Livre Blanc Solution de Securite de la Messagerie2 - Mag
Transcription
Livre Blanc Solution de Securite de la Messagerie2 - Mag
Solutions de sécurité de messagerie de Microsoft® Microsoft Corporation Publication : décembre 2005 Résumé Les entreprises d’aujourd’hui doivent habilement conjuguer les technologies et les processus pour protéger leurs environnements de messagerie contre les virus, les vers, les courriers indésirables (spam) et les contenus préjudiciables. Microsoft s’engage à aider ses clients en leur apportant des conseils, en exerçant une politique responsable et en investissant dans les technologies. Ce livre blanc présente les solutions de défense en profondeur que Microsoft préconise pour contrecarrer les toutes dernières menaces et sécuriser la messagerie électronique Livre blanc Microsoft® Windows Server System™ Les informations contenues dans ce document représentent l’opinion actuelle de Microsoft Corporation sur les points cités à la date de publication. Microsoft s’adapte aux conditions fluctuantes du marché et cette opinion ne doit pas être interprétée comme un engagement de la part de Microsoft ; de plus, Microsoft ne peut pas garantir la véracité de toute information présentée après la date de publication. Ce livre blanc est fourni uniquement à titre indicatif. MICROSOFT EXCLUT TOUTE GARANTIE, EXPRESSE, IMPLICITE OU STATUTAIRE, EN CE QUI CONCERNE CE DOCUMENT. L’utilisateur est tenu d’observer la réglementation relative aux droits d’auteur applicable dans son pays. Aucune partie de ce document ne peut être reproduite, stockée ou introduite dans un système de restitution, ou transmise à quelque fin ou par quelque moyen que ce soit (électronique, mécanique, photocopie, enregistrement ou autre) sans la permission expresse et écrite de Microsoft Corporation. Microsoft peut détenir des brevets, avoir déposé des demandes d’enregistrement de brevets ou être titulaire de marques, droits d’auteur ou autres droits de propriété intellectuelle portant sur tout ou partie des éléments qui font l’objet du présent document. Sauf stipulation expresse contraire d’un contrat de licence écrit de Microsoft, la fourniture de ce document n’a pas pour effet de vous concéder une licence sur ces brevets, marques, droits d’auteur ou autres droits de propriété intellectuelle. © 2005 Microsoft Corporation. Tous droits réservés. Microsoft, Windows, MSN, Hotmail, Smartscreen et Outlook sont soit des marques commerciales de Microsoft Corporation, soit des marques déposées de Microsoft Corporation aux États-Unis et/ou dans d’autres pays. Antigen, Sybari, Advanced Spam Manager, Sybari Enterprise Manager et WormPurge sont des marques commerciales ou des marques déposées de Sybari Software, Inc. aux États-Unis et/ou dans d’autres pays. Les autres noms de produits mentionnés sont des marques de leurs propriétaires respectifs. Livre blanc Microsoft® Windows Server System™ Table des matières Protection contre les toutes dernières attaques ........................................................................................ 2 Plusieurs niveaux de protection ............................................................................................................. 2 Plusieurs technologies ........................................................................................................................... 3 Sécurisation de l’accès .............................................................................................................................. 3 Intégration avec l’infrastructure.................................................................................................................. 4 Services de messagerie sécurisée de FrontBridge ................................................................................... 5 Sécurité, protection et conformité .......................................................................................................... 6 Correction des vulnérabilités du réseau................................................................................................. 6 Maîtrise des coûts et de la complexité ................................................................................................... 6 Internet Security and Acceleration Server ................................................................................................. 6 Accès à distance à Exchange Server plus facile et mieux sécurisé ...................................................... 7 Filtrage applicatif .................................................................................................................................... 7 Innovation intégrée................................................................................................................................. 8 Logiciels antivirus et antispam d’Antigen® ................................................................................................ 8 Plusieurs lignes de défense ................................................................................................................... 8 Optimisation du serveur ......................................................................................................................... 9 Contrôle du contenu ............................................................................................................................... 9 Livre blanc Microsoft® Windows Server System™ Problèmes de sécurité liés à la messagerie électronique Les virus et les vers créés aujourd’hui par des individus mal intentionnés sont conçus pour infecter rapidement des millions de systèmes informatiques du monde entier en se propageant par Internet et par les clients de messagerie électronique. Au niveau mondial, les coûts liés aux virus et aux vers en 2003 ont été estimés à plus de 9,5 milliards d’euros. En parallèle, les entreprises sont submergées de courriers indésirables et de messages publicitaires non sollicités. Les analystes estiment qu’entre 50 et 70 % du courrier électronique échangé au niveau mondial est constitué de spam. Non content de nuire à l’efficacité de l’entreprise, le spam représente un réel danger dans la mesure où il peut être le vecteur de code malveillant. Cible privilégiée des pirates, l’infrastructure de messagerie est donc l’élément essentiel sur lequel les entreprises doivent se concentrer pour empêcher l’infiltration de logiciels malveillants. Désormais, les entreprises doivent habilement conjuguer les technologies et les processus pour protéger leurs environnements. Microsoft s’engage à aider ses clients en leur apportant des conseils, en exerçant une politique responsable et en investissant dans les technologies. • Conseils : Microsoft communique aux services informatiques et aux développeurs les informations dont ils ont besoin pour créer et déployer des solutions fiables et sûres. Microsoft propose des guides tels que Securing Exchange Server Communications, Top 4 Exchange Server Security Best Practices, Security Hardening Guide for Exchange Server 2003 et ISA Server 2004 Security Hardening Guide. • Politique responsable : Microsoft a prouvé son engagement sur ce terrain en formant des groupes de travail comme la Virus Information Alliance (VIA) qui regroupe des éditeurs d’antivirus, leaders du marché. Les membres se réunissent pour partager des informations précises sur les nouvelles menaces afin de mieux répondre à leurs clients et de renforcer leur protection. Microsoft s’allie aussi avec des prestataires de services et des instances gouvernementales en participant à des groupes d’étude comme le Global Infrastructure Alliance for Internet Safety (GIAIS). • Technologies : Microsoft a tout fait pour améliorer la plateforme Windows et a notamment misé sur des technologies telles que Windows Server™ 2003 Service Pack 1, Windows XP Service Pack 2, Windows AntiSpyware et les outils de suppression de logiciels malveillants. Outre ces investissements, Microsoft s’attache à renforcer la sécurité dans les futures versions de Windows. Microsoft cherche aussi à améliorer les processus de mise à jour en sortant de nouvelles versions de Software Update Services et Systems Management Server. À l’heure où les menaces que représentent les virus, les vers et le spam s’aggravent et se propagent, les clients se tournent vers Microsoft pour trouver de nouvelles technologies de sécurité. Ce livre blanc explique l’approche qu’adopte Microsoft pour aider ses clients à protéger leur infrastructure de communication et à lutter de front contre ces attaques. Solutions de sécurité de messagerie de Microsoft® 1 Livre blanc Microsoft® Windows Server System™ Protection de l’infrastructure de messagerie Dans la mesure où les serveurs de messagerie sont le passage obligé des données et jouent un rôle essentiel dans les activités quotidiennes d’un grand nombre d’entreprises, les auteurs de logiciels malveillants, les pirates et les auteurs de spam les ont pris pour cibles et s’en servent pour infiltrer les réseaux d’entreprise. La messagerie électronique est devenue le principal vecteur des infections virales, et a été le point d’entrée de 88 % des attaques virales menées contre les entreprises en 2003. Le spam constitue aussi un sérieux problème. À lui seul, MSN® Hotmail® traite près de 3 milliards de messages indésirables en une journée. Outre le fait qu’il constitue une atteinte à la vie privée et engendre des pertes coûteuses en termes de temps et de ressources, le spam peut aussi servir à véhiculer des vers et des virus et mettre ainsi la sécurité en danger. Microsoft cherche à soulager ses clients des menaces qui pèsent sur la messagerie électronique. Son but est de sécuriser l’infrastructure de messagerie pour aider les entreprises à dynamiser la collaboration sans exposer leurs biens aux attaques des logiciels malveillants. La sécurité et l’efficacité des entreprises et des utilisateurs ne peuvent être assurées que par des solutions capables de contrecarrer les toutes dernières attaques, de sécuriser l’accès aux ressources de messagerie et de se fondre dans l’infrastructure de messagerie existante. Protection contre les toutes dernières attaques Le concept de défense en profondeur est, sans conteste, la meilleure pratique à adopter en termes de sécurité. Il s’agit de mettre en œuvre plusieurs technologies de sécurité pour assurer plusieurs lignes de défense en différents points du réseau afin de réduire au minimum les risques d’infiltration des ressources d’entreprise les plus stratégiques. La défense en profondeur permet aux administrateurs d’instaurer plusieurs « points de contrôle » dans l’infrastructure de messagerie. Ils peuvent ainsi empêcher tout code ou logiciel malveillant de pénétrer dans le système et diminuer les risques de voir une menace passer à travers les mailles du filet. Plusieurs niveaux de protection Pour assurer la défense en profondeur de la messagerie, les entreprises doivent généralement protéger le trafic à trois endroits précis de l’infrastructure réseau : à la périphérie du réseau, sur les serveurs et sur les clients. • Les protections antivirus et antispam sont souvent mises en place à la périphérie du réseau ou sur les passerelles pour empêcher les menaces SMTP de se propager au réseau interne. Ce niveau de protection réduit considérablement le trafic global en direction des serveurs de messagerie. La bande passante et les ressources du serveur sont alors réservées aux communications fondamentales de l’entreprise. • La protection par pare-feu est instaurée au niveau de la passerelle ou de la DMZ. Ce niveau de protection sécurise l’accès aux serveurs de messagerie. Ces derniers se trouvent ainsi protégés contre toutes sortes d’activités malveillantes, y compris des attaques des couches application et réseau qui cherchent à identifier et à exploiter les systèmes et les services de messagerie. • La protection antivirus intervient au niveau des serveurs de messagerie frontaux et principaux. Alors que la protection de la passerelle élimine la majorité des menaces, la protection antivirus placée sur les serveurs proprement dits constitue une ligne de défense supplémentaire parant aux incidents internes qui n’atteignent jamais la passerelle. Les entreprises peuvent encore décider d’appliquer une protection antispam sur les serveurs de messagerie lorsqu’elles cherchent à améliorer le taux de détection général et à maîtriser le spam qui franchit les barrières de défense du périmètre. Solutions de sécurité de messagerie de Microsoft® 2 Livre blanc Microsoft® Windows Server System™ • Même si ces protections ne sont pas spécifiques à la messagerie électronique, il convient généralement de mettre en place un antivirus de bureau, un détecteur de logiciels espions et un pare-feu personnel au niveau du client. Les technologies contrôlant les informations de messagerie pour empêcher les utilisateurs de faire suivre, d’imprimer ou de partager des documents confidentiels peuvent être également déployées à ce niveau. Plusieurs technologies Une stratégie de défense en profondeur assure non seulement plusieurs lignes de défenses, mais fait aussi appel à plusieurs technologies pour détecter et éradiquer les menaces de sécurité. En s’appuyant sur plusieurs technologies pour se défendre, les entreprises éliminent les points de défaillance individuels sur l’ensemble de leur architecture de sécurité. En cas d’antivirus, il est préférable d’utiliser des moteurs d’analyse de plusieurs éditeurs puisque chaque moteur a recours à des méthodes de détection qui lui sont propres. Les signatures de virus constituent la méthode de détection la plus fréquente et chaque moteur se base sur un jeu de priorités et de méthodologies particulier pour créer de nouvelles signatures. Les éditeurs suivent également des calendriers spécifiques pour sortir leurs mises à jour. En utilisant plusieurs moteurs, les entreprises peuvent faire chevaucher les périodes de mise à jour et abaisser ainsi les risques d’exposition aux nouvelles menaces. Outre les fichiers de signatures, les moteurs d’antivirus s’appuient aussi, à des degrés divers, sur des analyses heuristiques et des blocages comportementaux propriétaires. En utilisant plusieurs moteurs, les entreprises parviennent à mieux se protéger car si la menace n’est pas détectée par le fichier de signatures d’un moteur, elle peut l’être par une signature ou une analyse heuristique d’un autre moteur. D’autres solutions de sécurité de messagerie comme les pare-feu ou les logiciels antispam bénéficient aussi de l’alliance de plusieurs techniques de sécurité. En matière de pare-feu, il est possible de définir différentes configurations de sécurité à divers points de l’infrastructure réseau pour renforcer le niveau de protection. À la périphérie du réseau, par exemple, les configurations peuvent déterminer un accès de type oui/non, alors que dans la DMZ, les pare-feu protégeant des applications spécifiques peuvent adopter une technique de filtrage intelligent pour mieux contrôler et interdire les accès mal intentionnés. En matière d’antispam, il est difficile de trouver une seule technologie fiable à 100 % dans la mesure où les spammeurs changent sans cesse de tactique. En ayant recours à la fois aux signatures et aux analyses heuristiques, la détection s’avère bien plus efficace et le taux de faux positifs diminue. Sécurisation de l’accès Les vers, les virus et le spam ne sont pas les seules menaces qui pèsent sur la sécurité de la messagerie électronique. Les pirates s’en prennent souvent à la messagerie électronique pour lancer des attaques visant à immobiliser les serveurs de messagerie ou à exploiter des adresses électroniques et des données confidentielles. Dans les environnements de travail interconnectés d’aujourd’hui où les utilisateurs doivent pouvoir accéder à distance à leur messagerie pour partager des informations avec leurs collègues, clients et partenaires, il est essentiel de sécuriser l’accès à ces ressources. Pour pouvoir exploiter les serveurs de messagerie, les pirates doivent commencer par les localiser. Les entreprises doivent donc mettre en place des technologies qui empêchent les pirates de découvrir les serveurs de messagerie. Dans Microsoft Exchange, par exemple, beaucoup d’entreprises assurent l’accès à distance par le biais d’Outlook® Web Access (OWA). Les entreprises peuvent instaurer un niveau de protection entre le serveur OWA et la périphérie du réseau afin d’isoler OWA d’Internet et des menaces potentielles, d’empêcher les pirates de localiser les machines les plus vulnérables et de fournir un autre point pour l’authentification des utilisateurs et l’analyse du trafic. Solutions de sécurité de messagerie de Microsoft® 3 Livre blanc Microsoft® Windows Server System™ Intégration avec l’infrastructure Quel que soit le niveau de protection à assurer, les solutions de sécurité doivent être fiables et faciles à gérer. Si les administrateurs ont sans cesse à redémarrer des serveurs défaillants, à réinitialiser des configurations ou à distribuer des mises à jour manuellement, les solutions de sécurité n’assurent pas la protection voulue et n’apportent pas aux entreprises les gains d’efficacité qu’elles sont en droit d’attendre. Pour s’assurer que les solutions de sécurité donnent les résultats escomptés, il est essentiel de veiller à leur intégration à l’infrastructure de messagerie. Cette intégration permet aux applications de sécurité d’assurer la protection recherchée sans occasionner de charge supplémentaire pour la prise en compte de la messagerie. Par exemple, si une solution antivirus s’intègre à la pile SMTP de Microsoft Windows, elle n’a pas à demander la redirection du port 25, et peut lancer l’analyse des virus sans réaliser des fonctions de routage. L’intégration améliore aussi les performances, la disponibilité et la facilité de gestion de la solution de sécurité. Étroitement intégrées, les solutions de sécurité donnent de meilleurs résultats puisqu’il est possible de surveiller davantage de trafic sans nuire aux performances du serveur de messagerie (ni surcharger les systèmes au point de défaillance). Plus important encore pour les équipes informatiques, l’intégration facilite l’administration des systèmes de sécurité. En présence de systèmes intégrés, les administrateurs peuvent procéder à la configuration, au déploiement, à la mise à jour, à la création de rapports et à la surveillance, à partir d’une seule console. Dans le cas de Microsoft Exchange, Microsoft Operations Manager est un élément d’intégration clé qui facilite le travail des administrateurs de systèmes informatiques et de messageries. Solutions de sécurité de messagerie de Microsoft® 4 Livre blanc Microsoft® Windows Server System™ Fonctionnement des solutions de sécurité de messagerie de Microsoft La stratégie de sécurité de messagerie adoptée par Microsoft repose sur la défense en profondeur, la sécurisation de l’accès et l’intégration avec l’infrastructure. Microsoft sait aussi que ses clients ont des exigences différentes et qu’ils ne possèdent pas la même expertise technologique. C’est pourquoi, Microsoft veut offrir à ses clients des options d’une grande souplesse qu’ils adapteront en fonction de l’environnement Exchange à sécuriser. Sécurité à plusieurs niveaux de la messagerie Services managés Logiciels de périmètre DMZ Internet Réseau d’entreprise Internet Services FrontBridge de filtrage des messages ISA Pare-feu externe Passerelles Antigen pour SMTP Gestion avancée des spams Antigen pour Exchange Pare-feu interne Qu’il s’agisse des services managés de filtrage de messagerie de FrontBridge, du pare-feu du site ou de la protection antivirus et antispam d’Exchange, les clients peuvent choisir les niveaux de protection les mieux adaptés à leurs besoins. Les sections suivantes sont consacrées à ces autres solutions de sécurité de messagerie électronique. Services de messagerie sécurisée de FrontBridge Pour protéger les messageries d’entreprise des menaces extérieures, Microsoft propose les services de messagerie sécurisée de FrontBridge, une suite de services hébergés assurant la sécurité, la conformité et la disponibilité des messages électroniques. Les services FrontBridge ont pour but d’aider les entreprises à contrecarrer les nouvelles attaques sans avoir à prévoir d’investissement initial sur site en termes de logiciels, de matériels ou de personnels informatiques. Entièrement managés, ces services en temps réel aident les entreprises à lutter contre le spam et les virus, à assurer la gouvernance d’entreprise, à se mettre en parfaite conformité et à garantir la disponibilité des messages après une panne du réseau ou un sinistre. Chaque service offre plusieurs niveaux de protection pour assurer la meilleure protection globale qui soit sans compromettre les délais de livraison des messages. Assurant une protection « anticipative », les services FrontBridge sont déployés sur le réseau international de centres de données le plus fiable et soumis à des accords de niveau de service. Solutions de sécurité de messagerie de Microsoft® 5 Livre blanc Microsoft® Windows Server System™ Sécurité, protection et conformité FrontBridge offre quatre services managés pour protéger les messages des attaques malveillantes et les gérer de manière proactive. Avec FrontBridge, les entreprises peuvent confier différentes tâches de messagerie à un prestataire expert et consacrer les ressources ainsi libérées à la création d’atouts concurrentiels. • Filtrage des messages – Service de sécurité de messagerie multiniveau permettant le filtrage de spam, la recherche des virus, le contrôle des contenus et des stratégies, et la reprise après sinistre. Il protège les réseaux d’entreprise contre le spam et les virus à l’aide de plusieurs méthodes de détection propriétaires, notamment analyse du trafic de la messagerie, empreintes, système de score à base de règles, recherche multimoteur des virus et gestion personnalisée du filtre antispam. Le service inclut aussi un éditeur de stratégies qui permet d’empêcher des messages au contenu confidentiel ou inapproprié de quitter le réseau d’entreprise ou d’y pénétrer. Pour finir, la fonction de reprise après sinistre évite la perte des messages puisqu’elle met les messages en file d’attente en cas d’indisponibilité du serveur. • Archivage des messages – Conservation, surveillance et suivi en toute sécurité des messages dans le cadre d’une mise en conformité, d’une recherche judiciaire ou de la gestion du stockage. • Chiffrement des messages – Chiffrement des données d’entreprise stratégiques et respect des politiques de confidentialité. • Continuité des messages – Accès permanent aux messages grâce à des archives tournantes sur 30 jours pour une utilisation après sinistre. Correction des vulnérabilités du réseau FrontBridge aide les entreprises à se protéger des attaques lancées sur la couche réseau. Certains fournisseurs de solutions demandent un premier enregistrement MX (mail exchange), qui pointe sur le réseau du service, et un deuxième enregistrement MX, qui pointe sur le serveur de messagerie de l’entreprise, en cas de besoin. FrontBridge, en revanche, n’exige qu’un seul enregistrement MX, qui pointe sur le réseau FrontBridge. En l’absence de deuxième, voire de troisième enregistrement MX, le réseau de l’entreprise peut passer inaperçu en cas de recherche DNS. Les utilisateurs deviennent invisibles et ne sont plus à la portée des expéditeurs mal intentionnés puisque la recherche DNS fait apparaître FrontBridge. Les utilisateurs n’acceptent que le trafic SMTP entrant en provenance de FrontBridge, colmatant ainsi la dernière brèche de sécurité de leur pare-feu réseau. Maîtrise des coûts et de la complexité Les services FrontBridge ont été élaborés dans le but de s’intégrer les uns aux autres. Sans aucun réglage de l’utilisateur, la solution évolutive de FrontBridge bloque efficacement les courriers indésirables et les virus. Elle réduit ainsi le trafic des messages et améliore l’efficacité de l’infrastructure de messagerie de l’entreprise. Il n’y a, par ailleurs, aucune liste blanche à télécharger ni à mettre à jour. Avec sa devise « une fois pour toutes », FrontBridge libère les entreprises de la gestion et de la maintenance des messages. Elles peuvent donc redéployer leurs ressources informatiques, souvent peu nombreuses, sur des projets à plus grande valeur ajoutée. Internet Security and Acceleration Server Puisque les menaces qui pèsent sur Exchange sévissent en dehors du flux de messages SMTP, les entreprises doivent mettre en place une protection par pare-feu pour sécuriser les ressources d’Exchange. Internet Security and Solutions de sécurité de messagerie de Microsoft® 6 Livre blanc Microsoft® Windows Server System™ Acceleration (ISA) Server 2004 offre un pare-feu applicatif sophistiqué pour Microsoft Exchange Server, assurant ainsi une plus grande sécurité que les pare-feu matériels traditionnels. Accès à distance à Exchange Server plus facile et mieux sécurisé Dans le cadre de l’accès à distance à Exchange, Outlook Web Access propose un accès par navigateur Web aux messages, aux planifications (y compris la planification de groupe), aux contacts et aux informations de collaboration stockés dans les dossiers du système de stockage Exchange. Pour protéger OWA, ISA Server permet aux utilisateurs de restreindre l’accès aux ressources d’OWA. Au lieu de déployer les serveurs frontaux Exchange à la périphérie du réseau, où ils sont plus vulnérables aux attaques, les entreprises peuvent utiliser un ordinateur ISA Server pour gérer toutes les requêtes entrantes en provenance de Microsoft Office Outlook 2003 et d’Outlook Web Access. En cas de publication des serveurs Outlook Web Access via ISA Server, le nom et l’adresse IP du serveur Outlook Web Access ne sont pas accessibles à l’utilisateur. L’utilisateur accède à l’ordinateur ISA Server, qui transmet ensuite la requête au serveur Outlook Web Access conformément aux conditions décrites par les règles de publication des serveurs de messagerie. Les serveurs Exchange internes renvoient les données demandées à ISA Server qui envoie, à son tour, les informations à l’ordinateur client via Internet. ISA Server permet aussi de configurer facilement une authentification à base de formulaires et le contrôle des pièces jointes pour protéger les ressources d’entreprise lors d’un accès via Outlook Web Access. Dans la mesure où Outlook Web Access est souvent utilisé à partir d’ordinateurs publics, les entreprises veulent pouvoir contrôler la façon dont l’utilisateur consulte et enregistre les pièces jointes. Elles veulent éviter que les informations d’entreprise confidentielles soient mises en cache ou enregistrées sur un ordinateur public. ISA Server dispose d’un mécanisme pour bloquer les pièces jointes aux messages électroniques lorsqu’un utilisateur se sert d’ordinateurs publics (partagés), d’ordinateurs privés ou des deux. Les utilisateurs n’ont pas le droit d’ouvrir ou d’enregistrer les pièces jointes, mais restent néanmoins capables de les visualiser. La fonction de publication Outlook Web Access d’ISA Server permet aussi la publication Outlook Mobile Access et Exchange ActiveSync. Avec Outlook Mobile Access, les utilisateurs peuvent accéder à Outlook à partir de leurs appareils mobiles. Avec Exchange ActiveSync, les utilisateurs peuvent assurer, directement et en toute sécurité, des synchronisations avec les boîtes aux lettres Exchange à partir d’appareils Microsoft Windows Mobile™ tels que Pocket PC, Pocket PC Phone Edition et Smartphone. Filtrage applicatif ISA server propose plusieurs niveaux de filtrage pour empêcher les menaces d’atteindre les systèmes de messagerie, notamment filtrage de paquets traditionnel et inspection avec état. Lorsque le filtrage des paquets est activé, ISA Server dépose tous les paquets sur l’interface externe à moins qu’ils ne soient explicitement autorisés, de manière statique par les filtres de paquets IP ou de manière dynamique par les stratégies d’accès ou les règles de publication. En cas d’inspection avec état, ISA Server inspecte aussi la source et la destination du trafic mentionnées dans l’en-tête IP et le port de l’en-tête TCP ou UDP identifiant le service réseau ou l’application utilisés. ISA effectue aussi une inspection poussée du trafic dans la couche application pour en assurer la sécurité. Les filtres applicatifs « intelligents » peuvent analyser un flux de données pour une application précise et adopter un traitement particulier en fonction de l’application. Ils sont en mesure d’inspecter, accepter, refuser, rediriger ou même modifier les données transitant par le pare-feu. Ce mécanisme permet de se protéger contre des menaces connues telles que commandes SMTP non sûres ou attaques dirigées sur les serveurs DNS (Domain Name System) internes. Des outils tiers assurant le filtrage de contenu, y compris la détection de virus, l’analyse lexicale et la catégorisation des sites, ont également recours aux filtres applicatifs et Web pour accroître l’efficacité du pare-feu. Solutions de sécurité de messagerie de Microsoft® 7 Livre blanc Microsoft® Windows Server System™ Innovation intégrée ISA propose des outils de gestion simples, faciles à prendre à main et à utiliser pour accélérer la phase d’adaptation des nouveaux administrateurs de sécurité et faciliter le colmatage des brèches de sécurité dues à une mauvaise configuration du pare-feu. Grâce à son intégration avec Microsoft Operations Manager (et à la journalisation niveau groupe proposée dans la version ISA Enterprise), il est possible d’assurer une surveillance centralisée de l’activité des serveurs ISA. En s’intégrant aussi à Windows Active Directory, à des solutions VPN tierces et à d’autres infrastructures existantes, ISA Server facilite la sécurisation des applications, des utilisateurs et des données des entreprises. Logiciels antivirus et antispam d’Antigen® En ce qui concerne les serveurs, Antigen for SMTP Gateways, Antigen for Exchange et Advanced Spam Manager s’allient pour assurer une protection antivirus et antispam au niveau de la passerelle de périmètre ou des serveurs de routage ainsi que sur les serveurs Exchange frontaux et principaux. • Antigen for SMTP Gateways protège l’infrastructure de messagerie des infections et des temps d’arrêt à la périphérie du réseau en bloquant les menaces dirigées sur la messagerie avant qu’elles n’atteignent les utilisateurs. • Antigen for Exchange est une solution antivirus pour serveur qui assure une protection totale dans des environnements Exchange 5.5, Exchange 2000 et Exchange 2003. Elle peut être déployée sur des serveurs Exchange, frontaux et principaux, pour contrecarrer les menaces de périmètre et confiner les incidents internes. L’analyse du courrier entrant et sortant se fait au niveau de la pile SMTP et l’analyse en temps réel a lieu au niveau de la banque d’informations Exchange. • Advanced Spam Manager peut se déployer au niveau de la passerelle ou des serveurs Exchange, et applique plusieurs techniques pour arrêter les courriers indésirables avant qu’ils ne nuisent à l’efficacité des utilisateurs. Advanced Spam Manager se caractérise par un moteur antispam à base de signatures, fréquemment mis à jour, plusieurs niveaux de filtrage du contenu et des messages et une parfaite intégration avec le filtre de messages intelligent de Microsoft Exchange 2003. Plusieurs lignes de défense Non contents de renforcer la défense de votre messagerie en assurant une protection supplémentaire au niveau des serveurs, Antigen for Exchange et Antigen for SMTP Gateways mettent en œuvre plusieurs lignes de défense au sein d’un même serveur. Sachant qu’un seul virus, échappant à votre vigilance, risque d’occasionner de graves dégâts et un nettoyage fort coûteux, mieux vaut améliorer, chaque fois que possible, le taux de détection des virus. S’il arrive qu’un virus échappe à un moteur d’analyse, il est beaucoup plus rare de le voir passer au travers de plusieurs moteurs d’analyse utilisant des technologies différentes. Antigen permet aux utilisateurs de mettre en œuvre une défense multicouche au niveau de la passerelle SMTP et du serveur de messagerie en gérant intelligemment les moteurs d’analyse antivirus au sein d’une solution unique. La technologie utilisée par chaque moteur est unique et présente des points forts. Certains moteurs, par exemple, exploitent pleinement l’approche heuristique, alors que d’autres détectent mieux les virus macro. Pour une détection plus fiable des virus et une meilleure protection, Antigen réunit plusieurs moteurs, signés des principaux éditeurs du marché, dans une même solution. Une entreprise peut alors tirer pleinement parti des avantages offerts par les différents moteurs sans encourir les frais d’acquisition et de déploiement de plusieurs logiciels antivirus. Il existe aussi plusieurs modes de détection du spam : certains se basent sur des signatures, d’autres sur des règles, des analyses de probabilité ou encore sur l’intelligence artificielle. Chaque méthode présente des avantages, mais Solutions de sécurité de messagerie de Microsoft® 8 Livre blanc Microsoft® Windows Server System™ aucune n’est infaillible. La détection à base de signatures offre une grande précision, alors que la détection à base de règles est souvent capable de contrecarrer de nouvelles vagues de spam sans mise à jour particulière. En mariant les deux méthodes et en procédant à des réglages appropriés, les entreprises se dotent d’une protection bien supérieure que si elle ne faisait appel qu’à l’une d’entre elles. Microsoft occupe une position de choix pour aider ses clients à bien se protéger en mettant à la fois en œuvre la protection antispam à base de signatures d’Advanced Spam Manager et l’approche heuristique de SmartScreen et du filtre de messages intelligent d’Exchange, capable de protéger des millions de boîtes aux lettres. Optimisation du serveur Les diverses lignes de défense doivent être étroitement intégrées les unes aux autres et au sein de l’infrastructure serveur qu’elles protègent. Sans une intégration de la sorte, une solution de sécurité devient vite ingérable, réalise des performances médiocres et laisse passer les attaques. En s’intégrant parfaitement à la plateforme Microsoft Exchange, les solutions d’Antigen optimisent les performances du serveur et assurent la protection des messages sans solliciter outre mesure les ressources du serveur, même en cas de surcharges. Les paramètres d’optimisation des performances et l’analyse multithread distribuée permettent aux utilisateurs de profiter de l’analyse de plusieurs moteurs sans rallonger les délais de traitement des messages ni dégrader les performances du serveur. Antigen est une solution unique qui s’intègre, d’une part, avec Microsoft Exchange Server 5.5, 2000 et 2003 pour assurer une protection antivirus à tous les points d’entrée clés, et d’autre part, avec Microsoft Operations Manager pour permettre une gestion centralisée. Avec la console d’administration Web Sybari® Enterprise Manager™, les administrateurs peuvent assurer la configuration, le déploiement, la création de rapports et la mise à jour de manière centralisée. Contrôle du contenu La protection de la messagerie ne s’arrête pas à l’éradication des virus et des vers. Les messages peuvent contenir des contenus indésirables, inappropriés ou dangereux : images à caractère violent ou pornographique, documents douteux d’un point de vue éthique ou légal, ou données d’entreprise confidentielles. Dans Antigen for Exchange, les administrateurs peuvent définir des règles de filtrage de manière à faire appliquer les politiques d’entreprise en termes de niveau de langue et de confidentialité au sein du corps des messages. Antigen for Exchange permet aussi de définir des règles de filtrage pour les fichiers. Ainsi, les utilisateurs peuvent décider de bloquer, quelles que soient leur source ou leur destination, les fichiers susceptibles de véhiculer des virus (.exe, par exemple) ou de faire tomber les entreprises sous le coup de la loi (.mp3, par exemple). Solutions de sécurité de messagerie de Microsoft® 9 Livre blanc Microsoft® Windows Server System™ Récapitulatif La messagerie est, sans conteste, l’un des éléments les plus sensibles de l’infrastructure d’une entreprise aujourd’hui puisqu’elle sert à partager les informations, à collaborer et à communiquer. Elle est, par conséquent, la cible privilégiée des personnes mal intentionnées, et les entreprises doivent veiller sérieusement à sa sécurité. Microsoft manifeste sa volonté d’aider les entreprises à favoriser la collaboration des employés et des partenaires en leur proposant des technologies qui n’exposent par leurs réseaux et leurs biens les plus précieux aux attaques des logiciels malveillants. En investissant dans des technologies telles que le filtre de messages intelligent d’Exchange, Sender ID, Windows XP Service Pack 2 et ISA Server 2004, Microsoft a pris les premières mesures dans ce sens. Avec les solutions FrontBridge, ISA Server et Antigen, Microsoft poursuit son engagement et veut aider ses clients à sécuriser leurs environnements de messagerie. Les produits FrontBridge, ISA Server et Antigen proposent les logiciels et les services indispensables à la mise en place de plusieurs lignes de défense qui serviront de parade aux menaces pesant sur la messagerie. En combinant ces différentes technologies, les entreprises seront mieux à même d’optimiser la sécurité et l’efficacité de leur messagerie. Solutions de sécurité de messagerie de Microsoft® 10 Livre blanc Microsoft® Windows Server System™ Liens utiles Pour obtenir des informations complémentaires, veuillez consulter les ressources suivantes : • Présentation de la sécurité de la messagerie à http://www.microsoft.com/messagingsecurity • Évaluation de FrontBridge à http://www.frontbridge.com/forms/form_evaluation.php • Évaluation d’Antigen à http://www.sybari.com/eval • Évaluation d’ISA à http://www.microsoft.com/isaserver/evaluation/trial/default.mspx • Guide de sécurité d’Exchange à http://www.microsoft.com/technet/prodtechnol/exchange/2003/security.mspx Pour obtenir d’autres informations sur Windows Server System, visitez le site Web de Windows Server System à l’adresse http://www.microsoft.com/windowsserversystem. Solutions de sécurité de messagerie de Microsoft® 11