Forefront Security for Office Communication Server Emanuele Bianchi Security Technology Specialist Agenda Forefront Server Security Protezione dei sistemi di collaborazione Sistemi di protezione Antimalware Content Filtering Integrazione con OCS Risorse Forefront Server Security Protezione completa Office Communication Server SharePoint Server TMGServer COLLABORATION Exchnage EdgeServer Internet Exchange Server EDGE Virus Worm Spam Utenti Virus Worm Contenuto Inappropriato MESSAGING Protezione avanzata Singola soluzione con molteplici tecnologie di protezione Eliminazione Single Point of Failure Tecnologia consolidata A B C Server di messaggistica e collaborazione D E Protezione dei sistemi di collaborazione Collaborazione sicura Complementare la protezione in essere nei sistemi di messaggistica Integrare la sicurezza già presente in OCS Rimuovere Malware Controllare il contenuto delle chat File scambiati Messaggi scambiati Forefront per OCS Forefront Security per OCS permette di rendere più sicura l’infrastruttura di collaborazione filtrando il traffico: IM, Group IM Con utenti interni ed esterni all’organizzazione Forefront può essere utilizzato: con OCS standard ed Enterprise con OCS 2007 e OCS 2007 R2 Ruoli OCS protetti Access Edge Server Director Server Front-End Server Federated (Trusted) Organization Internet Public IM Networks Remote Users Internal Users Componenti di protezione Protezione Antimalware Forefront Security per OCS integra e viene licenziato con 5 motori antivirus per la miglior protezione possibile Riduzione finestra di esposizione Protezione 24/7 Rimozione di worm e spyware Confronto aggiornamento signature1 = Meno di 5 ore = Da 5 a 24 ore = Più di 24 ore 1 Source: AV-Test.org 2008 (www.av-test.org) * Include signature beta ** 0.00 identificazione proattiva euristica WildList Number Malware Name 07/08 07/08 07/08 07/08 07/08 07/08 07/08 07/08 07/08 07/08 07/08 07/08 07/08 07/08 08/08 08/08 08/08 08/08 08/08 08/08 08/08 08/08 09/08 09/08 09/08 09/08 autorun_itw412.ex_ autorun_itw416.ex_ ircbot_itw456.ex_ magania_itw2.ex_ magania_itw4.ex_ onlinegames_itw512.ex onlinegames_itw521.ex onlinegames_itw522.ex onlinegames_itw527.ex onlinegames_itw536.ex rbot_itw2662.ex_ vaklik_itw11.ex_ vaklik_itw27.ex_ vaklik_itw33.ex_ agent_itw66.ex_ autorun_itw433.ex_ ircbot_itw459.ex_ pushbot_itw8.ex_ slenfbot_itw19.ex_ slenping_itw2.ex_ vaklik_itw55.ex_ zbot_itw16.ex_ agent_itw67.ex_ autorun_itw444.ex_ sdbot_itw2682.ex_ 0908_zbot_itw17.ex_ Forefront Vendor A* Vendor B* Vendor C* Set **0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 40.97 0.00 0.00 40.97 0.00 0.00 0.00 0.00 18.90 0.00 0.00 456.65 368.03 1332.42 229.73 251.25 386.68 229.73 480.68 480.68 0.00 94.03 154.47 480.68 306.43 461.47 973.45 0.00 0.00 635.90 357.65 0.00 159.43 15.92 48.82 0.00 1256.22 339.38 234.05 24.93 34.77 380.70 470.62 34.77 532.13 532.13 346.25 0.00 142.62 327.42 0.00 117.23 691.68 0.00 0.00 687.45 22.58 0.00 99.07 1137.60 0.00 0.00 0.00 458.95 812.20 1270.70 846.53 0.00 365.73 0.00 812.20 812.20 0.00 1039.22 846.53 812.20 0.00 44.05 858.02 995.18 921.23 279.87 37.78 18.23 102.02 65.45 56.92 1166.03 0.00 Tempi di risposta medi Filtraggio degli allegati Tipologia di filtro • In base alla reale tipologia del file • Al nome o estensione • Alla dimensione • alla direzione (in/out) del messaggio • Combinazioni • Supporto per wildcards, es. “*curriculum*.doc” Azioni • Skip detect Traccia l’evento ma non ferma il file • Delete Rimuove il documento e lo sostituisce con una nota • Block Rimuove il messaggio Gestione archivi Forefront analizza i file ZIP e le altre tipologie di archivi ed elimina solo i file corrotti all’interno dell’archivio Testo di notifica EXE DOC BMP JPG Archivio prima della scansione Regola di filteraggio: Delete *.exe Quarantine EXE Quarantena TXT DOC BMP JPG Archivio dopo la scansione Filtraggio dei contenuti Filtraggio dei contenuti Possibilità di utilizzare operatori logici per definire regole anche complesse Parole contenute nei messaggi chat o nei file text based scambiati _AND_ _NOT_ _ANDNOT_ _WITHIN[#]OF_ _HAS[#]OF_ Utilizzo di regole case sensitive o case insensitive Dizionari prepopolati Filtraggio dei contenuti Possono essere definite le seguenti azioni: Skip: identificazione e log Block: rimozione del messaggio Gli amministratori possono: Definire utenti a cui i messaggi non saranno filtrati, sfruttando Sender/Recipient Allow Lists Applicare i filtri ai messaggi IM in ingresso, uscita o scambiati internamente Integrazione con OCS Analisi dei file Il trasferimento file avviene come traffico P2P tra due istanze di OC FOCS monitora i messaggi SIP usati per negoziare il trasferimento file al fine di ridirigere il traffico al server FOCS L’analisi di file scambiati con IM pubblici avviene sul server Access Edge Virus Scanning Il flusso di messaggi SIP è rediretto attraverso FSOCS I messaggi puliti e i file da trasferire sono marcati e inoltrati attraverso OCS I file infetti sono bloccati o messi in quarantena Una notifica è inviata al mittente e all’amministratore IM Quarantine SIP Message Stream OCS 2007 Notification IM SIP Message Scanning FSOCS riconosce i seguenti content type SIP supportati da OCS 2007 e 2005: Plain Text Rich Text Format (default) Mime-Multipart Alternative ISF (Ink Serialized Format)/GIF FSOCS analizza content types sconosciuti che possono essere inviati da client custom creati con l’SDK di UCC FSOCS può essere configurato per bloccare content type non noti Notifiche FSOCS invia notifiche quando viene identificato del malware o una comunicazione viene bloccata da policy di filtering La notifica può essere differente per utenti interni ed esterni L’amministratore riceve una mail Il mittente (e il destinatario) riceve un messaggio IM User IM Notification Risorse Risorse Forefront Security for OCS http://www.microsoft.com/forefront/serversecurity/ocs/en/us/default.aspx Versione di valutazione http://technet.microsoft.com/en-gb/evalcenter/cc509001.aspx Risorse tecniche http://technet.microsoft.com/en-gb/library/cc676985.aspx Blog del Product Team http://blogs.technet.com/FSS/ © 2008 Microsoft Corporation. All rights reserved. Microsoft, Windows, Windows Vista and other product names are or may be registered trademarks and/or trademarks in the U.S. and/or other countries. The information herein is for informational purposes only and represents the current view of Microsoft Corporation as of the date of this presentation. Because Microsoft must respond to changing market conditions, it should not be interpreted to be a commitment on the part of Microsoft, and Microsoft cannot guarantee the accuracy of any information provided after the date of this presentation. MICROSOFT MAKES NO WARRANTIES, EXPRESS, IMPLIED OR STATUTORY, AS TO THE INFORMATION IN THIS PRESENTATION.