Forefront Security for Office Communication Server Emanuele Bianchi Security Technology Specialist.

Forefront Security for Office Communication Server

Emanuele Bianchi

Security Technology Specialist

Forefront Server Security Protezione dei sistemi di collaborazione Sistemi di protezione

Antimalware Content Filtering

Integrazione con OCS Risorse

Agenda

Forefront Server Security

Protezione completa

VirusWorm

Contenuto Inappropriato

VirusWormSpam

Office Communication

Server

Utenti

Internet

Exchnage EdgeServ

er

TMGServer

SharePoint

Server

Exchange Server

EDGE

MESSAGING

COLLABORATION

Protezione avanzata

Singola soluzione con molteplici tecnologie di protezione Eliminazione Single Point of Failure Tecnologia consolidata

Server di messaggistica e collaborazione

A

B

C

E

D

Protezione dei sistemi di collaborazione

Collaborazione sicura

Complementare la protezione in essere nei sistemi di messaggistica

Integrare la sicurezza già presente in OCS Rimuovere Malware Controllare il contenuto delle chat

File scambiati Messaggi scambiati

Forefront per OCS

Forefront Security per OCS permette di rendere più sicura l’infrastruttura di collaborazione filtrando il traffico: IM, Group IM Con utenti interni ed esterni all’organizzazione

Forefront può essere utilizzato: con OCS standard ed Enterprise con OCS 2007 e OCS 2007 R2

Ruoli OCS protetti

Federated (Trusted) Organization

Internet

Public IM Networks

Access Edge Server Director Server Front-End Server

Internal UsersRemote Users

Componenti di protezione

Protezione Antimalware

Forefront Security per OCS integra e viene licenziato con 5 motori antivirus per la miglior protezione possibile

Riduzione finestra di esposizione

Protezione 24/7 Rimozione di worm e spyware

Confronto aggiornamento signature1

WildList Number

MalwareName

Forefront Set

Vendor A* Vendor B* Vendor C*

07/08 autorun_itw412.ex_ **0.00 456.65 339.38 458.9507/08 autorun_itw416.ex_ 0.00 368.03 234.05 812.2007/08 ircbot_itw456.ex_ 0.00 1332.42 24.93 1270.7007/08 magania_itw2.ex_ 0.00 229.73 34.77 846.5307/08 magania_itw4.ex_ 0.00 251.25 380.70 0.0007/08 onlinegames_itw512.ex 0.00 386.68 470.62 365.7307/08 onlinegames_itw521.ex 0.00 229.73 34.77 0.0007/08 onlinegames_itw522.ex 0.00 480.68 532.13 812.2007/08 onlinegames_itw527.ex 0.00 480.68 532.13 812.2007/08 onlinegames_itw536.ex 0.00 0.00 346.25 0.0007/08 rbot_itw2662.ex_ 0.00 94.03 0.00 1039.2207/08 vaklik_itw11.ex_ 0.00 154.47 142.62 846.5307/08 vaklik_itw27.ex_ 0.00 480.68 327.42 812.2007/08 vaklik_itw33.ex_ 0.00 306.43 0.00 0.0008/08 agent_itw66.ex_ 0.00 461.47 117.23 44.0508/08 autorun_itw433.ex_ 40.97 973.45 691.68 858.0208/08 ircbot_itw459.ex_ 0.00 0.00 0.00 995.1808/08 pushbot_itw8.ex_ 0.00 0.00 0.00 921.2308/08 slenfbot_itw19.ex_ 40.97 635.90 687.45 279.8708/08 slenping_itw2.ex_ 0.00 357.65 22.58 37.7808/08 vaklik_itw55.ex_ 0.00 0.00 0.00 18.2308/08 zbot_itw16.ex_ 0.00 159.43 99.07 102.0209/08 agent_itw67.ex_ 0.00 15.92 1137.60 65.4509/08 autorun_itw444.ex_ 18.90 48.82 0.00 56.9209/08 sdbot_itw2682.ex_ 0.00 0.00 0.00 1166.0309/08 0908_zbot_itw17.ex_ 0.00 1256.22 0.00 0.00* Include signature beta

** 0.00 identificazione proattiva euristica

1 Source: AV-Test.org 2008 (www.av-test.org)

= Meno di 5 ore = Da 5 a 24 ore = Più di 24 ore

Tempi di risposta medi

Filtraggio degli allegati

Tipologia di filtro

•In base alla reale tipologia del file•Al nome o estensione•Alla dimensione•alla direzione (in/out) del messaggio•Combinazioni •Supporto per wildcards, es. “*curriculum*.doc”

Azioni•Skip detectTraccia l’evento ma non ferma il file•DeleteRimuove il documento e lo sostituisce con una nota•BlockRimuove il messaggio

Gestione archivi

Forefront analizza i file ZIP e le altre tipologie di archivi ed elimina solo i file corrotti all’interno dell’archivio

Regola di filteraggio: Delete *.exeQuarantine

Archivio prima della scansione

EXE DOC

JPGBMP

Archivio dopo la scansione

TXT DOC

JPGBMP

Testo di notifica

Quarantena

EXE

Filtraggio dei contenuti

Filtraggio dei contenuti Parole contenute nei messaggi chat o nei file text based

scambiati Possibilità di utilizzare operatori logici per definire regole

anche complesse _AND_ _NOT_ _ANDNOT_ _WITHIN[#]OF_ _HAS[#]OF_

Utilizzo di regole case sensitive o case insensitive Dizionari prepopolati

Filtraggio dei contenuti

Possono essere definite le seguenti azioni: Skip: identificazione e log Block: rimozione del messaggio

Gli amministratori possono: Definire utenti a cui i messaggi non saranno filtrati,

sfruttando Sender/Recipient Allow Lists Applicare i filtri ai messaggi IM in ingresso, uscita o

scambiati internamente

Integrazione con OCS

Analisi dei file

Il trasferimento file avviene come traffico P2P tra due istanze di OC

FOCS monitora i messaggi SIP usati per negoziare il trasferimento file al fine di ridirigere il traffico al server FOCS

L’analisi di file scambiati con IM pubblici avviene sul server Access Edge

Virus Scanning

Il flusso di messaggi SIP è rediretto attraverso FSOCS

I messaggi puliti e i file da trasferire sono marcati e inoltrati attraverso OCS I file infetti sono bloccati

o messi in quarantena Una notifica è inviata al

mittente e all’amministratore

OCS 2007

SIP MessageStream

IM

IM

Quarantine

Notification

SIP Message Scanning

FSOCS riconosce i seguenti content type SIP supportati da OCS 2007 e 2005: Plain Text Rich Text Format (default) Mime-Multipart Alternative ISF (Ink Serialized Format)/GIF

FSOCS analizza content types sconosciuti che possono essere inviati da client custom creati con l’SDK di UCC

FSOCS può essere configurato per bloccare content type non noti

Notifiche

FSOCS invia notifiche quando viene identificato del malware o una comunicazione viene bloccata da policy di filtering

La notifica può essere differente per utenti interni ed esterni L’amministratore riceve

una mail Il mittente (e il destinatario)

riceve un messaggio IM

User IM Notification

Risorse

Risorse

Forefront Security for OCShttp://www.microsoft.com/forefront/serversecurity/ocs/en/us/default.aspx

Versione di valutazionehttp://technet.microsoft.com/en-gb/evalcenter/cc509001.aspx

Risorse tecnichehttp://technet.microsoft.com/en-gb/library/cc676985.aspx

Blog del Product Teamhttp://blogs.technet.com/FSS/

© 2008 Microsoft Corporation. All rights reserved. Microsoft, Windows, Windows Vista and other product names are or may be registered trademarks and/or trademarks in the U.S. and/or other countries.

The information herein is for informational purposes only and represents the current view of Microsoft Corporation as of the date of this presentation. Because Microsoft must respond to changing market conditions, it should not be interpreted to be a commitment on the part of Microsoft, and Microsoft cannot guarantee the accuracy of any information provided after

the date of this presentation. MICROSOFT MAKES NO WARRANTIES, EXPRESS, IMPLIED OR STATUTORY, AS TO THE INFORMATION IN THIS PRESENTATION.