Forefront Security for Office
Communication Server
Emanuele Bianchi
Security Technology Specialist
Agenda



Forefront Server Security
Protezione dei sistemi di collaborazione
Sistemi di protezione




Antimalware
Content Filtering
Integrazione con OCS
Risorse
Forefront Server Security
Protezione completa
Office
Communication
Server
SharePoint
Server
TMGServer
COLLABORATION
Exchnage
EdgeServer
Internet
Exchange
Server
EDGE
Virus
Worm
Spam
Utenti
Virus
Worm
Contenuto Inappropriato
MESSAGING
Protezione avanzata



Singola soluzione con molteplici tecnologie di protezione
Eliminazione Single Point of Failure
Tecnologia consolidata
A
B
C
Server di messaggistica e
collaborazione
D
E
Protezione dei sistemi di collaborazione
Collaborazione sicura




Complementare la protezione in essere nei
sistemi di messaggistica
Integrare la sicurezza già presente in OCS
Rimuovere Malware
Controllare il contenuto delle chat
File scambiati
 Messaggi scambiati

Forefront per OCS

Forefront Security per OCS permette di
rendere più sicura l’infrastruttura di
collaborazione filtrando il traffico:
IM, Group IM
 Con utenti interni ed esterni all’organizzazione


Forefront può essere utilizzato:
con OCS standard ed Enterprise
 con OCS 2007 e OCS 2007 R2

Ruoli OCS protetti
Access Edge Server
Director Server
Front-End Server
Federated (Trusted) Organization
Internet
Public IM Networks
Remote Users
Internal Users
Componenti di protezione
Protezione Antimalware




Forefront Security per OCS
integra e viene licenziato con 5
motori antivirus per la miglior
protezione possibile
Riduzione finestra di
esposizione
Protezione 24/7
Rimozione di worm e spyware
Confronto aggiornamento signature1
= Meno di 5 ore
= Da 5 a 24 ore
= Più di 24 ore
1
Source: AV-Test.org 2008
(www.av-test.org)
* Include signature beta
** 0.00 identificazione proattiva euristica
WildList
Number
Malware
Name
07/08
07/08
07/08
07/08
07/08
07/08
07/08
07/08
07/08
07/08
07/08
07/08
07/08
07/08
08/08
08/08
08/08
08/08
08/08
08/08
08/08
08/08
09/08
09/08
09/08
09/08
autorun_itw412.ex_
autorun_itw416.ex_
ircbot_itw456.ex_
magania_itw2.ex_
magania_itw4.ex_
onlinegames_itw512.ex
onlinegames_itw521.ex
onlinegames_itw522.ex
onlinegames_itw527.ex
onlinegames_itw536.ex
rbot_itw2662.ex_
vaklik_itw11.ex_
vaklik_itw27.ex_
vaklik_itw33.ex_
agent_itw66.ex_
autorun_itw433.ex_
ircbot_itw459.ex_
pushbot_itw8.ex_
slenfbot_itw19.ex_
slenping_itw2.ex_
vaklik_itw55.ex_
zbot_itw16.ex_
agent_itw67.ex_
autorun_itw444.ex_
sdbot_itw2682.ex_
0908_zbot_itw17.ex_
Forefront
Vendor A* Vendor B* Vendor C*
Set
**0.00
0.00
0.00
0.00
0.00
0.00
0.00
0.00
0.00
0.00
0.00
0.00
0.00
0.00
0.00
40.97
0.00
0.00
40.97
0.00
0.00
0.00
0.00
18.90
0.00
0.00
456.65
368.03
1332.42
229.73
251.25
386.68
229.73
480.68
480.68
0.00
94.03
154.47
480.68
306.43
461.47
973.45
0.00
0.00
635.90
357.65
0.00
159.43
15.92
48.82
0.00
1256.22
339.38
234.05
24.93
34.77
380.70
470.62
34.77
532.13
532.13
346.25
0.00
142.62
327.42
0.00
117.23
691.68
0.00
0.00
687.45
22.58
0.00
99.07
1137.60
0.00
0.00
0.00
458.95
812.20
1270.70
846.53
0.00
365.73
0.00
812.20
812.20
0.00
1039.22
846.53
812.20
0.00
44.05
858.02
995.18
921.23
279.87
37.78
18.23
102.02
65.45
56.92
1166.03
0.00
Tempi di risposta medi
Filtraggio degli allegati
Tipologia di filtro
• In base alla reale
tipologia del file
• Al nome o estensione
• Alla dimensione
• alla direzione (in/out) del
messaggio
• Combinazioni
• Supporto per wildcards,
es. “*curriculum*.doc”
Azioni
• Skip detect
Traccia l’evento ma non
ferma il file
• Delete
Rimuove il documento e
lo sostituisce con una
nota
• Block
Rimuove il messaggio
Gestione archivi

Forefront analizza i file ZIP e le altre tipologie di archivi
ed elimina solo i file corrotti all’interno dell’archivio
Testo di notifica
EXE
DOC
BMP
JPG
Archivio prima della
scansione
Regola di
filteraggio:
Delete *.exe
Quarantine
EXE
Quarantena
TXT
DOC
BMP
JPG
Archivio dopo la
scansione
Filtraggio dei contenuti

Filtraggio dei contenuti


Possibilità di utilizzare operatori logici per definire
regole anche complesse







Parole contenute nei messaggi chat o nei file text based
scambiati
_AND_
_NOT_
_ANDNOT_
_WITHIN[#]OF_
_HAS[#]OF_
Utilizzo di regole case sensitive o case insensitive
Dizionari prepopolati
Filtraggio dei contenuti

Possono essere definite le seguenti azioni:
Skip: identificazione e log
 Block: rimozione del messaggio


Gli amministratori possono:
Definire utenti a cui i messaggi non saranno filtrati,
sfruttando Sender/Recipient Allow Lists
 Applicare i filtri ai messaggi IM in ingresso, uscita o
scambiati internamente

Integrazione con OCS
Analisi dei file
Il trasferimento file
avviene come traffico P2P
tra due istanze di OC
 FOCS monitora i messaggi
SIP usati per negoziare il
trasferimento file al fine di
ridirigere il traffico al
server FOCS
 L’analisi di file scambiati
con IM pubblici avviene
sul server Access Edge

Virus Scanning
Il flusso di messaggi SIP è
rediretto attraverso
FSOCS
 I messaggi puliti e i file da
trasferire sono marcati e
inoltrati attraverso OCS



I file infetti sono bloccati o
messi in quarantena
Una notifica è inviata al
mittente e
all’amministratore
IM
Quarantine
SIP
Message
Stream
OCS 2007
Notification
IM
SIP Message Scanning



FSOCS riconosce i seguenti content type SIP supportati da
OCS 2007 e 2005:
 Plain Text
 Rich Text Format (default)
 Mime-Multipart Alternative
 ISF (Ink Serialized Format)/GIF
FSOCS analizza content types sconosciuti che possono
essere inviati da client custom creati con l’SDK di UCC
FSOCS può essere configurato per bloccare content type
non noti
Notifiche
FSOCS invia notifiche quando viene identificato del
malware o una comunicazione viene bloccata da
policy di filtering
 La notifica può essere differente per utenti interni ed
esterni



L’amministratore riceve
una mail
Il mittente (e il destinatario)
riceve un messaggio IM
User IM Notification
Risorse
Risorse

Forefront Security for OCS
http://www.microsoft.com/forefront/serversecurity/ocs/en/us/default.aspx

Versione di valutazione
http://technet.microsoft.com/en-gb/evalcenter/cc509001.aspx

Risorse tecniche
http://technet.microsoft.com/en-gb/library/cc676985.aspx

Blog del Product Team
http://blogs.technet.com/FSS/
© 2008 Microsoft Corporation. All rights reserved. Microsoft, Windows, Windows Vista and other product names are or may be registered trademarks and/or trademarks in the U.S. and/or other countries.
The information herein is for informational purposes only and represents the current view of Microsoft Corporation as of the date of this presentation. Because Microsoft must respond to changing market
conditions, it should not be interpreted to be a commitment on the part of Microsoft, and Microsoft cannot guarantee the accuracy of any information provided after the date of this presentation.
MICROSOFT MAKES NO WARRANTIES, EXPRESS, IMPLIED OR STATUTORY, AS TO THE INFORMATION IN THIS PRESENTATION.