Download - ISA 与 Antigen 如何防护你的 Exchange 服务器乃至你的协作架构
ISAISA 与与 AntigenAntigen 如何防护你如何防护你的的 ExchangeExchange 服务器乃至你服务器乃至你的协作架构的协作架构
今天讨论的题目今天讨论的题目针对邮件系统的威胁针对邮件系统的威胁
病毒病毒 , , 蠕虫蠕虫 , , 木马木马垃圾邮件垃圾邮件 , , 钓鱼程序钓鱼程序将来可能会有的一些情况将来可能会有的一些情况
该如何设计清洁的邮件环境该如何设计清洁的邮件环境多层面环境周边防御体系多层面环境周边防御体系威胁事件的控制威胁事件的控制 ** ??补救措施补救措施 ** ??
今天不讨论的话题今天不讨论的话题产品介绍或比较产品介绍或比较
Exchange Exchange 管理管理
只谈邮件只谈邮件 , , 不谈协作不谈协作
Microsoft + SybariMicrosoft + Sybari
今日话题今日话题对邮件系统的威胁对邮件系统的威胁
病毒病毒 , , 蠕虫蠕虫 , , 木马木马垃圾邮件垃圾邮件 , , 钓鱼程序钓鱼程序将来可能会有的一些情况将来可能会有的一些情况
该如何设计清洁的邮件环境该如何设计清洁的邮件环境多层面环境周边防御体系多层面环境周边防御体系威胁事件的控制威胁事件的控制 ** ??善后措施善后措施 ** ??
病毒,蠕虫及木马病毒,蠕虫及木马病毒是自我传播的恶意程序,他寄生与病毒是自我传播的恶意程序,他寄生与“好”的文件“好”的文件 // 数据中数据中蠕虫是自我传播的恶意程序,它不寄生于蠕虫是自我传播的恶意程序,它不寄生于文件数据中文件数据中
可能寄生于自身可能寄生于自身或或 根本就不寄生 根本就不寄生
木马是一种不进行自我传播的恶意程序木马是一种不进行自我传播的恶意程序
恶意程序具备的属性恶意程序具备的属性执行平台执行平台目标搜寻目标搜寻传播媒介传播媒介激活搜寻程式激活搜寻程式自我传播技术自我传播技术后门后门 **??
执行平台执行平台指令格式指令格式 APIAPI 请求请求执行平台的类型执行平台的类型
机器码 机器码 (Win32+Intel 32-bit)(Win32+Intel 32-bit)
字节码 字节码 (Java2+JVM)(Java2+JVM)
脚本 脚本 (VBA)(VBA)
多平台恶意程序多平台恶意程序 ??目前少见目前少见目标目标 Solaris Solaris 和 和 WindowsWindows
目标搜索目标搜索收集目标地址收集目标地址
基于传播程式基于传播程式邮件地址邮件地址 , IP , IP 地址地址 , , 等等 ..
探寻目标执行平台探寻目标执行平台探寻激活程式探寻激活程式
避开入侵监测系统避开入侵监测系统复杂的网络轮询复杂的网络轮询 ** ??搜集本地地址搜集本地地址使用搜索引擎使用搜索引擎
传播介质传播介质传播介质依靠一种或多种激活方法传播介质依靠一种或多种激活方法所有数据传输方法都可能是潜在的传播介所有数据传输方法都可能是潜在的传播介质质目前最常见的传播介质目前最常见的传播介质
电子邮件和 电子邮件和 IMIM
文件共享文件共享可利用的 可利用的 IP IP 协议协议以前蠕虫留下的后门以前蠕虫留下的后门
激活方法激活方法利用软件利用软件
实现缺陷(拙劣的编码)实现缺陷(拙劣的编码)设计缺陷(拙劣的设想)设计缺陷(拙劣的设想)配置错误(拙劣的设想)配置错误(拙劣的设想)
利用人员利用人员社会工程学社会工程学 ** ??
软件软件 人员人员
自保护自保护避免检测避免检测
目标、传播、执行目标、传播、执行隐秘行动隐秘行动
加密;激活时解密加密;激活时解密在激活后隐藏在激活后隐藏 (Rootkit*(Rootkit* ?? ))
多形多形改变外表改变外表功能一致功能一致
变性变性改变外部改变外部改变功能改变功能
效果效果故意破坏故意破坏SMTP SMTP 传播传播分布式 分布式 DoS DoS 代理代理 (zombie)(zombie)
后门后门 (botnet)(botnet)可编程 可编程 DDoS DDoS 代理代理发送垃圾邮件发送垃圾邮件流量嗅探流量嗅探 / / 键盘记录键盘记录启动新的恶意软件启动新的恶意软件下载间谍软件 下载间谍软件 / / 广告软件广告软件
蠕虫和病毒爆发蠕虫和病毒爆发病毒爆发频率加快病毒爆发频率加快病毒爆发强度缺乏规律病毒爆发强度缺乏规律
要降低频率,必须减少病要降低频率,必须减少病毒编写者毒编写者… … 不可能。不可能。要降低强度,必须减少暴要降低强度,必须减少暴露的机器露的机器… … 也许。也许。要缩短爆发持续时间,必要缩短爆发持续时间,必须拥有计划。检测、隔离、须拥有计划。检测、隔离、修复修复 !!
受感染
的机
器
时间00
超级蠕虫?超级蠕虫?最糟糕的情境最糟糕的情境
多平台多平台使用“零天”利用的多重利用使用“零天”利用的多重利用最佳传播最佳传播 (Warhol/Flash)(Warhol/Flash)通过 通过 botnet botnet 分发,预先设定目标分发,预先设定目标
多形多形变性变性内核层隐秘行动内核层隐秘行动高功能后门效果高功能后门效果
今天讨论的题目今天讨论的题目针对邮件系统的威胁针对邮件系统的威胁
病毒、蠕虫、木马病毒、蠕虫、木马垃圾邮件、钓鱼程序垃圾邮件、钓鱼程序恶意软件的未来方向恶意软件的未来方向
邮件保护设计邮件保护设计层式周边防御层式周边防御事故抑制事故抑制修复策略修复策略
垃圾邮件垃圾邮件预计所有 预计所有 Internet Internet 电子邮件中有 电子邮件中有 70% 70% 到 到 75% 75% 是未经请求的。 是未经请求的。
之所以存在垃圾邮件,是因为它有作用!虽然响之所以存在垃圾邮件,是因为它有作用!虽然响应率低达 应率低达 0.001%0.001% (( 100,000 100,000 中有 中有 1 1 个),但个),但仍有商业价值。仍有商业价值。
垃圾邮件无法完全消灭垃圾邮件无法完全消灭无法实现完美的分类无法实现完美的分类
在今后的 在今后的 24 24 个月内,垃圾邮件可能将达到饱和。个月内,垃圾邮件可能将达到饱和。响应率正在下降,因为:响应率正在下降,因为:
防垃圾邮件技术的改进防垃圾邮件技术的改进回报减少回报减少
垃圾邮件饱和垃圾邮件饱和
时间时间
垃圾
邮件
垃圾
邮件
// 总电
子邮
件总
电子
邮件
100%100%
饱和饱和
钓鱼程序钓鱼程序伪装成来自“高价值”网站合法消息的电伪装成来自“高价值”网站合法消息的电子邮件子邮件目的在于收集有用信息,通常用于身份盗目的在于收集有用信息,通常用于身份盗窃窃虚假的发送者地址虚假的发送者地址将 将 URL URL 转到攻击者网站转到攻击者网站依靠社会工程学依靠社会工程学
钓鱼钓鱼
垃圾邮件 垃圾邮件 出口出口
BotNetBotNet
TO: [email protected]: [email protected]: [email protected]: [email protected]
HR signup now!HR signup now!
http://172.1.1.8/signuphttp://172.1.1.8/signup
XYZ HR Dept.XYZ HR Dept.
Sign up now!Sign up now!
SSN:SSN:
今天讨论的题目今天讨论的题目针对邮件系统的威胁针对邮件系统的威胁
病毒、蠕虫、木马病毒、蠕虫、木马垃圾邮件、钓鱼程序垃圾邮件、钓鱼程序恶意软件的未来方向恶意软件的未来方向
邮件保护设计邮件保护设计层式周边防御层式周边防御事故抑制事故抑制修复策略修复策略
未来的方向未来的方向恶意软件用户(恶意软件用户( script kiddiescript kiddie 等)使编写等)使编写者避免法律责任者避免法律责任
病毒和蠕虫将大量使用可扩展的后门和 病毒和蠕虫将大量使用可扩展的后门和 rootkitrootkit
这将导致更多的 这将导致更多的 botnetbotnet ,而且每个 ,而且每个 botnet botnet 具有更多节点具有更多节点
未来的方向未来的方向当广泛使用加密的邮件(例如 当广泛使用加密的邮件(例如 S/MIMES/MIME ))后,恶意软件将使用它来躲过传输扫描。后,恶意软件将使用它来躲过传输扫描。
当广泛使用权利管理后,恶意软件也将尝当广泛使用权利管理后,恶意软件也将尝试利用这个功能。可能通过内容过期删除试利用这个功能。可能通过内容过期删除传输痕迹。传输痕迹。
今天讨论的题目今天讨论的题目针对邮件系统的威胁针对邮件系统的威胁
病毒、蠕虫、木马病毒、蠕虫、木马垃圾邮件、钓鱼程序垃圾邮件、钓鱼程序恶意软件的未来方向恶意软件的未来方向
邮件保护设计邮件保护设计层式周边防御层式周边防御事故抑制事故抑制修复策略修复策略
周边防御周边防御定义周边定义周边
网关设备网关设备远程设备远程设备所有最终用户设备所有最终用户设备
目标目标阻止目标发现的企图阻止目标发现的企图阻止潜伏状态恶意软件阻止潜伏状态恶意软件的传播的传播阻止垃圾邮件和不适宜阻止垃圾邮件和不适宜的电子邮件的电子邮件
层式周边防御层式周边防御
SMTPSMTP邮件服务器邮件服务器
桥头堡桥头堡邮件服务器邮件服务器
连接筛选器连接筛选器信封筛选器信封筛选器内容策略内容策略防垃圾邮件防垃圾邮件防病毒防病毒
InternetInternet
锁定锁定端口端口 2525入站和入站和出站出站
有序的层式防御有序的层式防御考虑的因素考虑的因素
层的检测频率层的检测频率平均流量降低平均流量降低平均检测速度平均检测速度流量方向(入站、出站)流量方向(入站、出站)
示例:防垃圾邮件示例:防垃圾邮件检测频率高检测频率高 (>50%)(>50%)
大幅度流量降低大幅度流量降低防垃圾邮件中度 防垃圾邮件中度 CPU CPU 占用占用仅入站流量仅入站流量
有序的层式防御有序的层式防御连接筛选器总是首当其冲连接筛选器总是首当其冲
RBLRBL 、接受、接受 //拒绝列表、发送者 拒绝列表、发送者 IDID
如果在邮件接受前进行阻止,不要求“无法发如果在邮件接受前进行阻止,不要求“无法发送”报告送”报告
信封筛选器和内容策略信封筛选器和内容策略主题、文件类型、邮件大小主题、文件类型、邮件大小消息已被接受,因此要求 消息已被接受,因此要求 NDRNDR
最后是内容扫描程序最后是内容扫描程序防垃圾邮件、防病毒、防钓鱼程序防垃圾邮件、防病毒、防钓鱼程序
防御部署次序防御部署次序连接筛选器连接筛选器
RBL RBL 查找查找
接受接受 //拒绝列表拒绝列表
发送者 发送者 ID ID 查找查找
RCPT TO RCPT TO 查找查找
信封和内容策略信封和内容策略
内容扫描内容扫描
防垃圾邮件引擎防垃圾邮件引擎
防病毒引擎防病毒引擎
内容扫描内容扫描
信封和内容策略信封和内容策略
防病毒引擎防病毒引擎
内容筛选器内容筛选器
由于在网络层实施强制措施,由于在网络层实施强制措施,因此不需要因此不需要
入站 入站 RCPT RCPT 筛选筛选筛选 筛选 SMTP SMTP 会话中的会话中的 RCPT TORCPT TO使用目录查找检验收件人使用目录查找检验收件人如果 如果 RCPT RCPT 地址无效,发送出错地址无效,发送出错由于发送还未完成,无 由于发送还未完成,无 NDRNDR
但是但是可用于轻松的目标收获可用于轻松的目标收获当前的对策是 当前的对策是 TarpittingTarpittingTarpitting Tarpitting 也会泄漏信息也会泄漏信息
今天讨论的题目今天讨论的题目针对邮件系统的威胁针对邮件系统的威胁
病毒、蠕虫、木马病毒、蠕虫、木马垃圾邮件、钓鱼程序垃圾邮件、钓鱼程序恶意软件的未来方向恶意软件的未来方向
邮件保护设计邮件保护设计层式周边防御层式周边防御事故抑制事故抑制修复策略修复策略
事故抑制事故抑制周边防御使我们憧憬最理想情景周边防御使我们憧憬最理想情景……
事故抑制教我们准备好应付最糟糕情况事故抑制教我们准备好应付最糟糕情况 !!
蠕虫和病毒爆发是无法避免的。请准备好蠕虫和病毒爆发是无法避免的。请准备好一个计划一个计划 !!
抑制措施:计划抑制措施:计划检测:不能包含无法检测的内容。更早的检测:不能包含无法检测的内容。更早的检测能缩短爆发延续时间检测能缩短爆发延续时间
隔离:控制传播。爆发强度限制降低隔离:控制传播。爆发强度限制降低
修复:清除受感染对象,最终取消隔离修复:清除受感染对象,最终取消隔离
抑制措施:检测抑制措施:检测检测何时出站蠕虫和病毒被阻止检测何时出站蠕虫和病毒被阻止
在桌面和邮件服务器上使用不同的 在桌面和邮件服务器上使用不同的 AVAV ;如果;如果检测到出站病毒,那么这个桌面已经被攻破了检测到出站病毒,那么这个桌面已经被攻破了
检测出站邮件的峰值检测出站邮件的峰值快速上升通常意味着爆发快速上升通常意味着爆发
检测被阻止端口的访问企图检测被阻止端口的访问企图监视防火墙和服务器日志监视防火墙和服务器日志
抑制措施:隔离抑制措施:隔离停止 停止 Internet Internet 邮件流邮件流
将爆发限制在组织内将爆发限制在组织内禁用 禁用 SMTP SMTP 连接连接
停止内部邮件流停止内部邮件流冻结邮件队列冻结邮件队列禁止用户访问禁止用户访问 ExchangeExchange
抑制措施:修复抑制措施:修复确保最新的防病毒软件确保最新的防病毒软件清除邮件队列清除邮件队列清除邮箱清除邮箱清除受感染的客户端机器清除受感染的客户端机器取消内部隔离措施取消内部隔离措施允许内部电子邮件流;仔细监视允许内部电子邮件流;仔细监视
取消 取消 Internet Internet 隔离措施隔离措施返回正常运作返回正常运作
今天讨论的题目今天讨论的题目针对邮件系统的威胁针对邮件系统的威胁
病毒、蠕虫、木马病毒、蠕虫、木马垃圾邮件、钓鱼程序垃圾邮件、钓鱼程序恶意软件的未来方向恶意软件的未来方向
邮件保护设计邮件保护设计层式周边防御层式周边防御事故抑制事故抑制修复策略修复策略
问题?问题?
您的反馈十分您的反馈十分重要重要 !!
• 一次性:在 一次性:在 DNS DNS 发布 发布 SPF SPF 记录记录• 不需要其他更改不需要其他更改• 正常发送电子邮件正常发送电子邮件
• 查找 查找 DNS DNS 中的发送者 中的发送者 SPF SPF 记录记录• 确定确定 PRAPRA
• 将 将 PRA PRA 与 与 SPF SPF 记录中的合法 记录中的合法 IP IP 进行进行比较比较
• 符合 符合 肯定的筛选器输出 肯定的筛选器输出• 不符合不符合 否定的筛选器输出否定的筛选器输出
• 邮件从一台传输到多台电子邮件服邮件从一台传输到多台电子邮件服务器,直至接受方务器,直至接受方
发送者 发送者 ID ID 框架框架
资源资源
MS Exchange TechCenter – 安全性 :http://www.microsoft.com/technet/prodtechnol/exchange/2003/security.mspx
Honeynet 项目 : http://www.honeynet.org
UCSD Network Telescope: http://www.caida.org