1 / 49

Forefront Threat Management Gateway

Forefront Threat Management Gateway. Stanislas Quastana, CISSP Architecte Infrastructure (et super fan d’ISA Server depuis Proxy 2.0 ) Microsoft France http://blogs.technet.com/stanislas. Agenda Présentation de la nouvelle génération ISA. Introduction Nouvelles fonctionnalités

walker
Download Presentation

Forefront Threat Management Gateway

An Image/Link below is provided (as is) to download presentation Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author. Content is provided to you AS IS for your information and personal use only. Download presentation by click this link. While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server. During download, if you can't get a presentation, the file might be deleted by the publisher.

E N D

Presentation Transcript

  1. Forefront Threat Management Gateway Stanislas Quastana, CISSP Architecte Infrastructure (et super fan d’ISA Server depuis Proxy 2.0 ) Microsoft France http://blogs.technet.com/stanislas

  2. AgendaPrésentation de la nouvelle génération ISA • Introduction • Nouvelles fonctionnalités • Déploiement et administration • Protection des clients Web • Protection de la messagerie • Prévention des intrusions • Améliorations du pare-feu • Forefront TMG et Forefront Stirling • Synthèse • Ressources utiles

  3. AgendaPrésentation de la nouvelle génération ISA • Introduction • Nouvelles fonctionnalités • Déploiement et administration • Protection des clients Web • Protection de la messagerie • Prévention des intrusions • Améliorations du pare-feu • Forefront TMG et Forefront Stirling • Synthèse • Ressources utiles

  4. Un peu d’histoire Passerelle d’accès sécurisée Protection contre les menaces en ligne Plateforme universelle d’accès distants aux applications (Web et C/S)

  5. Objectifs de Forefront TMG • Contrôler les accès entrant et sortant au niveau du périmètre de votre réseau • Protéger les utilisateurs lors de la navigation sur le Web • Protéger les infrastructures de messagerie • Protéger les machines contre les exploits au travers du réseau • Faciliter l’administration et le déploiement

  6. Scénarios de déploiement

  7. AgendaPrésentation de la nouvelle génération ISA • Introduction • Nouvelles fonctionnalités • Déploiement et administration • Protection des clients Web • Protection de la messagerie • Prévention des intrusions • Améliorations du pare-feu • Forefront TMG et Forefront Stirling • Synthèse • Ressources utiles

  8. Déploiement et administration • Pré-requis d’installation • Windows Server 2008 64 bit • PowerShell, .Net Framework 3.5, MSMQ • Assistant de démarrage (configuration initiale) • Interface orientée tâches • Gestion centralisée de la configuration (groupe de serveurs) • Amélioration de la journalisation et des rapports

  9. Administration demo Aperçu de la console Forefront TMG

  10. Protection des clients Web • Analyse anti logiciels malveillants • Analyse des fichiers téléchargés • Paramétrage de l’analyse global ou par règle • Filtrage d’URLs • Catégories d’URL et exclusions • Inspection du trafic sortant HTTPS • Filtrage d’URLs, analyse AV et protection IPS • Zone d’administration dédiée au contrôle des accès Web sortants

  11. Protection des clients WebAnalyse anti-logiciels malveillants • Moteur antivirus de Microsoft • 3scénarios d’analyse • Régulier : analyse du contenu avant délivrance • Si le temps d’inspection prend moins de X secondes • Si le temps d’inspection dépasse X secondes • Page HTML avec barre de progression de l’analyse • Pour les exécutables et certains types de fichiers • Envoi de contenu partiel (Trickling) • D’infimes morceaux de données (sains) sont envoyés au client jusqu’à ce que l’inspection complète du fichier soit finie

  12. Accès Web sécurisés demo Analyse AV

  13. Protection des clients WebLe cas du trafic HTTPS sortant • Une fois la session SSL établie, les proxies ou les pare-feu sont incapables de voir les données échangées. • De nombreuses logiciels utilisent cette solution • Outlook 2003/2007 (RPC over HTTPS) • Terminal Server (via la passerelle TS) • Messageries instantanées • Clients VPN SSL • Logiciels P2P….

  14. Protection des clients WebInspection du trafic HTTPS sortant • Comment réduire le risque induit par ces échanges non contrôlés ? • Limiter les accès HTTPS sortants via des listes blanches • Bloquer les requêtes dans la phase de négociation • Déchiffrer le SSL en sortie au niveau du proxy/pare feu (Man In The Middle). • Concept intéressant en terme de sécurité mais pas vraiment en terme de confidentialité… • … on va en discuter car Forefront TMG fonctionne sur ce modèle  

  15. Forefront TMG et les flux SSL Analyse HTTP (URL, entêtes, contenu, antivirus…) & Inspection SSL IM P2P MS RPC… HTTPS Internet IM, P2P, MS RPC… Forefront TMG Client

  16. Accès Web sécurisés demo Inspection SSL

  17. Protection de la messagerie électronique • Hygiène complète des flux SMTP • Anti-virus multi moteurs (5 à choisir parmi 8) • Anti-spam/ Anti-Phishing • Filtrage de contenu • Grâce à l’intégration de • Exchange Server 2007 en rôle Edge • Forefront Security for Exchange • Protège tout type de serveur SMTP

  18. Protection de la messagerie demo Paramétrage

  19. Prévention des intrusions réseaux • Détection et prévention des attaques sur des vulnérabilités connues • Permet de “fermer la fenêtre” le temps nécessaire aux tests et au déploiement des correctifs de sécurité • Forefront Network Inspection System (NIS) • Basé sur GAPA provenant de Microsoft Research • Generic Application Level Protocol Analyzer • Basé sur des signatures de vulnérabilités • Mise à jour via Microsoft Update

  20. Intrusion Prevention System demo

  21. Améliorations du pare-feu • Filtrage SIP • Redondance des connexions Internet (2 FAI) • NAT « avancé »  • Nouveau client pare-feu • Découverte automatique et sécurisée avec utilisation Active Directory

  22. Améliorations du pare-feuFiltrage SIP • Local IP PBX support • SIP messages quota protection • Support de SIP trunk

  23. Améliorations du pare-feuRedondance des connexions FAI • 2 options d’utilisation : • Tolérance de panne • Agrégation de liens • Uniquement pour le trafic sortant • Trafic réseau « NATé » par Forefront TMG pour le réseau Externe

  24. Redondance / Aggrégation FAI démo Ou presque ;-)

  25. Améliorations du VPN nomade • Support de Network Access Protection • Mise en conformité et quarantaine • Support des nouveaux algorithmes (AES…) • Support de SSTP • Avec un peu de chance, on peut espérer celui de IKEv2 (VPN Reconnect) disponible dans Windows Server 2008 R2 combiné à Windows 7  si ce n’est pas dans la version RTM de Forefront TMG, ça pourrait arriver avec le premier Service Pack

  26. AgendaPrésentation de la nouvelle génération ISA • Introduction • Nouvellesfonctionnalités • Déploiement et administration • Protection des clients Web • Protection de la messagerie • Prévention des intrusions • Améliorations du pare-feu • Forefront TMG et Forefront Stirling • Synthèse • Ressourcesutiles

  27. Forefront Stirling Administration / Supervision Réponse dynamique Remontéeet partage d’informations « v2 »

  28. AgendaPrésentation de la nouvelle génération ISA • Introduction • Nouvelles fonctionnalités • Déploiement et administration • Protection des clients Web • Protection de la messagerie • Prévention des intrusions • Améliorations du Pare-feu • Forefront TMG et Forefront Stirling • Synthèse • Ressources utiles

  29. Synthèse des nouveautés

  30. Ressources utiles • Blog de Stanislas http://blogs.technet.com/stanislas Dans ce blog, cliquez Forefront TMG / Threat Management Gateway dans la zone de tags pour accéder à toutes les informations complémentaires et les liens vers les documents de références.

  31. Save the date for tech·days nextyear! 14 – 15 avril 2010, CICG

  32. Premium Sponsoring Partners Classic Sponsoring Partners

More Related