Server-Systeme mit Antivirus-Engines gegen Bedrohungen absichern Forefront Security für Microsoft Exchange und Sharepoint

Autor / Redakteur: Johann Baumeister / Stephan Augsten

Unter dem Sammelbegriff Forefront fasst Microsoft seine Sicherheitsprodukte zusammen. Mit Forefront Security für Exchange und Sharepoint will die Software-Schmiede aus Redmond den Austausch von Informationen über diese beiden Kommunikationsplattformen sicherer gestalten. Security-Insider hat sich über Architektur und Konzepte genauer informiert.

Firmen zum Thema

( Archiv: Vogel Business Media )

Forefront umfasst den ISA in der Version 2006 (Internet Security and Acceleration Server), das Intelligent Application Gateway (IAG), ein Paket für den Client Schutz und die beiden Produkte Forefront Security für Exchange und Forefront Security für Sharepoint. Letztere stammen aus der Sybari-Übernahme und wurden vorher unter der Bezeichnung Antigen vertrieben. Diese beiden Produkte stehen im Fokus dieser Untersuchung und werden in diesem Beitrag der Einfachheit halber mit Forefront abgekürzt.

Die Zielsetzung der beiden Forefront-Module ist die Absicherung der Serversysteme von Exchange und Sharepoint. Auch wenn diese beiden Systeme auf den ersten Blick wenig gemein haben – aus der Sicht von Forefront gibt es jedoch eine bindende Klammer und daher auch das Angebot von Forefront für Exchange und dem Sharepoint Server.

Bildergalerie

Beide Systeme dienen als Kommunikationsplattform. Folglich werden in beiden Serversystemen Dokumente oder E-Mails hinterlegt und von dort geladen. Da aber Dokumente und Mails häufig als Träger für Viren, Trojanern und jeglicher Angriffssoftware genutzt werden, sind sowohl Exchange als auch Sharepoint diesen Bedrohungen ausgesetzt. Durch die beiden Module Forefront für Exchange und Forefront für Sharepoint sollen genau diese Angriffe abgewehrt werden.

Antivirus-Engines diverser Security-Experten

Forefront ist allerdings kein Virenscanner oder Content-Filter im üblichen Sinne, sondern stellt vielmehr eine Ausführumgebung für eingebettete Scan-Engines dar. Diese untersuchen eigentlich die E-Mails oder Dokumente und werden von Partnern beigesteuert. Derzeit handelt es sich dabei um die Produkte der Firmen AhnLab, Authentium, CA, Norman, Kaspersky, Sophos und Virus Buster. Ferner ist noch Microsofts eigene Anti-Virus-Engine integriert.

Durch den Rückgriff auf mehrere Scan-Module verschiedener Hersteller will Microsoft die Erkennungsrate der Angriffe möglichst hoch halten. Dies ist statistisch sicherlich zutreffend, da mehrere Engines eine höhere Erkennungs-Wahrscheinlichkeit haben, als nur eine einzige.

Seite 2: Server-Rollen unter Exchange

Server-Rollen unter Exchange

Forefront wird immer in das Basissystem integriert, das es schützen soll – also in diesem Fall in Exchange oder Sharepoint. Seit der neuesten Version von Exchange 2007 kann ein Exchange-Server-System in mehrere Rollen aufgebrochen werden. Hierbei handelt es sich um Hub Transport, Edge Transport, Unified Communication, Mailbox und Client Access.

All diese Rollen lassen sich, um die Skalierbarkeit zu verbessern, auf je einem eigenen Rechner einrichten. Umgekehrt ist es aber für kleinere Umgebungen mit einer überschaubaren Anzahl an Mailboxen und Kommunikationsaufkommen auch möglich, mehrere dieser Rollen auf einem physischen Server zu betreiben. Auf dem Server mit der Rolle Mailbox liegen die Postfächer der Benutzer und ihre Verwaltung.

Über den Hub Transport werden hingegen Mails ausgetauscht, egal ob diese intern oder über das Internet versandt oder davon empfangen werden. Der Edge Transport ist dem Hub Transport nachgeschaltet und kommt beim E-mail-Austausch über das Internet zum Einsatz. Der Edge Transport steht idealerweise in der DMZ (Demilitarized Zone) und ist durch Firewalls abgesichert.

Alle dieser drei Serverrollen dienen dem Autausch der elektronischen Post. Und genau auf diesen drei Servern kann Forefront eingerichtet werden. Client Access und Unified Communication haben in Verbindung mit Forefront keine Bedeutung.

Antivirus-Scans auf verschiedenen Exchange-Rollen

Welche von den acht angebotenen Engines auf welchen Server-Rollen zum Einsatz kommen ist einstellbar. Parallel lassen sich maximal fünf der Scan-Module auswählen und betreiben. Dies kann im Extremfall bedeuten, dass auf den ersten beiden Servern (Edge Transport und Hub Transport) jeweils zwei unterschiedliche Engines angewandt werden. Auf dem Server mit der Rolle der Mailbox die verbleibende fünfte Scanengine.

Die Untersuchung einer Mail durch fünf Engines erfordert allerdings auch entsprechend viel Rechenleistung. Daher erlaubt Forefront einen Kompromiss zwischen Sicherheit und Scan-Laufzeit. Optimale Sicherheit wird durch alle fünf Engines erreicht, bestmögliche Laufzeit hingegen, wenn nur eine Engine die Mail untersucht. Dazwischen sind ferner drei weitere Abstufungen einstellbar.

Trefferquote versus Performance

Es macht natürlich keinen Sinn, eine Mail zweimal nacheinander mit dem gleichen Scanner zu untersuchen. Deshalb erhalten gescannte Mails eine Kennung, welche Engine bereits angewandt wurde. Jede Scanengine lässt sich separat konfigurieren. Die Virensignaturen werden regelmäßig über die Microsoft-Webseite aktualisiert. Das Redmonder Unternehmen bezieht diese seinerseits von den Partnern, prüft sie jedoch vorher auf das Zusammenspiel mit Forefront.

Der eigentliche Scan kann entweder direkt online laufen, also wenn die Mail durch Exchange geschleust wird, oder aber periodisch im Hintergrund. In die Untersuchung werden alle Elemente der E-Mail einbezogen, beispielsweise Header, Betreff, Absender, Dateiinhalt oder auch der Weg der Mail. Ferner ist zu bestimmen, was mit infizierten Mails oder Dokumenten passieren soll. Im Modul des Reporting berichtet Forefront über durchgeführte Aktivitäten.

(ID:2006418)