isa antigen exchange n.
Download
Skip this Video
Loading SlideShow in 5 Seconds..
ISA 与 Antigen 如何防护你的 Exchange 服务器乃至你的协作架构 PowerPoint Presentation
Download Presentation
ISA 与 Antigen 如何防护你的 Exchange 服务器乃至你的协作架构

Loading in 2 Seconds...

play fullscreen
1 / 42
xantha-beck

ISA 与 Antigen 如何防护你的 Exchange 服务器乃至你的协作架构 - PowerPoint PPT Presentation

75 Views
Download Presentation
ISA 与 Antigen 如何防护你的 Exchange 服务器乃至你的协作架构
An Image/Link below is provided (as is) to download presentation

Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author. While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server.

- - - - - - - - - - - - - - - - - - - - - - - - - - - E N D - - - - - - - - - - - - - - - - - - - - - - - - - - -
Presentation Transcript

  1. ISA与Antigen如何防护你的Exchange服务器乃至你的协作架构ISA与Antigen如何防护你的Exchange服务器乃至你的协作架构

  2. 今天讨论的题目 • 针对邮件系统的威胁 • 病毒, 蠕虫, 木马 • 垃圾邮件, 钓鱼程序 • 将来可能会有的一些情况 • 该如何设计清洁的邮件环境 • 多层面环境周边防御体系 • 威胁事件的控制*? • 补救措施*?

  3. 今天不讨论的话题 • 产品介绍或比较 • Exchange 管理 • 只谈邮件, 不谈协作 • Microsoft + Sybari

  4. 今日话题 • 对邮件系统的威胁 • 病毒, 蠕虫, 木马 • 垃圾邮件, 钓鱼程序 • 将来可能会有的一些情况 • 该如何设计清洁的邮件环境 • 多层面环境周边防御体系 • 威胁事件的控制*? • 善后措施*?

  5. 病毒,蠕虫及木马 • 病毒是自我传播的恶意程序,他寄生与“好”的文件/数据中 • 蠕虫是自我传播的恶意程序,它不寄生于文件数据中 • 可能寄生于自身 • 或 根本就不寄生 • 木马是一种不进行自我传播的恶意程序

  6. 恶意程序具备的属性 • 执行平台 • 目标搜寻 • 传播媒介 • 激活搜寻程式 • 自我传播技术 • 后门*?

  7. 执行平台 • 指令格式 • API请求 • 执行平台的类型 • 机器码 (Win32+Intel 32-bit) • 字节码 (Java2+JVM) • 脚本 (VBA) • 多平台恶意程序? • 目前少见 • 目标 Solaris 和 Windows

  8. 目标搜索 • 收集目标地址 • 基于传播程式 • 邮件地址, IP 地址, 等. • 探寻目标执行平台 • 探寻激活程式 • 避开入侵监测系统 • 复杂的网络轮询*? • 搜集本地地址 • 使用搜索引擎

  9. 传播介质 • 传播介质依靠一种或多种激活方法 • 所有数据传输方法都可能是潜在的传播介质 • 目前最常见的传播介质 • 电子邮件和 IM • 文件共享 • 可利用的 IP 协议 • 以前蠕虫留下的后门

  10. 激活方法 • 利用软件 • 实现缺陷(拙劣的编码) • 设计缺陷(拙劣的设想) • 配置错误(拙劣的设想) • 利用人员 • 社会工程学*? 软件 人员

  11. 自保护 • 避免检测 • 目标、传播、执行 • 隐秘行动 • 加密;激活时解密 • 在激活后隐藏 (Rootkit*?) • 多形 • 改变外表 • 功能一致 • 变性 • 改变外部 • 改变功能

  12. 效果 • 故意破坏 • SMTP 传播 • 分布式 DoS 代理 (zombie) • 后门 (botnet) • 可编程 DDoS 代理 • 发送垃圾邮件 • 流量嗅探 / 键盘记录 • 启动新的恶意软件 • 下载间谍软件 / 广告软件

  13. 受感染的机器 0 时间 0 蠕虫和病毒爆发 • 病毒爆发频率加快 • 病毒爆发强度缺乏规律 • 要降低频率,必须减少病毒编写者… 不可能。 • 要降低强度,必须减少暴露的机器… 也许。 • 要缩短爆发持续时间,必须拥有计划。检测、隔离、修复!

  14. 超级蠕虫? • 最糟糕的情境 • 多平台 • 使用“零天”利用的多重利用 • 最佳传播 (Warhol/Flash) • 通过 botnet 分发,预先设定目标 • 多形 • 变性 • 内核层隐秘行动 • 高功能后门效果

  15. 今天讨论的题目 • 针对邮件系统的威胁 • 病毒、蠕虫、木马 • 垃圾邮件、钓鱼程序 • 恶意软件的未来方向 • 邮件保护设计 • 层式周边防御 • 事故抑制 • 修复策略

  16. 垃圾邮件 • 预计所有 Internet 电子邮件中有 70% 到 75% 是未经请求的。 • 之所以存在垃圾邮件,是因为它有作用!虽然响应率低达 0.001%(100,000 中有 1 个),但仍有商业价值。 • 垃圾邮件无法完全消灭 • 无法实现完美的分类 • 在今后的 24 个月内,垃圾邮件可能将达到饱和。响应率正在下降,因为: • 防垃圾邮件技术的改进 • 回报减少

  17. 垃圾邮件饱和 100% 垃圾邮件/总电子邮件 饱和 时间

  18. 钓鱼程序 • 伪装成来自“高价值”网站合法消息的电子邮件 • 目的在于收集有用信息,通常用于身份盗窃 • 虚假的发送者地址 • 将 URL 转到攻击者网站 • 依靠社会工程学

  19. XYZ HR Dept. Sign up now! SSN: 钓鱼 TO: greg@xyz.com FROM: hr@xyz.com HR signup now! http://172.1.1.8/signup 垃圾邮件 出口 BotNet

  20. 今天讨论的题目 • 针对邮件系统的威胁 • 病毒、蠕虫、木马 • 垃圾邮件、钓鱼程序 • 恶意软件的未来方向 • 邮件保护设计 • 层式周边防御 • 事故抑制 • 修复策略

  21. 未来的方向 • 恶意软件用户(script kiddie 等)使编写者避免法律责任 • 病毒和蠕虫将大量使用可扩展的后门和 rootkit • 这将导致更多的 botnet,而且每个 botnet 具有更多节点

  22. 未来的方向 • 当广泛使用加密的邮件(例如 S/MIME)后,恶意软件将使用它来躲过传输扫描。 • 当广泛使用权利管理后,恶意软件也将尝试利用这个功能。可能通过内容过期删除传输痕迹。

  23. 今天讨论的题目 • 针对邮件系统的威胁 • 病毒、蠕虫、木马 • 垃圾邮件、钓鱼程序 • 恶意软件的未来方向 • 邮件保护设计 • 层式周边防御 • 事故抑制 • 修复策略

  24. 周边防御 • 定义周边 • 网关设备 • 远程设备 • 所有最终用户设备 • 目标 • 阻止目标发现的企图 • 阻止潜伏状态恶意软件的传播 • 阻止垃圾邮件和不适宜的电子邮件

  25. 层式周边防御 锁定 端口 25 入站和出站 Internet SMTP 邮件服务器 桥头堡 邮件服务器 连接筛选器 信封筛选器 内容策略 防垃圾邮件 防病毒

  26. 有序的层式防御 • 考虑的因素 • 层的检测频率 • 平均流量降低 • 平均检测速度 • 流量方向(入站、出站) • 示例:防垃圾邮件 • 检测频率高 (>50%) • 大幅度流量降低 • 防垃圾邮件中度 CPU 占用 • 仅入站流量

  27. 有序的层式防御 • 连接筛选器总是首当其冲 • RBL、接受/拒绝列表、发送者 ID • 如果在邮件接受前进行阻止,不要求“无法发送”报告 • 信封筛选器和内容策略 • 主题、文件类型、邮件大小 • 消息已被接受,因此要求 NDR • 最后是内容扫描程序 • 防垃圾邮件、防病毒、防钓鱼程序

  28. 防御部署次序 连接筛选器 接受/拒绝列表 RBL 查找 内容扫描 发送者 ID 查找 RCPT TO 查找 防病毒引擎 信封和内容策略 信封和内容策略 内容筛选器 内容扫描 防垃圾邮件引擎 由于在网络层实施强制措施,因此不需要 防病毒引擎

  29. 入站 RCPT 筛选 • 筛选 SMTP 会话中的 RCPT TO • 使用目录查找检验收件人 • 如果 RCPT 地址无效,发送出错 • 由于发送还未完成,无 NDR 但是 • 可用于轻松的目标收获 • 当前的对策是 Tarpitting • Tarpitting 也会泄漏信息

  30. 今天讨论的题目 • 针对邮件系统的威胁 • 病毒、蠕虫、木马 • 垃圾邮件、钓鱼程序 • 恶意软件的未来方向 • 邮件保护设计 • 层式周边防御 • 事故抑制 • 修复策略

  31. 事故抑制 • 周边防御使我们憧憬最理想情景… • 事故抑制教我们准备好应付最糟糕情况! • 蠕虫和病毒爆发是无法避免的。请准备好一个计划!

  32. 抑制措施:计划 • 检测:不能包含无法检测的内容。更早的检测能缩短爆发延续时间 • 隔离:控制传播。爆发强度限制降低 • 修复:清除受感染对象,最终取消隔离

  33. 抑制措施:检测 • 检测何时出站蠕虫和病毒被阻止 • 在桌面和邮件服务器上使用不同的 AV;如果检测到出站病毒,那么这个桌面已经被攻破了 • 检测出站邮件的峰值 • 快速上升通常意味着爆发 • 检测被阻止端口的访问企图 • 监视防火墙和服务器日志

  34. 抑制措施:隔离 • 停止 Internet 邮件流 • 将爆发限制在组织内 • 禁用 SMTP 连接 • 停止内部邮件流 • 冻结邮件队列 • 禁止用户访问 Exchange

  35. 抑制措施:修复 • 确保最新的防病毒软件 • 清除邮件队列 • 清除邮箱 • 清除受感染的客户端机器 • 取消内部隔离措施 • 允许内部电子邮件流;仔细监视 • 取消 Internet 隔离措施 • 返回正常运作

  36. 今天讨论的题目 • 针对邮件系统的威胁 • 病毒、蠕虫、木马 • 垃圾邮件、钓鱼程序 • 恶意软件的未来方向 • 邮件保护设计 • 层式周边防御 • 事故抑制 • 修复策略

  37. 问题?

  38. 您的反馈十分重要!

  39. 发送者 ID 框架 • 邮件从一台传输到多台电子邮件服务器,直至接受方 • 查找 DNS 中的发送者 SPF 记录 • 确定 PRA • 将 PRA 与 SPF 记录中的合法 IP 进行比较 • 符合  肯定的筛选器输出 • 不符合 否定的筛选器输出 • 一次性:在 DNS 发布 SPF 记录 • 不需要其他更改 • 正常发送电子邮件

  40. MS Exchange TechCenter – 安全性:http://www.microsoft.com/technet/prodtechnol/exchange/2003/security.mspx Honeynet 项目: http://www.honeynet.org UCSD Network Telescope: http://www.caida.org 资源