Forefront Threat Management Gateway

Stanislas Quastana, CISSPArchitecte Infrastructure (et super fan d’ISA Server depuis Proxy 2.0 )

Microsoft Francehttp://blogs.technet.com/stanislas

AgendaPrésentation de la nouvelle génération ISA

IntroductionNouvelles fonctionnalités

Déploiement et administrationProtection des clients WebProtection de la messageriePrévention des intrusionsAméliorations du pare-feu

Forefront TMG et Forefront StirlingSynthèseRessources utiles

AgendaPrésentation de la nouvelle génération ISA

IntroductionNouvelles fonctionnalités

Déploiement et administrationProtection des clients WebProtection de la messageriePrévention des intrusionsAméliorations du pare-feu

Forefront TMG et Forefront StirlingSynthèseRessources utiles

2004

2006

2007

2008

2009

Un peu d’histoire

Passerelle d’accès sécurisée Protection contre les menaces en ligne

Plateforme universelle d’accès distants aux applications (Web et C/S)

Objectifs de Forefront TMG

Contrôler les accès entrant et sortant au niveau du périmètre de votre réseauProtéger les utilisateurs lors de la navigation sur le WebProtéger les infrastructures de messagerieProtéger les machines contre les exploits au travers du réseauFaciliter l’administration et le déploiement

Scénarios de déploiement• Proxy authentifiant / pare-feu

multicouches• Anti-virus HTTP et filtrage d’URLs• Inspection du trafic HTTP et HTTPS

Passerelle sécurisée pour

le Web

• VPN nomade• VPN Site à site• Publication Web sécurisée

Passerelle d’accès distant

• Anti Spam• Anti Virus• Filtrage du contenu des courriers

Relais de messagerie

sécurisé

• Solution tout en 1 pour les moyennes entreprises ou les réseaux d’agences

• Pare-feu, VPN, Web sécurisé, NIS, relais SMTP sécurisé

Unified Threat Management

(UTM)

AgendaPrésentation de la nouvelle génération ISA

IntroductionNouvelles fonctionnalités

Déploiement et administrationProtection des clients WebProtection de la messageriePrévention des intrusionsAméliorations du pare-feu

Forefront TMG et Forefront StirlingSynthèseRessources utiles

Déploiement et administration

Pré-requis d’installationWindows Server 2008 64 bitPowerShell, .Net Framework 3.5, MSMQ

Assistant de démarrage (configuration initiale)Interface orientée tâchesGestion centralisée de la configuration (groupe de serveurs)Amélioration de la journalisation et des rapports

Administration

demoAperçu de la console Forefront TMG

Protection des clients Web

Analyse anti logiciels malveillantsAnalyse des fichiers téléchargésParamétrage de l’analyse global ou par règle

Filtrage d’URLsCatégories d’URL et exclusions

Inspection du trafic sortant HTTPSFiltrage d’URLs, analyse AV et protection IPS

Zone d’administration dédiée au contrôle des accès Web sortants

Protection des clients WebAnalyse anti-logiciels malveillants

Moteur antivirus de Microsoft3 scénarios d’analyseRégulier : analyse du contenu avant délivrance

Si le temps d’inspection prend moins de X secondes

Si le temps d’inspection dépasse X secondes Page HTML avec barre de progression de l’analyse

Pour les exécutables et certains types de fichiers

Envoi de contenu partiel (Trickling)D’infimes morceaux de données (sains) sont envoyés au client jusqu’à ce que l’inspection complète du fichier soit finie

Accès Web sécurisés

demoAnalyse AV

Protection des clients WebLe cas du trafic HTTPS sortant

Une fois la session SSL établie, les proxies ou les pare-feu sont incapables de voir les données échangées.

De nombreuses logiciels utilisent cette solution

Outlook 2003/2007 (RPC over HTTPS)Terminal Server (via la passerelle TS)Messageries instantanéesClients VPN SSLLogiciels P2P….

Protection des clients WebInspection du trafic HTTPS sortant

Comment réduire le risque induit par ces échanges non contrôlés ?

Limiter les accès HTTPS sortants via des listes blanchesBloquer les requêtes dans la phase de négociationDéchiffrer le SSL en sortie au niveau du proxy/pare feu (Man In The Middle).

Concept intéressant en terme de sécurité mais pas vraiment en terme de confidentialité… … on va en discuter car Forefront TMG fonctionne sur ce modèle

Internet

IM

P2P

MS RPC…

IM, P2P, MS RPC…

Forefront TMG et les flux SSL

Client

Forefront TMG

HTTPS

Analyse HTTP (URL, entêtes,

contenu, antivirus…) & Inspection SSL

Accès Web sécurisés

demoInspection SSL

Protection de la messagerie électronique

Hygiène complète des flux SMTPAnti-virus multi moteurs (5 à choisir parmi 8)Anti-spam/ Anti-PhishingFiltrage de contenu

Grâce à l’intégration de Exchange Server 2007 en rôle EdgeForefront Security for Exchange

Protège tout type de serveur SMTP

Protection de la messagerie

demoParamétrage

Prévention des intrusions réseaux

Détection et prévention des attaques sur des vulnérabilités connuesPermet de “fermer la fenêtre” le temps nécessaire aux tests et au déploiement des correctifs de sécurité Forefront Network Inspection System (NIS)

Basé sur GAPA provenant de Microsoft Research

Generic Application Level Protocol Analyzer

Basé sur des signatures de vulnérabilitésMise à jour via Microsoft Update

Intrusion Prevention System

demo

Améliorations du pare-feuFiltrage SIPRedondance des connexions Internet (2 FAI)NAT « avancé » Nouveau client pare-feu

Découverte automatique et sécurisée avec utilisation Active Directory

Améliorations du pare-feuFiltrage SIP

Local IP PBX supportSIP messages quota protectionSupport de SIP trunk

Améliorations du pare-feuRedondance des connexions FAI

2 options d’utilisation :Tolérance de panneAgrégation de liens

Uniquement pour le trafic sortantTrafic réseau « NATé » par Forefront TMG pour le réseau Externe

Redondance / Aggrégation FAI

Ou presque ;-)

démo

Améliorations du VPN nomade

Support de Network Access ProtectionMise en conformité et quarantaine

Support des nouveaux algorithmes (AES…)

Support de SSTPAvec un peu de chance, on peut espérer celui de IKEv2 (VPN Reconnect) disponible dans Windows Server 2008 R2 combiné à Windows 7 si ce n’est pas dans la version RTM de Forefront TMG, ça pourrait arriver avec le premier Service Pack

AgendaPrésentation de la nouvelle génération ISA

IntroductionNouvelles fonctionnalités

Déploiement et administrationProtection des clients WebProtection de la messageriePrévention des intrusionsAméliorations du pare-feu

Forefront TMG et Forefront StirlingSynthèseRessources utiles

Forefront Stirling

Protection des postes et serveurs

Protection des applications

serveurs

Protection du périmètre

« v2 »

Remontée et partaged’informations

Réponsedynamique

Administration / Supervision

AgendaPrésentation de la nouvelle génération ISA

IntroductionNouvelles fonctionnalités

Déploiement et administrationProtection des clients WebProtection de la messageriePrévention des intrusionsAméliorations du Pare-feu

Forefront TMG et Forefront StirlingSynthèseRessources utiles

Synthèse des nouveautés• VoIP traversal (SIP)•NAT « avancé »• Redondance des connexions FAI

Pare-feu

• Anti-virus/spyware HTTP(s)

• Filtrage d’URLs• Inspection https sortant

Accès Web sécurisés

• Intégration d’Exchange Edge/FSE

• Anti-virus• Anti-spamProtection messagerie

• Intrusion Prevention System

• Security Assessment and Response (SAS)

Prévention des intrusions

• VPN avec support de Network Access Protection (NAP)

• SSTPAccès distants

• W2K8, 64-bit natif• Assistants adaptés aux

scénarios• Amélioration des

journaux et des rapports

Déploiement et admin.

• Update Center :• HTTP: AV+ Filtrage

d’URLs• Email: AV+Anti-Spam• Signatures NIS

Abonnement Services

48

Ressources utiles

Blog de Stanislas

http://blogs.technet.com/stanislas

Dans ce blog, cliquez Forefront TMG / Threat Management Gateway dans la zone de tags pour accéder à toutes les informations complémentaires et les liens vers les documents de références.

Save the date for tech·days next year!

14 – 15 avril 2010, CICG

Classic Sponsoring Partners

Premium Sponsoring Partners