Stanislas Quastana, CISSP Architecte Infrastructure (et super fan dISA Server depuis Proxy 2.0 )...
-
Upload
odille-blandin -
Category
Documents
-
view
105 -
download
0
Transcript of Stanislas Quastana, CISSP Architecte Infrastructure (et super fan dISA Server depuis Proxy 2.0 )...
Forefront Threat Management Gateway
Stanislas Quastana, CISSPArchitecte Infrastructure (et super fan d’ISA Server depuis Proxy 2.0 )
Microsoft Francehttp://blogs.technet.com/stanislas
AgendaPrésentation de la nouvelle génération ISA
IntroductionNouvelles fonctionnalités
Déploiement et administrationProtection des clients WebProtection de la messageriePrévention des intrusionsAméliorations du pare-feu
Forefront TMG et Forefront StirlingSynthèseRessources utiles
AgendaPrésentation de la nouvelle génération ISA
IntroductionNouvelles fonctionnalités
Déploiement et administrationProtection des clients WebProtection de la messageriePrévention des intrusionsAméliorations du pare-feu
Forefront TMG et Forefront StirlingSynthèseRessources utiles
2004
2006
2007
2008
2009
Un peu d’histoire
Passerelle d’accès sécurisée Protection contre les menaces en ligne
Plateforme universelle d’accès distants aux applications (Web et C/S)
Objectifs de Forefront TMG
Contrôler les accès entrant et sortant au niveau du périmètre de votre réseauProtéger les utilisateurs lors de la navigation sur le WebProtéger les infrastructures de messagerieProtéger les machines contre les exploits au travers du réseauFaciliter l’administration et le déploiement
Scénarios de déploiement• Proxy authentifiant / pare-feu
multicouches• Anti-virus HTTP et filtrage d’URLs• Inspection du trafic HTTP et HTTPS
Passerelle sécurisée pour
le Web
• VPN nomade• VPN Site à site• Publication Web sécurisée
Passerelle d’accès distant
• Anti Spam• Anti Virus• Filtrage du contenu des courriers
Relais de messagerie
sécurisé
• Solution tout en 1 pour les moyennes entreprises ou les réseaux d’agences
• Pare-feu, VPN, Web sécurisé, NIS, relais SMTP sécurisé
Unified Threat Management
(UTM)
AgendaPrésentation de la nouvelle génération ISA
IntroductionNouvelles fonctionnalités
Déploiement et administrationProtection des clients WebProtection de la messageriePrévention des intrusionsAméliorations du pare-feu
Forefront TMG et Forefront StirlingSynthèseRessources utiles
Déploiement et administration
Pré-requis d’installationWindows Server 2008 64 bitPowerShell, .Net Framework 3.5, MSMQ
Assistant de démarrage (configuration initiale)Interface orientée tâchesGestion centralisée de la configuration (groupe de serveurs)Amélioration de la journalisation et des rapports
Administration
demoAperçu de la console Forefront TMG
Protection des clients Web
Analyse anti logiciels malveillantsAnalyse des fichiers téléchargésParamétrage de l’analyse global ou par règle
Filtrage d’URLsCatégories d’URL et exclusions
Inspection du trafic sortant HTTPSFiltrage d’URLs, analyse AV et protection IPS
Zone d’administration dédiée au contrôle des accès Web sortants
Protection des clients WebAnalyse anti-logiciels malveillants
Moteur antivirus de Microsoft3 scénarios d’analyseRégulier : analyse du contenu avant délivrance
Si le temps d’inspection prend moins de X secondes
Si le temps d’inspection dépasse X secondes Page HTML avec barre de progression de l’analyse
Pour les exécutables et certains types de fichiers
Envoi de contenu partiel (Trickling)D’infimes morceaux de données (sains) sont envoyés au client jusqu’à ce que l’inspection complète du fichier soit finie
Accès Web sécurisés
demoAnalyse AV
Protection des clients WebLe cas du trafic HTTPS sortant
Une fois la session SSL établie, les proxies ou les pare-feu sont incapables de voir les données échangées.
De nombreuses logiciels utilisent cette solution
Outlook 2003/2007 (RPC over HTTPS)Terminal Server (via la passerelle TS)Messageries instantanéesClients VPN SSLLogiciels P2P….
Protection des clients WebInspection du trafic HTTPS sortant
Comment réduire le risque induit par ces échanges non contrôlés ?
Limiter les accès HTTPS sortants via des listes blanchesBloquer les requêtes dans la phase de négociationDéchiffrer le SSL en sortie au niveau du proxy/pare feu (Man In The Middle).
Concept intéressant en terme de sécurité mais pas vraiment en terme de confidentialité… … on va en discuter car Forefront TMG fonctionne sur ce modèle
Internet
IM
P2P
MS RPC…
IM, P2P, MS RPC…
Forefront TMG et les flux SSL
Client
Forefront TMG
HTTPS
Analyse HTTP (URL, entêtes,
contenu, antivirus…) & Inspection SSL
Accès Web sécurisés
demoInspection SSL
Protection de la messagerie électronique
Hygiène complète des flux SMTPAnti-virus multi moteurs (5 à choisir parmi 8)Anti-spam/ Anti-PhishingFiltrage de contenu
Grâce à l’intégration de Exchange Server 2007 en rôle EdgeForefront Security for Exchange
Protège tout type de serveur SMTP
Protection de la messagerie
demoParamétrage
Prévention des intrusions réseaux
Détection et prévention des attaques sur des vulnérabilités connuesPermet de “fermer la fenêtre” le temps nécessaire aux tests et au déploiement des correctifs de sécurité Forefront Network Inspection System (NIS)
Basé sur GAPA provenant de Microsoft Research
Generic Application Level Protocol Analyzer
Basé sur des signatures de vulnérabilitésMise à jour via Microsoft Update
Intrusion Prevention System
demo
Améliorations du pare-feuFiltrage SIPRedondance des connexions Internet (2 FAI)NAT « avancé » Nouveau client pare-feu
Découverte automatique et sécurisée avec utilisation Active Directory
Améliorations du pare-feuFiltrage SIP
Local IP PBX supportSIP messages quota protectionSupport de SIP trunk
Améliorations du pare-feuRedondance des connexions FAI
2 options d’utilisation :Tolérance de panneAgrégation de liens
Uniquement pour le trafic sortantTrafic réseau « NATé » par Forefront TMG pour le réseau Externe
Redondance / Aggrégation FAI
Ou presque ;-)
démo
Améliorations du VPN nomade
Support de Network Access ProtectionMise en conformité et quarantaine
Support des nouveaux algorithmes (AES…)
Support de SSTPAvec un peu de chance, on peut espérer celui de IKEv2 (VPN Reconnect) disponible dans Windows Server 2008 R2 combiné à Windows 7 si ce n’est pas dans la version RTM de Forefront TMG, ça pourrait arriver avec le premier Service Pack
AgendaPrésentation de la nouvelle génération ISA
IntroductionNouvelles fonctionnalités
Déploiement et administrationProtection des clients WebProtection de la messageriePrévention des intrusionsAméliorations du pare-feu
Forefront TMG et Forefront StirlingSynthèseRessources utiles
Forefront Stirling
Protection des postes et serveurs
Protection des applications
serveurs
Protection du périmètre
« v2 »
Remontée et partaged’informations
Réponsedynamique
Administration / Supervision
AgendaPrésentation de la nouvelle génération ISA
IntroductionNouvelles fonctionnalités
Déploiement et administrationProtection des clients WebProtection de la messageriePrévention des intrusionsAméliorations du Pare-feu
Forefront TMG et Forefront StirlingSynthèseRessources utiles
Synthèse des nouveautés• VoIP traversal (SIP)•NAT « avancé »• Redondance des connexions FAI
Pare-feu
• Anti-virus/spyware HTTP(s)
• Filtrage d’URLs• Inspection https sortant
Accès Web sécurisés
• Intégration d’Exchange Edge/FSE
• Anti-virus• Anti-spamProtection messagerie
• Intrusion Prevention System
• Security Assessment and Response (SAS)
Prévention des intrusions
• VPN avec support de Network Access Protection (NAP)
• SSTPAccès distants
• W2K8, 64-bit natif• Assistants adaptés aux
scénarios• Amélioration des
journaux et des rapports
Déploiement et admin.
• Update Center :• HTTP: AV+ Filtrage
d’URLs• Email: AV+Anti-Spam• Signatures NIS
Abonnement Services
48
Ressources utiles
Blog de Stanislas
http://blogs.technet.com/stanislas
Dans ce blog, cliquez Forefront TMG / Threat Management Gateway dans la zone de tags pour accéder à toutes les informations complémentaires et les liens vers les documents de références.
Save the date for tech·days next year!
14 – 15 avril 2010, CICG
Classic Sponsoring Partners
Premium Sponsoring Partners