SEC316

David Cross
Yigal Edery

 

ISA next generation – wird Forefront Threat Management Gateway

Nicht nur Sicherheit, sondern Management und Visibility

 

Heute gibts 2 Produkte:

  • Protection – ISA
  • Access – UAG

Morgen ist es nicht anderes:

  • Protection – Forefront Threat Management Gateway
  • Access - (Folie war zu schnell weg)

 

TGM Value Proposition

  • Firewall Funktionalität – wird so bestehen bleiben
    New in TMG:
    VoIP Traffic – SIP Filter (endlich)
    Enhanced NAT (spezifische IP Adresse für Geräte hinter der FW)
    ISP Redundancy (Ausfall oder beide gleichzeitig nutzen)
  • Schutz der USer vor Web Browsing Threats (Web client protection)
    HTTP Antivirus/Antispyware
    URL Filtering
    HTTPS forward inspection (Inspect outgoing HTTPS)
  • Schutz der User vor E-Mail threats (E-Mail Protection)
    Exchange EDGE /FSE integration (in der Box integriert)
    Anti-Virus
    Anti-Spam
  • Schutz von Desktops und Servers vor Intrusion Attemps (Intrusion prevention and Detection System)
    Handeling the unknown

  • User Zugriff auf Unternehmens ressourcen geben (VPN, Secure Web Publishing)
    NAP Integration with VPN Role
    SSTP
  • Einfaches Management, easy deployment
    Array Management
    Scenario UI & Wizards
    Change tracking
    Enhanced reporting
    W2K8, native 64bit
  • Subscription Service
    Http: AV+URL Filtering
    Mail – AV + Anti Spam
    NIS Signatures

 

Wie schauen mögliche Deployments aus:

  • TMG alles rennt auf einer single Box (für Midmarket) – steht am Edge als Firewall
  • Secure Web Gateway – nur Schutz HTTP(S) – both directions, + Mailsecurity
  • Remote Access Gateway – VPN
  • Secure EMail Relay – nur die Mailrollen

Rennt TMG in Virtuellen Umgebungen ?

  • ISA und TMG ist in Hyper-V voll supportet

 

Setup und Konfig ist sehr einfach – viele Wizards -

UI überarbeitet: es ist mehr Task orientiert – d.h. im Prinzip so wie es oben steht…

Schaut sehr übersichtlich aus

Getting starteted wizard – 3 Schritte -

  • Configure Network – Wie schaut meine Topologie aus, meine Up Adressen , usw..
  • Configure System Configuration – Konfig des eigentlichen TMG Servers
  • Deployment Wizard – wie schauen die Updates aus

Web Client Protection

  • Malware insepcting of incoming files (Files, Documents, …) – Prüfen bevor es beim User ist
  • URL Filtering – URl category sets and exclusion
  • HTTPS inspection – URL Filtering, malware scanning and IPS protection bei HTTPS
    Firewall client notification to the end users (wegen Privacy)
    wir haben sehr drauf geschaut, das die Privacy der User gewart bleibt

    der HTTPS Traffic geht zwischen TMG und der Seite, zwischen Client und TMG wird es mit einem TMG Zertifikat verschlüsselt

    Wie schauts mit grossen Files aus ?
    Problem, TMG muss das File zuert downloaden, bevor er es dem User gibt
    USer bekommt ein TMG Fenster, wo er den Vorgang des Donwloads sieht (mit Balken) bis das File da ist

    Ich kann auch ein Trickeling machen – d.h. wir schicken dem User, wenn er downloaded kleine Stücke der Datei, d.h. er hat den Eindruck es geht sehr langsam und nach dem Prüfen bekommt er es mit LAN Geschwindigkeit (Konfigurierbar pro Filetype)

 

Email Protection

volle SMT Hygiene
Integrated mit Forefront Security for Exchange
unterstützt auch generische SMTP mail server
d.h. die ExchangeRolle ist voll in TMG integriert – ist Teil des Produkts
ebenso Forefront Security
cool…….

 

Intrusion Prevention System

Vulnerability-based signatures
Schaut nicht auf die Vulnerablitiy, sondern auf den Networkimpact der Vulnerability

Security assessment and response (SAS)
Gleiches Prinzip wie Forefront Client Security

Firewall Verbesserungen

  • SIP filtering
    Local IP PBX support
    Sip messaging quota protection
    SIP trunk support

ISP redundancy

ich kann wählen zwischen Failover oder Loadbalancing
geht nur für Outbound
ich kann für einzelne Server bestimmen, welchen Weg sie gehen
sehr einfach zu konfigurieren

Derzeitiger erwarteter Release: H1/2009 (CY)

Mit Stirling – der zentralen Sicherheitszentrale – spielen die Forefrontprodukte zusammen

d.h. erkennt das Gateway eine  Activity, die nicht sauber ist, kann die Client Security am Client Aktionen setzen (Full Scan starten oder so…)

Durch die Multile Scanenginefunktion von FS Exchange bin ich auch durch multiple Scanengine geschützt…

 

Anmeldung zum Betaprogram unter http://connect.microsoft.com

Soll sehr stabil sein

 

Christian – live von Barcelona – last session !

Christian.Decker@microsoft.com