Forefront Security for Exchange Christian Schindler Microsoft Certified Master – Exchange 2007 NTx BackOffice Consulting Group GmbH

Präsentation zum Thema: "Forefront Security for Exchange Christian Schindler Microsoft Certified Master – Exchange 2007 NTx BackOffice Consulting Group GmbH"—  Präsentation transkript:

1 Forefront Security for Exchange Christian Schindler Microsoft Certified Master – Exchange 2007 NTx BackOffice Consulting Group GmbH Christian.schindler@ntx.at http://www.ntx.at

2 Das Unternehmen NTx Gründung 1996 Microsoft Gold Certified Partner Advanced Infrastructure Solutions Information Worker Solutions Networking Solutions Security Solutions Unified Communications KnowHow auch in anderen Bereichen TelekommunikationCISCO

3 NTx Portfolio und Vision Beratung und Support Vom Konzept bis zur Nachbetreuung Softwareentwicklung Von der Erweiterung bis zum Webportal Alle Consultants sind auch Trainer KnowHow Transfer ist unser Credo! Besuchen Sie unser technisches Blog www.ntx.at/blog

4 Agenda Heutige Bedrohungsszenarien Mehrstufiges Sicherheitskonzept in Exchange 2007 Forefront Server Security Überblick Better together: Exchange + Forefront Server Security Ausblick Forefront Codename Stirling

5 Die heutigen Bedrohungen Der klassische Virus hat weniger Bedeutung Heutige Bedrohung durch MalwareTrojanerRootkitsPhishing Unerwünschte Weitergabe von Informationen

6 Ein bisschen Statistik… Potentiell unerwünschte Software gefunden 1 1.Windows Defender between January 1, 2007 and June 30, 2007 2.MSRT in 1H 2007 3.Exchange Hosted Services in 1H 2007 over 1H 2006 4.Windows Defender in 1H 2007 Mit Schadsoftware infizierte Computer die bereinigt wurden 2 Zuwachs an infizierten Emails. 1H 2007 verglichen mit 1H 2006 3 Infektionen wurden durch die Top 25 Schadsoftware verursacht 4 Get the Microsoft Security Intelligence Report (Jan. – June 2007) at: http://www.microsoft.com/sir

7 Was kann ich tun? Nutzen Sie vorhandene Mechanismen wie Windows Update usw. ! Es ist wie das Amen im Gebet Es ist wie das Amen im Gebet Nicht alle Bedrohungen können technisch gelöst werden Sensibilisierung durch Information Ausarbeiten einer Security Policy Vorleben des Sicherheitsdenken Benutzer brauchen Restriktionen…

8 Was tut Microsoft? Technologie- investitionen Leitfäden und Schulungen Industrie- partnerschaft Hochqualitative Basis Sicherheits- innovationen Fallbeispiele, Anleitungen und Tools Verantwortliche Reaktion auf Vorfälle (MSRC, definierte Prozesse) Proaktive Information Sensibilisierung und Schulung mittels Partnerschaften und Kooperationen Teilen von Information über die Sicherheitslage

9 Agenda Heutige Bedrohungsszenarien Mehrstufiges Sicherheitskonzept in Exchange 2007 Forefront Server Security Überblick Better together: Exchange + Forefront Server Security Ausblick Forefront Codename Stirling

10 Exchange 2007 Multilayered Approach Antivirus and anti-spam protection for Exchange Server 2007 Server Roles On-Premises Software Mailbox Server Hub Transport Server Edge Server SMTP Internet Hosted Service Firewall

11 Microsoft Exchange Hosted Services Real-time threat prevention features Multi-layer anti-spam and anti-virus Customized content and policy enforcement E-mail retention for help with compliance and e-discovery Customized report generation for help demonstrating compliance Fully indexed, searchable archive Full e-mail encryption No public and private key management Gateway, policy-based e-mail encryption Uninterrupted e-mail accessibility Rapid recovery from unplanned disasters and network outages Thirty-day rolling historical e-mail store

12 Schnittstellen für Antivirensoftware Transport Agents (EDGE- und HUB- Transport Rolle) Module die über definierte Schnittstellen in den SMTP Datenstrom eingreifen Auch für Anti-Spam Maßnahmen VS API (MAILBOX-Rolle) Schnittstelle für das Store Scanning On Access Scanner für Mailboxen und Public Folder

13 Transport Scan and Stamp Mails die von EDGE/HUB bereits gescannt wurden werden im Store nicht noch einmal überprüft Gilt nur für gleiche Engine + gleiche Version Erfordert AV Produkt das als Transport Agent implementiert ist Konfigurierbar Server akzeptieren Stamp nur von authentifizierten Quellen (keine Möglichkeit des Spoofing) Weniger Last am Mailbox-Server

14 Scan and Stamp – Inbound Mail INTERNETINTERNET Edge Server Hub RoleMailbox Role Public Folder Client SCAN and STAMP NO SCAN Mail wird nur am Edge gescannt Erspart zusätzliche Last auf Hub und Mailbox Servern

15 Scan and Stamp – Internal Mail Edge ServerHub RoleMailbox Role Public Folder Client SCAN and STAMP NO SCAN Interne Mails werden über die Hub Rolle geroutet Proactives Scanning ist am Mailbox Server (store) abgeschaltgen Spart Prozessorzeit auf den Mailbox Servern Internet

16 Agenda Heutige Bedrohungsszenarien Mehrstufiges Sicherheitskonzept in Exchange 2007 Forefront Server Security Überblick Better together: Exchange + Forefront Server Security Ausblick Forefront Codename Stirling

17 Ansätze zur Virenbekämpfung Single Vendor Problem Single Point of Failure SharePoint ISA Server SMTP Server Internet Viruses ExchangeExchange Single Vendor Single Engine Worms Spam A AAAA A A A

18 Ansätze zur Virenbekämpfung Multi Vendor Problem Management/Cost SharePoint ISA Server SMTP Server Internet Viruses ExchangeExchange Multi-vendor Multi-engine Worms Spam AB C A E D B C

19 Ansätze zur Virenbekämpfung Forefront Security Kombiniert stärken beider Ansätze SharePoint ISA Server SMTP Server Internet Viruses Exchange Exchange Multi-vendor Multi-engine Worms Spam A C B A C B A C B A C B A C B

20 Mehrere AV Engines nutzen Forefront Server Security Produkte integrieren die Engines der bekanntesten AV-Hersteller Jeder Scanjob in einem Forefront Server Security Produkt kann bis zu fünf Engines gleichzeitig benutzen Internal Messaging and Collaboration Servers A B C E D

21 Der Vorteil von Multiple Engine Scanning Schnelle Reaktionszeit bei neuen Gefahren Redundante Absicherung Vielfältigkeit der Engines und heuristischen Daten Response time 1 (in hours) The Microsoft multiple-engine solution WildList Number Malware Name Forefront Set 1 Forefront Set 2 Forefront Set 3 Vendor A*Vendor B*Vendor C* 10/2006Areses!Itw30 0.00**0.00 10/2006Areses!Itw36 0.00 1598.780.00 10/2006Areses!Itw37 0.00 52.30175.45 10/2006Areses!Itw41 0.00 13.15194.35 10/2006Mytob!Itw590 0.00 1332.170.00 10/2006Rontokbro!Itw36 0.00 613.40 10/2006Sdbot!Itw1809 0.00 9.97166.07270.39 10/2006Sdbot!Itw1831 65.9552.2341.7859.431.0046.38 10/2006Sdbot!Itw1847 56.54 204.79416.2729.9285.32 10/2006Stration!Itw101 0.00 93.8823.4696.85 10/2006Stration!Itw102 0.00 26.0028.0530.83 10/2006Stration!Itw42 0.92 3.723.127.05 10/2006Stration!Itw43 2.00 4.804.208.13 10/2006Stration!Itw44 0.00 5.602.007.58 10/2006Stration!Itw45 0.00 3.552.007.58 10/2006Stration!Itw46 0.00 2.752.206.78 10/2006Stration!Itw47 0.00 3.723.127.05 10/2006Stration!Itw60 0.00 4.646.32 11/2006Rbot!Itw2090 0.00 1739.100.00298.64 11/2006Sdbot!Itw1814 0.00 1.000.00 11/2006Sdbot!Itw1866 0.00 26.801.0035.27 11/2006Sdbot!Itw1867 0.00 14.0012.8423.14 11/2006Sdbot!Itw1876 0.00 468.60306.82430.80 11/2006Stration!Itw124 0.00 0.380.661.888.80 12/2006Bagle!Itw137 0.00 4.010.0013.83 12/2006Bagle!Itw141 0.00 17.150.0013.83 12/2006Puce!Itw1 0.00 1.00 12/2006Rbot!Itw2038 0.00 1026.270.00 12/2006Sdbot!Itw1889 0.00 128.28255.2063.96 * Includes beta signatures ** 0.00 denotes proactive detection 1 Source: AV-Test.org 2007 (www.av-test.org) Other single-engine solutions = Less than 5 hours = 5 to 24 hours = More than 24 hours

22 Forefront Server Security Management Console Zentrale Verwaltungskonsole Verteilt und konfiguriert Forefront/Antigen Security für Exchange und SharePoint Lädt Updates für multiple Antivirus Hersteller herunter Verteilt Updates an alle Forefront/Antigen Server Zentrales Reporting SharePoint Servers Exchange Servers

23 Benachrichtigungen und Reports

24 Agenda Heutige Bedrohungsszenarien Mehrstufiges Sicherheitskonzept in Exchange 2007 Forefront Server Security Überblick Better together: Exchange + Forefront Server Security Ausblick Forefront Codename Stirling

25 Forefront für Exchange Server 2007 Unterstützung für drei Exchange Rollen in einem Produkt 64-bit Support (32-bit Support nur für Eval) Lokalisiert in 11 Sprachen Unterstütz die neuen Exchange 2007 AV Features AV Transport Stamp Targeted background scanning Alle Scan Engines in einer Lizenz inkludiert Aktiviert Premium Anti-Spam Funktionen von Exchange 2007 Volle Unterstützung für Cluster inklusive Exchange 2007 CCR

26 Submission Queue Categorizer Recipient API Delivery Queue SMTP Send SMTP AD Forefront anti-spam Transport Agent/Message API Forefront anti-virus Pickup Directory Ex Submit (MAPI -> SMTP) Forefront anti-spyware SMTP Receive Agent Run Time Engine (MEx) Extensibility Platform SMTP Forefront Integration in Exchange

27 Optimized Performance Controls Bias Es werden nicht immer die gleichen Engines verwendet – diese werden dynamisch aus dem Verfügbaren Pool zugewiesen. A B CD Max Certainty: uses all engines (100%) Favor Certainty: uses all available engines* Neutral: uses approximately 50% of available engines* Favor Performance: uses 25% of available engines* Max Performance: uses one engine for every scan*

28 Optimized Performance Controls Bias Auch hier werden die Engines dynamisch aus dem Pool zugewiesen. A B Max Certainty: uses all engines (100%) Favor Certainty: uses all available engines* Neutral: uses approximately 50% of available engines* Favor Performance: uses 25% of available engines* Max Performance: uses one engine for every scan*

29 Mail Store Scanning Optionen Standard mode Hintergrund Scan um die Datenbank einmal täglich zu überprüfen. Nur die am meist gefährdetsten files werden gescannt. Zugriffschutz für noch nicht überprüfte Elemente Outbreak mode Re-Scan bei Zugriff sobald die Engine aktualisiert wurde Ultimate security mode Scan bei Einlangen in der Datenbank Re-Scan bei Zugriff sobald die Engine aktualisiert wurde Kontinuierlicher Hintergrundscan mit neuen Signaturen

30 Inkrementeller Hintergrundscan Möglichkeit den Hintergrundscan in Zeitfenster einzuteilen Überprüfe nur Nachrichten der letzten 4, 6, 8, 12, 18 Stunden 1, 2, 3, 4, 5, 7, 30 Tage Kombiniert Sicherheit und Leistung Die gefährlichsten Nachrichten werden überprüft Der Rest der Datenbank wird nicht ständig ohne Grund neu überprüft

31 Premium Anti-Spam Features Forefront Security für Exchange Server lizenziert und aktiviert die Premium Anti-Spam Features von Exchange 2007 Installiert auf Edge oder Hub Server Rolle Edge Server kann auch in Verbindung mit Exchange 2003 Postfächern verwendet werden Baut auf den Anti-Spam Funktionen von Exchange 2007 auf und erweitert diese: Microsoft IP Reputation Filter Service mit automatisierten Updates Automatisierte Updates für Microsoft Smartscreen Spam Heuristic, Phishing Web Sites Liste und Intelligent Message Filter (IMF) Gezielte Spam Signatur Daten und zugehörige Updates

32 Connection No Blocked IP SMTP Yes Content Yes Reject Safelisted Mail Guaranteed to Inbox Immediate Delivery Rich rendering Multi-directional No Maybe Yes SPAM and Bcon Reduced Delivery Rates Moved to JEF Mail not Richly Rendered Source analysis Sender Filtering SenderID Filter AS Processed Mail Guaranteed to Inbox Delivery after AS filtering Conditional Rendering IP Allow/DenySafelist aggregation Anti-phishing Features Area Reject Message Flow Filtering Spoofing No Outlook No SMTP Tarpitting Yes Hybrid Model Recipient Filtering Filter Exception lists International Domain Support Blocked Sender Bypass Spam DNSBL Open Proxy Content analysis Content analysis UX Junk E-Mail Filter Outbound Spam scanning SMTP/Envelope analysis Reject Backscatter Safe IP SMTP backpressure IP submission rate Transport IP on DNSBL Keyword filtering Quarantine Language independent File Filtering Blocked Senders Quara ntine End-to-End Anti-Spam Framework

33 File Filtering Teil jeder Anti-Spam/Anti-Virus Maßnahme File Filtering blockt pro aktiv bestimmte File Typen, egal ob eine Signatur existiert oder nicht Zum Block Empfohlene File Typen: EXE, COM, PIF, SCR, VBS, SHS, CHM und BAT Flexible Filtermöglichkeiten Import von Listen

34 Blockiert alle Dateitypen mit Dateierweiterung.EXE. Dateityp nicht evaluiert. Benutzt Wildcard *.* und EXEFILE um alle Dateien vom Typ Executable unabhängig vom Dateinamen zu Filtern File Filtering Einrichten eines File Filters Forefront blockt Dateierweiterung UND realen Dateityp! Filter kann nicht umgangen werden indem Erweiterung geändert wird Separate Konfiguration

35 File Filtering Einrichten von File Filtern Suche nach bestimmten Dateinamen oder Mustern, z.B. resume.doc Wildcards unterstützt: *resume*.doc Jedes * steht für 250 Zeichen File Filter können eingehend oder ausgehend definiert werden *.exe, *.doc *.exe, *.doc Dateien können basierend auf der Dateigröße aber auch Kombinationen aus Größe/Name/Type/Richtung geblockt werden <in>*.mp3>2mb<out>*.mp3>5mb<in>*.*>10mb

36 File Filtering Aktionen Um Flexibilität zu gewährleisten, kann jedem Filter eine eigene Aktion zugewiesen werden Skip:Detect only – protokolliert das Ereignis, lässt die Nachricht aber unverändert passieren Nur für Testzwecke gedacht um z.B. neue Regeln zu Testen! Delete:Remove contents – entfernt den Anhang und ersetzt ihn durch eine Datei mit einer benutzerdefinierten Meldung Purge:Eliminate message – löscht sowohl Anhang als auch Nachricht Benutzer bekommen keine Information darüber

37 Filter Regel: Lösche *.exe Quarantine File Filtering – Verhalten bei Zip-Dateien Forefront überprüft ZIP und andere Komprimierungsformate, löscht nur die betroffene Datei und ersetzt diese mit einer Text Datei Container vor dem Scan EXEDOC JPGBMP DOC JPGBMP TXT Container nach dem Scan EXE Quarantine Benutzerdefinierter Text

38 Lizenzierungsmöglichkeiten ProduktEnterprise CAL Exchange Enterprise CAL Forefront Security Suite Forefront for Exchange Exchange Hosted Filtering Exchange UM + Compliance Einzelprodukte der Forefront Familie als User Subscription License (pro User/Device) Einzelproduktsuiten oder CALs über alle Volumen Lizenz Programme erhältlich

39 Agenda Heutige Bedrohungsszenarien Mehrstufiges Sicherheitskonzept in Exchange 2007 Forefront Server Security Überblick Better together: Exchange + Forefront Server Security Ausblick Forefront Codename Stirling

40 Keep spam out of Inboxes, simplify anti-spam administration and enable services integration. FSE Stirling Vision

41 FSE Stirling Management Features Integration in Stirling Konsole Zentrale Policies Integration mit Security Assessment Sharing Stirling Systeme kommunizieren untereinander über die Konsole Policy-Basierte, ereignisorientierte Security Maßnahmen

42 FSE Stirling Anti-Spam Features Eigene DNSBL von Microsoft Enthält auch Einträge von Drittherstellern 3rd Party Engine für Content Filter Fingerprint basiert Inkludiert Antiphishing Schutz Backscatter Agent Outbound Spam Scanning

43 FSE Content Filter Fingerprinting Fingerprinting algorithms applied to every incoming message Fingerprinting algorithms applied to every incoming message Relevant parts of the message are fingerprinted Relevant parts of the message are fingerprinted Message reduced to anonymous fingerprints Message reduced to anonymous fingerprints Fingerprints do not indicate whether message is legitimate or spam Fingerprints do not indicate whether message is legitimate or spam Fingerprints compared to local cache of known bad fingerprints Fingerprints compared to local cache of known bad fingerprints Cache data updated every 45 seconds Cache data updated every 45 seconds Match: message is identified as spam Match: message is identified as spam No match: Heuristics are applied. No match: Heuristics are applied. No match & No heuristics: message is identified as legitimate No match & No heuristics: message is identified as legitimate Spam Legit. Fingerprint Cache Reject

44 External recipient Hub Categorization: Rules/Policies applied Messages categorized External messages ready for outbound Token Definition: BATV-compliant Hashed tag Keys maintained and rotated Exchange internal sender Categorizer Outbound FSE Backscatter protection Anti-Backscatter Agent: Implemented as RoutingAgent Acts only on Outbound mail Attaches a token to P1.MailFrom:

45 Microsoft TechNet Ressourcen NTx Homepage www.ntx.at www.ntx.at NTx BLOG www.ntx.at /blog www.ntx.at /blog www.ntx.at /blog Forefront Homepage www.microsoft.com/forefront www.microsoft.com/forefront Forefront TechNet Library technet.microsoft.com/en-us/forefront/serversecurity/default.aspx technet.microsoft.com/en-us/forefront/serversecurity/default.aspx Stirling Technet Center technet.microsoft.com/en-us/forefront/stirling/default.aspx

46 Microsoft TechNet Ressourcen TechNet Online www.microsoft.com/austria/technet www.microsoft.com/austria/technet TechNet Team Blog Österreich blogs.technet.com/austria blogs.technet.com/austria TechNet Evaluierungscenter technet.microsoft.com/de-at/evalcenter/default.aspx TechNet Abonnement www.microsoft.com/austria/technet/technetplus.mspx www.microsoft.com/austria/technet/technetplus.mspx TechNet Newsflash www.microsoft.com/austria/technet/technet_newsflash.mspx www.microsoft.com/austria/technet/technet_newsflash.mspx TechNet Briefings www.microsoft.com/austria/technet/technetbriefing.mspx www.microsoft.com/austria/technet/technetbriefing.mspx

47 FRAGEN?

48