300 likes | 364 Views
A levelezési infrastruktúra hatékony védelmi megoldásai. Szirtes István tulajdonos, MVP minősítésű oktató Szirtes Technologies Oktatóközpont. Miről lesz szó?. A levelezéssel kapcsolatos aktuális biztonsági kérdések Az Exchange beépített biztonsági elemei
E N D
A levelezési infrastruktúra hatékony védelmi megoldásai Szirtes István tulajdonos, MVP minősítésű oktató Szirtes Technologies Oktatóközpont
Miről lesz szó? • A levelezéssel kapcsolatos aktuális biztonsági kérdések • Az Exchange beépített biztonsági elemei • FOPE és a HostedServices bemutatása • Együtt hatékonyabb a védelem - Forefront Protection 2010 for Exchange
A levelezés sebezhetőségei • Továbbra is a vírusok és a spamek jelentik a legfőbb problémát • A levelek >95%-a spam • Jobb esetben csak kellemetlen, rosszabb estben károkozó • A maradék üzletileg kritikus • Az adathalász üzenetek egyre kifinomultabbak • Ha a védelmi megoldásunk elhalálozik, akkor az ügyfeleinket nem tudjuk elérni, ahogy ők sem minket!
A legnépszerűbb email alapú fenyegetettségek • URL-be ágyazott Malware • Adathalász üzenetek • Mellékletben lévő Malware • Adat kiszivárogtatás • Spam IDC: 2009. Február
Az IT biztonsági területei • Beépített biztonsági megoldások • Biztonságos levelezés • Biztonságos együttműködés • Végpontok védelme • Adatvédelem • Azonosítás-, és hozzáférés kezelés
Az Exchange beépített védelmi elemei Az Exchange Server számos beépített védelmi megoldással rendelkezik a külső/belső fenyegetettségek ellen, pl.: spam, adathalászat, üzenetek lehallgatása és meghamisítása Határvédelem Az Edge Server szerepkör egy izolált hálózatban képes kiszűrni a vírusokat és spameket, mielőtt azok elérnék a belső üzenetkezelési infrastruktúrát! Perimeter • Az integrált, több rétegű anti-spam védelmi megoldás egy beérkező levél számos paraméterét vizsgálja, amit javasolt a vállalati infrastruktúra határán elvégezni! Anti-Spam • Az összes belső üzenet alapértelmezettként tikosított, de emellett az Exchange támogatja az Information Rights Management alapú adatvédelmet is! Titkosítás
Beépített titkosításOptimalizálva a belső és külső levélforgalomra
A demókörnyezet Contoso.com Fabrikam.com • E14 EDGE • DC, DNS • E14 HUB, CAS, MAILBOX • DC, DNS • E14 HUB, CAS, MAILBOX
Beépített Anti-Spam szűrőkHárom réteg az átfogó védelemért Bejövő levél Tartalom szűrés Kapcsolat szűrés Protokoll szűrés 3 2 1 • IP Allow/Denylists • Third-party DNS block lists • Global accept-deny lists 1 Kapcsolat szűrés Protokoll szűrés 2 Admin karantén • Sender ID • SMTP Tarpitting • Sender reputation • ProtocolAnalysis • Sender/Receiver filtering • Safelist Aggregation Tartalom szűrés 3 Postafiók • SmartScreen • Anti-Phishing • Quarantine • Postmark Scanning • SCL Value • Bi-weekly updates • Attachment Filtering Beérkezett üzenetek Levélszemét
Inkrementális Edge Sync Gyorsabb szinkronizáció a biztonságos/blokkolt küldőkkel E2010: EDGE szinkronizálás = 30 másodperc E2007: Teljes AD szinkronizálásaz Edge szerepkörrel ≥4 óra E2007: Biztonságos küldők + E2010: Blokkolt küldők E2010: AUTO feltöltés = 30 másodperc E2007: Kézi feltöltés ≥ 4 óra A biztonságos és blokkolt küldők listája másodpercek alatt szinkronizálható az Edge kiszolgálóval!
Server Decryption AgentTitkosított IRM-mel védettlevél • AV-AS vizsgálataz IRM-védettüzeneteken • Üzenetekautomatikusújra titkosításaa levél feldolgozási folyamatba beépítve
Microsoft biztonsági termékpalettája Már kapható 2009 2010 2010 2. félév 1. félév 2. félév Felügyelet Management Consoles Védelmi és elérési megoldások AD RMS AD RMS Platform AD FS AD LDS AD CS AD DS NAP AD FS AD LDS AD CS AD DS Windows Identity Foundation NAP
Exchange HostedServices • HostedFiltering (FOPE) • Akár a céges belső szabályozások szerinti működés melletti spam és vírusszűrés • HostedArchive (+FOPE) • A vállalat korlátlan tárhelyet kap a felhasználói postafiókok archiválására 10 éves adatmegőrzési idővel • HostedEncryption (+FOPE) • Szabály alapú email titkosítás, ahol az üzenet jellemzői alapján dönthetünk, hogy szükséges-e a titkosítás vagy sem • HostedContinuity (+FOPE) • Elsődleges üzenetkezelési rendszer kiesése esetén is képesek a felhasználók valós időben leveleket küldeni és fogadni, illetve elérik a 30 napnál nem régebbi üzeneteiket
Forefront Online Protection for ExchangeTöbbrétegű spam és vírusvédelem Külső küldő vagy címzett Vállalati hálózat Online Protectionfor Exchange Exchange Server Üzleti levél Antivirus Megszűrt beérkező levél Megszűrt kimenő levél Policy Edge Blocking Active Directory * Encryption Directory Synchronization Tool Anti-spam Levélszemét Disaster Recovery Admin Administrator Console Felhasználók Levelek kb. 95%-a szemét End User Quarantine
FOPE – az architektúra áttekintése I N T E R N E T Internet FOPE Online szolgáltatás Ügyfél levelező szervere Spam karantén
FOPE Szolgáltatásiszintmegállapodás • 99.999% rendelkezésre állás • <1 percen belüli levél kézbesítés • 100% ismert vírusok kiszűrése • >98% hatékonyságú spam szűrés • <1 hiba (False Positive) / 250,000 levél • Pénzügyi garancia • Minél rosszabb a teljesítmény, annál nagyobb a visszafizetés
Együtt hatékonyabb a védelemMélységi védelem Exchange 2010 Forefront Titkosítás Spam szűrés Vírusvédelem • Vállalaton belül alapértelmezett • Vállalatok között TLS támogatás • IRM támogatás Alapszintű • Több motor • Anti-Malware detektálás Kiterjesztett Egyesített felügyelet Több faktoros védelem Standard CAL Enterprise CAL
Forefront Protection 2010 for Exchange Vállalati infrastruktúra Hub Transport Továbbítás, házirendek AV/AS Telefon rendszer(PBX / VOIP) Edge Transport AV/AS MTA Mailbox Postafiók Adatbázis AV/AS Unified Messaging Hangüzenet és hangvezérlés Mobiltelefon Web böngésző Client Access Kliens kapcsolódás Web szolgáltatások Outlook (távoli felhasználó) Outlook (helyi felhasználó) Üzleti alkalmazások
FPE bevezetési 1x1 • Rendszerünket több ponton védjük: • FPE az Edge vagy a HubTransport szerverre • FPE a Mailbox szerverre • FCS a végpontokra • Az FPE használatánál gondoljuk végig az alábbiakat: • Hány motort fogunk használni • Milyen paramétereket vizsgálunk • Tartsuk naprakészen a víruskereső motorokat
Forefront Anti-virusTöbb malware motor együttes használata • Egyszerű telepítési megoldásösszetett integrációs technológiák használatával • Az összes keresőmotort beépítve tartalmazza alapáron • Egyidejűleg akár 5 motor futtatása bármilyen keresésre A B C Messaging and Collaboration Servers D E
Az összetett motor előnyei Kevesebb mint 5 óra 5 és 24 óra között Válaszidők (órában) Egymotoros megoldás • Gyors válasz az új fenyegetésekre • Hibamentesvédelema redundancia következtében • Különböző antivírus motorok ésheurisztikus keresések Több mint 24 óra Forrás: AV-Test.org 2009 (www.av-test.org)
Mennyire jó a technológia? Virus Bulletin(October 2009) “Scanning speeds leaned towards the better end of the scale, and detection rates showed a continuation of Microsoft’s inexorable improvement, with some excellent scores in the [proactive] sets once again...” AV Comparatives Proactive Detection(May 2009)
FPE Backscatter védelemHogyan működik? I N T E R N E T Valós feladó felado@tartomany.hu) FPE Fogadó MTA • 1. A feladó levelet küld a vállalati infrastruktúrán keresztül 3. A fogadó DSN vagy NDR üzenetet küld vissza Az FPE Backscatter védelmi elem egy tokent generál a levélhez • 4. Az FPE keresi a levélben a korábban generált tokent 5. Ha létezik a token, akkor kézbesül a DSN vagy az NDR <prvs=12we34fnr=felado@tartomany.hu>
FPE Backscatter védelem • Hogyan működik – Backscatter NDR I N T E R N E T Valós feladó felado@tartomany.hu) FPE Fogadó MTA 1. A Spammer létrehoz egy levelet a MAIL FROM mezőben egy hamis email címmel, és elküldi a megtámadott levelező szerverre, hogy az továbbítsa azt a vállalati feladónak <felado@tartomany.hu> Spammer 3. Az FPE ellenőrzi a beérkező levél tokenjét 4. Nincs token! A levél Backscatter spam! A fogadó MTA továbbítja a DSN vagy NDR üzenetet az eredeti feladónak
CloudmarkFrissítések • ECAL vásárlóknak prémium Forefront szűrés és frissítések • Simább átállás az Exchange összetett szűrésről Forefront-ra • Cloudmarkmotor spam értékelése az SCL pontozással összefügg
Tűzfal Kombinált védelemFOPE + FPE + Exchange Vállalati alkalmazások Internet Spam házirend Spam házirend FOSE Gateway Komplett felügyeleti szabály SMTP Edge Hub Levelező szerver Online Protectionfor Exchange
Exchange + Forefront - együtt hatékonyabbak Amit az Exchange 2010 nyújt… • Alapértelmezett titkosítás és az IRM beépített támogatása • Rugalmasan konfigurálható anti-spam funkciók • Felhasználó alapú SCL értékek • Inkrementális Edge Sync folyamata biztonságos/blokkolt küldők listájához • A címzett listát az Outlookkal is szinkronizálja A Forefront által nyújtott többletszolgáltatások • Több anti-malwaremotor együttes használata • Egyszerűen konfigurálható anti-spam ügynökök • Egyesített felügyelet az FSE, Exchange, FOSE termékekhez • Kiváló hatékonyságú anti-spam motorok (98% detektálási ráta) • Költségek csökkentésének lehetősége a hostolt és hibrid védelmi megoldásokkal • Állítsd be és felejtsd el!!!