fonctionne sur ce
modèle  
Analyse HTTP
(URL, entêtes,
contenu,
antivirus…) &
Inspection SSL
IM
P2P
HTTPS
MS RPC…
Client
IM, P2P, MS RPC…
Forefront TMG
Internet
Inspection SSL
Hygiène complète des flux SMTP
Anti-virus multi moteurs (5 à choisir parmi 8)
Anti-spam/ Anti-Phishing
Filtrage de contenu
Grâce à l’intégration de
Exchange Server 2007 en rôle Edge
Forefront Security for Exchange
Protège tout type de serveur SMTP
Paramétrage
Détection et prévention des attaques sur
des vulnérabilités connues
Permet de “fermer la fenêtre” le temps
nécessaire aux tests et au déploiement des
correctifs de sécurité
Forefront Network Inspection System (NIS)
Basé sur GAPA provenant de Microsoft
Research
Generic Application Level Protocol Analyzer
Basé sur des signatures de vulnérabilités
Mise à jour via Microsoft Update
Filtrage SIP
Redondance des connexions Internet (2
FAI)
NAT « avancé » 
Nouveau client pare-feu
Découverte automatique et sécurisée avec
utilisation Active Directory
Filtrage SIP
Local IP PBX support
SIP messages quota protection
Support de SIP trunk
Redondance des connexions FAI
2 options d’utilisation :
Tolérance de panne
Agrégation de liens
Uniquement pour le trafic sortant
Trafic réseau « NATé » par Forefront TMG
pour le réseau Externe
Ou presque ;-)
Support de Network Access Protection
Mise en conformité et quarantaine
Support des nouveaux algorithmes (AES…)
Support de SSTP
Avec un peu de chance, on peut espérer celui de
IKEv2 (VPN Reconnect) disponible dans Windows
Server 2008 R2 combiné à Windows 7  si ce n’est
pas dans la version RTM de Forefront TMG, ça
pourrait arriver avec le premier Service Pack
Présentation de la nouvelle génération ISA
Introduction
Nouvelles fonctionnalités
Déploiement et administration
Protection des clients Web
Protection de la messagerie
Prévention des intrusions
Améliorations du pare-feu
Forefront TMG et Forefront Stirling
Synthèse
Ressources utiles
Administration / Supervision
Réponse
dynamique
Remontée et
partage
d’informations
Protection des
postes et
serveurs
« v2 »
Protection des
applications
serveurs
Protection du
périmètre
Présentation de la nouvelle génération ISA
Introduction
Nouvelles fonctionnalités
Déploiement et administration
Protection des clients Web
Protection de la messagerie
Prévention des intrusions
Améliorations du Pare-feu
Forefront TMG et Forefront Stirling
Synthèse
Ressources utiles
• VoIP
traversal
(SIP)
•NAT « avancé »
• Redondance des
connexions FAI
Pare-feu
• Anti-virus/spyware
HTTP(s)
• Filtrage d’URLs
• Inspection https
sortant
• Intégration
d’Exchange
Edge/FSE
• Anti-virus
• Anti-spam
• Intrusion
Prevention
System
• Security
Assessment and
Response (SAS)
Accès Web
sécurisés
Protection
messagerie
Prévention des
intrusions
• VPN avec support
de Network
Access Protection
(NAP)
• SSTP
• W2K8, 64-bit natif
• Assistants adaptés
aux scénarios
• Amélioration des
journaux et des
rapports
• Update Center :
• HTTP: AV+ Filtrage
d’URLs
• Email: AV+Anti-Spam
• Signatures NIS
Accès
distants
Déploiement
et admin.
Abonnement
Services
48
Blog de Stanislas
http://blogs.technet.com/stanislas
Dans ce blog, cliquez Forefront TMG /
Threat Management Gateway dans la
zone de tags pour accéder à toutes les
informations complémentaires et les
liens vers les documents de références.
14 – 15 avril 2010, CICG
Premium Sponsoring Partners
Classic Sponsoring Partners