Date post: | 05-Apr-2015 |
Category: |
Documents |
Upload: | hanne-blenker |
View: | 118 times |
Download: | 0 times |
Forefront Security for Exchange
Christian SchindlerMicrosoft Certified Master – Exchange 2007NTx BackOffice Consulting Group [email protected]://www.ntx.at
Das Unternehmen NTx
Gründung 1996Microsoft Gold Certified Partner
Advanced Infrastructure SolutionsInformation Worker SolutionsNetworking SolutionsSecurity SolutionsUnified Communications
KnowHow auch in anderen BereichenTelekommunikationCISCO
NTx Portfolio und Vision
Beratung und SupportVom Konzept bis zur Nachbetreuung
SoftwareentwicklungVon der Erweiterung bis zum Webportal
Alle Consultants sind auch TrainerKnowHow Transfer ist unser Credo!
Besuchen Sie unser technisches Blogwww.ntx.at/blog
Agenda
Heutige BedrohungsszenarienMehrstufiges Sicherheitskonzept in Exchange 2007Forefront Server Security ÜberblickBetter together: Exchange + Forefront Server SecurityAusblick Forefront Codename „Stirling“
Die heutigen Bedrohungen
Der klassische Virus hat weniger BedeutungHeutige Bedrohung durch
MalwareTrojanerRootkitsPhishing
Unerwünschte Weitergabe von Informationen
Ein bisschen Statistik…
Potentiell unerwünschte Software gefunden1
1.Windows Defender between January 1, 2007 and June 30, 20072.MSRT in 1H 20073.Exchange Hosted Services in 1H 2007 over 1H 20064.Windows Defender in 1H 2007
8M166%44%
Mit Schadsoftware infizierte Computer die bereinigt wurden2
Zuwachs an infizierten Emails. 1H 2007 verglichen mit 1H 20063
Infektionen wurden durch die Top 25 Schadsoftware verursacht4
Get the Microsoft Security Intelligence Report (Jan. – June 2007) at:
http://www.microsoft.com/sir
50.7M
Was kann ich tun?
Nutzen Sie vorhandene Mechanismen wie Windows Update usw. !
Es ist wie das Amen im Gebet
Nicht alle Bedrohungen können technisch gelöst werden
Sensibilisierung durch InformationAusarbeiten einer Security PolicyVorleben des „Sicherheitsdenken“Benutzer brauchen Restriktionen…
Was tut Microsoft?
Technologie-
investitionen
Leitfäden und
Schulungen
Industrie-partnerscha
ft
Hochqualitative Basis
Sicherheits- innovationen
Fallbeispiele, Anleitungen und Tools
Verantwortliche Reaktion auf Vorfälle (MSRC, definierte Prozesse)
Proaktive Information
Sensibilisierung und Schulung mittels Partnerschaften und Kooperationen
Teilen von Information über die Sicherheitslage
Agenda
Heutige BedrohungsszenarienMehrstufiges Sicherheitskonzept in Exchange 2007Forefront Server Security ÜberblickBetter together: Exchange + Forefront Server SecurityAusblick Forefront Codename „Stirling“
Exchange 2007 Multilayered Approach
Antivirus and anti-spam protection for Exchange Server 2007 Server
Roles
On-Premises Software
Mailbox ServerHub Transport Server
Edge Server
SMTP
Internet
Hosted Service
Firewall
Microsoft Exchange Hosted Services
Real-time threat prevention features
Multi-layer anti-spam and anti-virus
Customized content and policy enforcement
E-mail retention for help with compliance and e-discovery
Customized report generation for help demonstrating compliance
Fully indexed, searchable archive
Full e-mail encryption
No public and private key management
Gateway, policy-based e-mail encryption
Uninterrupted e-mail accessibility
Rapid recovery from unplanned disasters and network outages
Thirty-day rolling historical e-mail store
Schnittstellen für Antivirensoftware
Transport Agents (EDGE- und HUB- Transport Rolle)
Module die über definierte Schnittstellen in den SMTP Datenstrom eingreifenAuch für Anti-Spam Maßnahmen
VS API (MAILBOX-Rolle)Schnittstelle für das „Store“ ScanningOn Access Scanner für Mailboxen und Public Folder
Transport „Scan and Stamp“
Mails die von EDGE/HUB bereits gescannt wurden werden im Store nicht noch einmal überprüft
Gilt nur für gleiche Engine + gleiche VersionErfordert AV Produkt das als Transport Agent implementiert istKonfigurierbarServer akzeptieren Stamp nur von authentifizierten Quellen (keine Möglichkeit des Spoofing)
Weniger Last am Mailbox-Server
Scan and Stamp – Inbound Mail
I
N
T
E
R
N
E
T
Edge Server Hub Role Mailbox Role
Mailbox Role
Public Folder
Client
SCAN and STAMP
NO SCAN NO SCAN
• Mail wird nur am Edge gescannt• Erspart zusätzliche Last auf Hub
und Mailbox Servern
Scan and Stamp – Internal Mail
Edge Server Hub Role Mailbox Role
Mailbox Role
Public Folder
Client
SCAN and STAMP
NO SCAN NO SCAN
NO SCAN
Interne Mails werden über die Hub Rolle geroutetProactives Scanning ist am Mailbox Server (store) abgeschaltgenSpart Prozessorzeit auf den Mailbox Servern
Internet
Agenda
Heutige BedrohungsszenarienMehrstufiges Sicherheitskonzept in Exchange 2007Forefront Server Security ÜberblickBetter together: Exchange + Forefront Server SecurityAusblick Forefront Codename „Stirling“
Ansätze zur VirenbekämpfungSingle Vendor
Problem Single Point of Failure
SharePoint
ISA Server
SMTP Server
Internet
Viruses
Exchange
Exchange
Single VendorSingle Engine
Worms
Spam
A A
A A A
A
A A
Ansätze zur VirenbekämpfungMulti Vendor
Problem Management/Cost
SharePoint
ISA Server
SMTP Server
Internet
Viruses
Exchange
Exchange
Multi-vendorMulti-engine
Worms
Spam
A B
C
A
ED
B C
Ansätze zur VirenbekämpfungForefront Security
Kombiniert stärken beider Ansätze
SharePoint
ISA Server
SMTP Server
Internet
Viruses
Exchange
Exchange
Multi-vendorMulti-engine
Worms
Spam
A
C
B A
C
B
A
C
B A
C
B A
C
B
Mehrere AV Engines nutzen
Forefront Server Security Produkte integrieren die Engines der bekanntesten AV-Hersteller
Jeder Scanjob in einem Forefront Server Security Produkt kann bis zu fünf Engines gleichzeitig benutzen
Internal Messaging and Collaboration Servers
A B C ED
Der Vorteil von Multiple Engine Scanning
Schnelle Reaktionszeit bei neuen GefahrenRedundante AbsicherungVielfältigkeit der Engines und heuristischen Daten
Response time1 (in hours)The Microsoft
multiple-engine solutionWildList Number
MalwareName
Forefront Set 1
Forefront Set 2
Forefront Set 3
Vendor A* Vendor B* Vendor C*
10/2006 Areses!Itw30 0.00** 0.00 0.00 0.00 0.00 0.0010/2006 Areses!Itw36 0.00 0.00 0.00 1598.78 0.00 0.0010/2006 Areses!Itw37 0.00 0.00 0.00 0.00 52.30 175.4510/2006 Areses!Itw41 0.00 0.00 0.00 0.00 13.15 194.3510/2006 Mytob!Itw590 0.00 0.00 0.00 1332.17 0.00 0.0010/2006 Rontokbro!Itw36 0.00 0.00 0.00 0.00 0.00 613.4010/2006 Sdbot!Itw1809 0.00 0.00 0.00 9.97 166.07 270.3910/2006 Sdbot!Itw1831 65.95 52.23 41.78 59.43 1.00 46.3810/2006 Sdbot!Itw1847 56.54 56.54 204.79 416.27 29.92 85.3210/2006 Stration!Itw101 0.00 0.00 0.00 93.88 23.46 96.8510/2006 Stration!Itw102 0.00 0.00 0.00 26.00 28.05 30.8310/2006 Stration!Itw42 0.92 0.92 0.92 3.72 3.12 7.0510/2006 Stration!Itw43 2.00 2.00 2.00 4.80 4.20 8.1310/2006 Stration!Itw44 0.00 0.00 0.00 5.60 2.00 7.5810/2006 Stration!Itw45 0.00 0.00 0.00 3.55 2.00 7.5810/2006 Stration!Itw46 0.00 0.00 0.00 2.75 2.20 6.7810/2006 Stration!Itw47 0.00 0.00 0.00 3.72 3.12 7.0510/2006 Stration!Itw60 0.00 0.00 0.00 0.00 4.64 6.3211/2006 Rbot!Itw2090 0.00 0.00 0.00 1739.10 0.00 298.6411/2006 Sdbot!Itw1814 0.00 0.00 0.00 1.00 0.00 0.0011/2006 Sdbot!Itw1866 0.00 0.00 0.00 26.80 1.00 35.2711/2006 Sdbot!Itw1867 0.00 0.00 0.00 14.00 12.84 23.1411/2006 Sdbot!Itw1876 0.00 0.00 0.00 468.60 306.82 430.8011/2006 Stration!Itw124 0.00 0.00 0.38 0.66 1.88 8.8012/2006 Bagle!Itw137 0.00 0.00 0.00 4.01 0.00 13.8312/2006 Bagle!Itw141 0.00 0.00 0.00 17.15 0.00 13.8312/2006 Puce!Itw1 0.00 0.00 0.00 0.00 0.00 1.0012/2006 Rbot!Itw2038 0.00 0.00 0.00 1026.27 0.00 0.0012/2006 Sdbot!Itw1889 0.00 0.00 0.00 128.28 255.20 63.96
* Includes beta signatures** 0.00 denotes proactive detection 1 Source: AV-Test.org 2007 (www.av-test.org)
Other single-engine solutions
= Less than 5 hours
= 5 to 24 hours
= More than 24 hours
Forefront Server Security Management Console
Zentrale Verwaltungskonsole
Verteilt und konfiguriert Forefront/Antigen Security für Exchange und SharePointLädt Updates für multiple Antivirus Hersteller herunterVerteilt Updates an alle Forefront/Antigen ServerZentrales Reporting
SharePoint Servers
Exchange Servers
Benachrichtigungen und Reports
Agenda
Heutige BedrohungsszenarienMehrstufiges Sicherheitskonzept in Exchange 2007Forefront Server Security ÜberblickBetter together: Exchange + Forefront Server SecurityAusblick Forefront Codename „Stirling“
Forefront für Exchange Server 2007
Unterstützung für drei Exchange Rollen in einem Produkt64-bit Support (32-bit Support nur für Eval)Lokalisiert in 11 SprachenUnterstütz die neuen Exchange 2007 AV Features
AV Transport StampTargeted background scanning
Alle Scan Engines in einer Lizenz inkludiertAktiviert Premium Anti-Spam Funktionen von Exchange 2007Volle Unterstützung für Cluster inklusive Exchange 2007 CCR
Submission Queue
Categorizer
Recipient API
DeliveryQueue
SMTPSend SMTP
AD
Forefront anti-spam
Transport Agent/Message API
Forefront anti-virus
PickupDirectory
Ex Submit(MAPI -> SMTP)
Forefront anti-spyware
SMTPReceive
Agent Run Time Engine (MEx)
Extensibility Platform
SMTP
Forefront Integration in Exchange
Optimized Performance Controls
Bias
Es werden nicht immer die gleichen Engines verwendet – diese werden dynamisch aus dem Verfügbaren Pool zugewiesen.
A
B
C
D
Max Certainty: uses all engines (100%) Favor Certainty: uses all available engines* Neutral: uses approximately 50% of available engines*Favor Performance: uses 25% of available engines*Max Performance: uses one engine for every scan*
Optimized Performance Controls
Bias
Auch hier werden die Engines dynamisch aus dem Pool zugewiesen.A
B
Max Certainty: uses all engines (100%) Favor Certainty: uses all available engines* Neutral: uses approximately 50% of available engines*Favor Performance: uses 25% of available engines*Max Performance: uses one engine for every scan*
Mail Store Scanning Optionen
Standard modeHintergrund Scan um die Datenbank einmal täglich zu überprüfen. Nur die am meist gefährdetsten files werden gescannt.Zugriffschutz für noch nicht überprüfte Elemente
Outbreak modeRe-Scan bei Zugriff sobald die Engine aktualisiert wurde
Ultimate security modeScan bei Einlangen in der DatenbankRe-Scan bei Zugriff sobald die Engine aktualisiert wurdeKontinuierlicher Hintergrundscan mit neuen Signaturen
Inkrementeller Hintergrundscan
Möglichkeit den Hintergrundscan in Zeitfenster einzuteilenÜberprüfe nur Nachrichten der letzten
4, 6, 8, 12, 18 Stunden1, 2, 3, 4, 5, 7, 30 Tage
Kombiniert Sicherheit und LeistungDie „gefährlichsten“ Nachrichten werden überprüftDer Rest der Datenbank wird nicht ständig ohne Grund neu überprüft
Premium Anti-Spam Features
Forefront Security für Exchange Server lizenziert und aktiviert die Premium Anti-Spam Features von Exchange 2007Installiert auf Edge oder Hub Server Rolle
Edge Server kann auch in Verbindung mit Exchange 2003 Postfächern verwendet werden
Baut auf den Anti-Spam Funktionen von Exchange 2007 auf und erweitert diese:
Microsoft IP Reputation Filter Service mit automatisierten UpdatesAutomatisierte Updates für Microsoft Smartscreen Spam Heuristic, Phishing Web Sites Liste und Intelligent Message Filter (IMF)Gezielte Spam Signatur Daten und zugehörige Updates
Connection
No
Blocked IP
SMTP
Yes
Content
Yes
Reject
Safelisted Mail • Guaranteed to Inbox• Immediate Delivery• Rich rendering
Multi-directional
No
Maybe
Yes
SPAM and Bcon• Reduced Delivery
Rates • Moved to JEF• Mail not Richly
Rendered
Source analysis
Sender Filtering
SenderID Filter
AS Processed Mail• Guaranteed to Inbox• Delivery after AS
filtering• Conditional Rendering
IP Allow/Deny Safelist aggregation Anti-phishing
Feat
ures
Area
Reject
Mes
sage
Flo
wFi
lterin
g
Spoofing
No
Outlook
No
SMTP Tarpitting
Yes
Hybrid Model
Recipient Filtering
Filter
Exception lists International Domain Support
Blocked Sender
BypassBypass Spam
DNSBL
Open Proxy
Contentanalysis UX
Junk E-Mail Filter
Outbound Spam scanning
SMTP/Envelope analysis
Reject
Backscatter
Safe IP
SMTP backpressure
IP submission rate
Tran
spor
t
IP on DNSBL
Keyword filtering
Quarantine
Language independent
File Filtering Blocked Senders
Quarantine
End-to-End Anti-Spam Framework
File Filtering
Teil jeder Anti-Spam/Anti-Virus MaßnahmeFile Filtering blockt pro aktiv bestimmte File Typen, egal ob eine Signatur existiert oder nicht
Zum Block Empfohlene File Typen: EXE, COM, PIF, SCR, VBS, SHS, CHM und BAT
Flexible FiltermöglichkeitenImport von Listen
Blockiert alle Dateitypen mit Dateierweiterung .EXE. Dateityp nicht evaluiert.
Benutzt Wildcard *.* und EXEFILE um alle Dateien vom Typ “Executable” unabhängig vom Dateinamen zu Filtern
File FilteringEinrichten eines File Filters
Forefront blockt Dateierweiterung UND realen Dateityp!
Filter kann nicht umgangen werden indem Erweiterung geändert wirdSeparate Konfiguration
File FilteringEinrichten von File Filtern
Suche nach bestimmten Dateinamen oder Mustern, z.B. “resume.doc”
Wildcards unterstützt: “*resume*.doc”Jedes * steht für 250 Zeichen
File Filter können eingehend oder ausgehend definiert werden
<in>*.exe, <out>*.doc
Dateien können basierend auf der Dateigröße aber auch Kombinationen aus Größe/Name/Type/Richtung geblockt werden
<in>*.mp3>2mb<out>*.mp3>5mb<in>*.*>10mb
File Filtering Aktionen
Um Flexibilität zu gewährleisten, kann jedem Filter eine eigene Aktion zugewiesen werden
Skip:Detect only – protokolliert das Ereignis, lässt die Nachricht aber unverändert passierenNur für Testzwecke gedacht um z.B. neue Regeln zu Testen!
Delete:Remove contents – entfernt den Anhang und ersetzt ihn durch eine Datei mit einer benutzerdefinierten MeldungPurge:Eliminate message – löscht sowohl Anhang als auch NachrichtBenutzer bekommen keine Information darüber
Filter Regel: Lösche *.exeQuarantine
File Filtering – Verhalten bei Zip-Dateien
Forefront überprüft ZIP und andere Komprimierungsformate, löscht nur die betroffene Datei und ersetzt diese mit einer Text Datei
Container vor dem Scan
EXE DOC
JPGBMP
DOC
JPGBMP
TXT
Container nach dem ScanEXE
Quarantine
Benutzerdefinierter Text
Lizenzierungsmöglichkeiten
Produkt Enterprise CAL Exchange Enterprise CAL
Forefront Security Suite
Forefront for Exchange ü ü ü
Exchange Hosted Filtering ü ü ü
Exchange UM + Compliance ü ü
Einzelprodukte der Forefront Familie als User Subscription License (pro User/Device)
Einzelproduktsuiten oder CAL‘s über alle Volumen Lizenz Programme erhältlich
Agenda
Heutige BedrohungsszenarienMehrstufiges Sicherheitskonzept in Exchange 2007Forefront Server Security ÜberblickBetter together: Exchange + Forefront Server SecurityAusblick Forefront Codename „Stirling“
Keep spam out of Inboxes, simplify anti-spam administration and enable services integration.
FSE “Stirling” Vision
FSE „Stirling“ Management Features
Integration in „Stirling“ KonsoleZentrale PoliciesIntegration mit Security Assessment Sharing
Stirling Systeme kommunizieren untereinander über die KonsolePolicy-Basierte, ereignisorientierte Security Maßnahmen
FSE „Stirling“ Anti-Spam Features
Eigene DNSBL von MicrosoftEnthält auch Einträge von Drittherstellern
3rd Party Engine für Content FilterFingerprint basiertInkludiert Antiphishing Schutz
Backscatter AgentOutbound Spam Scanning
FSE Content Filter Fingerprinting
Fingerprinting algorithms applied to every incoming message
Relevant parts of the message are fingerprinted
Message reduced to anonymous fingerprints
Fingerprints do not indicate whether message is legitimate or spam
Fingerprints compared to local cache of known bad fingerprints
Cache data updated every 45 seconds
Match: message is identified as spam
No match: Heuristics are applied.
No match & No heuristics: message is identified as legitimate
Spam
Legit.
Fingerprint Cache Reject
External recipient
Hub Categorization:• Rules/Policies applied• Messages categorized• External messages ready for outbound
Token Definition:• BATV-compliant• Hashed tag• Keys maintained and rotated
Exchange internalsender
Categorizer
Outbound
FSE Backscatter protection
Anti-Backscatter Agent:• Implemented as RoutingAgent• Acts only on Outbound mail• Attaches a token to P1.MailFrom:
Microsoft TechNet Ressourcen
NTx Homepagewww.ntx.at
NTx BLOGwww.ntx.at /blog
Forefront Homepagewww.microsoft.com/forefront
Forefront TechNet Librarytechnet.microsoft.com/en-us/forefront/serversecurity/default.aspx
„Stirling“ Technet Centertechnet.microsoft.com/en-us/forefront/stirling/default.aspx
Microsoft TechNet Ressourcen
TechNet Online www.microsoft.com/austria/technet
TechNet Team Blog Österreichblogs.technet.com/austria
TechNet Evaluierungscentertechnet.microsoft.com/de-at/evalcenter/default.aspx
TechNet Abonnementwww.microsoft.com/austria/technet/technetplus.mspx
TechNet Newsflashwww.microsoft.com/austria/technet/technet_newsflash.mspx
TechNet Briefingswww.microsoft.com/austria/technet/technetbriefing.mspx
FRAGEN?