Forefront Security for Office Communication Server Emanuele Bianchi Security Technology Specialist
May 02, 2015
Forefront Security for Office Communication Server
Emanuele Bianchi
Security Technology Specialist
Forefront Server Security Protezione dei sistemi di collaborazione Sistemi di protezione
Antimalware Content Filtering
Integrazione con OCS Risorse
Agenda
Forefront Server Security
Protezione completa
VirusWorm
Contenuto Inappropriato
VirusWormSpam
Office Communication
Server
Utenti
Internet
Exchnage EdgeServ
er
TMGServer
SharePoint
Server
Exchange Server
EDGE
MESSAGING
COLLABORATION
Protezione avanzata
Singola soluzione con molteplici tecnologie di protezione Eliminazione Single Point of Failure Tecnologia consolidata
Server di messaggistica e collaborazione
A
B
C
E
D
Protezione dei sistemi di collaborazione
Collaborazione sicura
Complementare la protezione in essere nei sistemi di messaggistica
Integrare la sicurezza già presente in OCS Rimuovere Malware Controllare il contenuto delle chat
File scambiati Messaggi scambiati
Forefront per OCS
Forefront Security per OCS permette di rendere più sicura l’infrastruttura di collaborazione filtrando il traffico: IM, Group IM Con utenti interni ed esterni all’organizzazione
Forefront può essere utilizzato: con OCS standard ed Enterprise con OCS 2007 e OCS 2007 R2
Ruoli OCS protetti
Federated (Trusted) Organization
Internet
Public IM Networks
Access Edge Server Director Server Front-End Server
Internal UsersRemote Users
Componenti di protezione
Protezione Antimalware
Forefront Security per OCS integra e viene licenziato con 5 motori antivirus per la miglior protezione possibile
Riduzione finestra di esposizione
Protezione 24/7 Rimozione di worm e spyware
Confronto aggiornamento signature1
WildList Number
MalwareName
Forefront Set
Vendor A* Vendor B* Vendor C*
07/08 autorun_itw412.ex_ **0.00 456.65 339.38 458.9507/08 autorun_itw416.ex_ 0.00 368.03 234.05 812.2007/08 ircbot_itw456.ex_ 0.00 1332.42 24.93 1270.7007/08 magania_itw2.ex_ 0.00 229.73 34.77 846.5307/08 magania_itw4.ex_ 0.00 251.25 380.70 0.0007/08 onlinegames_itw512.ex 0.00 386.68 470.62 365.7307/08 onlinegames_itw521.ex 0.00 229.73 34.77 0.0007/08 onlinegames_itw522.ex 0.00 480.68 532.13 812.2007/08 onlinegames_itw527.ex 0.00 480.68 532.13 812.2007/08 onlinegames_itw536.ex 0.00 0.00 346.25 0.0007/08 rbot_itw2662.ex_ 0.00 94.03 0.00 1039.2207/08 vaklik_itw11.ex_ 0.00 154.47 142.62 846.5307/08 vaklik_itw27.ex_ 0.00 480.68 327.42 812.2007/08 vaklik_itw33.ex_ 0.00 306.43 0.00 0.0008/08 agent_itw66.ex_ 0.00 461.47 117.23 44.0508/08 autorun_itw433.ex_ 40.97 973.45 691.68 858.0208/08 ircbot_itw459.ex_ 0.00 0.00 0.00 995.1808/08 pushbot_itw8.ex_ 0.00 0.00 0.00 921.2308/08 slenfbot_itw19.ex_ 40.97 635.90 687.45 279.8708/08 slenping_itw2.ex_ 0.00 357.65 22.58 37.7808/08 vaklik_itw55.ex_ 0.00 0.00 0.00 18.2308/08 zbot_itw16.ex_ 0.00 159.43 99.07 102.0209/08 agent_itw67.ex_ 0.00 15.92 1137.60 65.4509/08 autorun_itw444.ex_ 18.90 48.82 0.00 56.9209/08 sdbot_itw2682.ex_ 0.00 0.00 0.00 1166.0309/08 0908_zbot_itw17.ex_ 0.00 1256.22 0.00 0.00* Include signature beta
** 0.00 identificazione proattiva euristica
1 Source: AV-Test.org 2008 (www.av-test.org)
= Meno di 5 ore = Da 5 a 24 ore = Più di 24 ore
Tempi di risposta medi
Filtraggio degli allegati
Tipologia di filtro
•In base alla reale tipologia del file•Al nome o estensione•Alla dimensione•alla direzione (in/out) del messaggio•Combinazioni •Supporto per wildcards, es. “*curriculum*.doc”
Azioni•Skip detectTraccia l’evento ma non ferma il file•DeleteRimuove il documento e lo sostituisce con una nota•BlockRimuove il messaggio
Gestione archivi
Forefront analizza i file ZIP e le altre tipologie di archivi ed elimina solo i file corrotti all’interno dell’archivio
Regola di filteraggio: Delete *.exeQuarantine
Archivio prima della scansione
EXE DOC
JPGBMP
Archivio dopo la scansione
TXT DOC
JPGBMP
Testo di notifica
Quarantena
EXE
Filtraggio dei contenuti
Filtraggio dei contenuti Parole contenute nei messaggi chat o nei file text based
scambiati Possibilità di utilizzare operatori logici per definire regole
anche complesse _AND_ _NOT_ _ANDNOT_ _WITHIN[#]OF_ _HAS[#]OF_
Utilizzo di regole case sensitive o case insensitive Dizionari prepopolati
Filtraggio dei contenuti
Possono essere definite le seguenti azioni: Skip: identificazione e log Block: rimozione del messaggio
Gli amministratori possono: Definire utenti a cui i messaggi non saranno filtrati,
sfruttando Sender/Recipient Allow Lists Applicare i filtri ai messaggi IM in ingresso, uscita o
scambiati internamente
Integrazione con OCS
Analisi dei file
Il trasferimento file avviene come traffico P2P tra due istanze di OC
FOCS monitora i messaggi SIP usati per negoziare il trasferimento file al fine di ridirigere il traffico al server FOCS
L’analisi di file scambiati con IM pubblici avviene sul server Access Edge
Virus Scanning
Il flusso di messaggi SIP è rediretto attraverso FSOCS
I messaggi puliti e i file da trasferire sono marcati e inoltrati attraverso OCS I file infetti sono bloccati
o messi in quarantena Una notifica è inviata al
mittente e all’amministratore
OCS 2007
SIP MessageStream
IM
IM
Quarantine
Notification
SIP Message Scanning
FSOCS riconosce i seguenti content type SIP supportati da OCS 2007 e 2005: Plain Text Rich Text Format (default) Mime-Multipart Alternative ISF (Ink Serialized Format)/GIF
FSOCS analizza content types sconosciuti che possono essere inviati da client custom creati con l’SDK di UCC
FSOCS può essere configurato per bloccare content type non noti
Notifiche
FSOCS invia notifiche quando viene identificato del malware o una comunicazione viene bloccata da policy di filtering
La notifica può essere differente per utenti interni ed esterni L’amministratore riceve
una mail Il mittente (e il destinatario)
riceve un messaggio IM
User IM Notification
Risorse
Risorse
Forefront Security for OCShttp://www.microsoft.com/forefront/serversecurity/ocs/en/us/default.aspx
Versione di valutazionehttp://technet.microsoft.com/en-gb/evalcenter/cc509001.aspx
Risorse tecnichehttp://technet.microsoft.com/en-gb/library/cc676985.aspx
Blog del Product Teamhttp://blogs.technet.com/FSS/
© 2008 Microsoft Corporation. All rights reserved. Microsoft, Windows, Windows Vista and other product names are or may be registered trademarks and/or trademarks in the U.S. and/or other countries.
The information herein is for informational purposes only and represents the current view of Microsoft Corporation as of the date of this presentation. Because Microsoft must respond to changing market conditions, it should not be interpreted to be a commitment on the part of Microsoft, and Microsoft cannot guarantee the accuracy of any information provided after
the date of this presentation. MICROSOFT MAKES NO WARRANTIES, EXPRESS, IMPLIED OR STATUTORY, AS TO THE INFORMATION IN THIS PRESENTATION.