ISA 与 Antigen 如何防护你的 Exchange 服务器乃至你的协作架构

ISA与Antigen如何防护你的Exchange服务器乃至你的协作架构ISA与Antigen如何防护你的Exchange服务器乃至你的协作架构

今天讨论的题目 • 针对邮件系统的威胁 • 病毒, 蠕虫, 木马 • 垃圾邮件, 钓鱼程序 • 将来可能会有的一些情况 • 该如何设计清洁的邮件环境 • 多层面环境周边防御体系 • 威胁事件的控制*？ • 补救措施*？

今天不讨论的话题 • 产品介绍或比较 • Exchange 管理 • 只谈邮件, 不谈协作 • Microsoft + Sybari

今日话题 • 对邮件系统的威胁 • 病毒, 蠕虫, 木马 • 垃圾邮件, 钓鱼程序 • 将来可能会有的一些情况 • 该如何设计清洁的邮件环境 • 多层面环境周边防御体系 • 威胁事件的控制*？ • 善后措施*？

病毒，蠕虫及木马 • 病毒是自我传播的恶意程序，他寄生与“好”的文件/数据中 • 蠕虫是自我传播的恶意程序，它不寄生于文件数据中 • 可能寄生于自身 • 或根本就不寄生 • 木马是一种不进行自我传播的恶意程序

恶意程序具备的属性 • 执行平台 • 目标搜寻 • 传播媒介 • 激活搜寻程式 • 自我传播技术 • 后门*?

执行平台 • 指令格式 • API请求 • 执行平台的类型 • 机器码 (Win32+Intel 32-bit) • 字节码 (Java2+JVM) • 脚本 (VBA) • 多平台恶意程序? • 目前少见 • 目标 Solaris 和 Windows

目标搜索 • 收集目标地址 • 基于传播程式 • 邮件地址, IP 地址, 等. • 探寻目标执行平台 • 探寻激活程式 • 避开入侵监测系统 • 复杂的网络轮询*？ • 搜集本地地址 • 使用搜索引擎

传播介质 • 传播介质依靠一种或多种激活方法 • 所有数据传输方法都可能是潜在的传播介质 • 目前最常见的传播介质 • 电子邮件和 IM • 文件共享 • 可利用的 IP 协议 • 以前蠕虫留下的后门

激活方法 • 利用软件 • 实现缺陷（拙劣的编码） • 设计缺陷（拙劣的设想） • 配置错误（拙劣的设想） • 利用人员 • 社会工程学*？软件人员

自保护 • 避免检测 • 目标、传播、执行 • 隐秘行动 • 加密；激活时解密 • 在激活后隐藏 (Rootkit*？) • 多形 • 改变外表 • 功能一致 • 变性 • 改变外部 • 改变功能

效果 • 故意破坏 • SMTP 传播 • 分布式 DoS 代理 (zombie) • 后门 (botnet) • 可编程 DDoS 代理 • 发送垃圾邮件 • 流量嗅探 / 键盘记录 • 启动新的恶意软件 • 下载间谍软件 / 广告软件

受感染的机器 0 时间 0 蠕虫和病毒爆发 • 病毒爆发频率加快 • 病毒爆发强度缺乏规律 • 要降低频率，必须减少病毒编写者… 不可能。 • 要降低强度，必须减少暴露的机器… 也许。 • 要缩短爆发持续时间，必须拥有计划。检测、隔离、修复!

超级蠕虫？ • 最糟糕的情境 • 多平台 • 使用“零天”利用的多重利用 • 最佳传播 (Warhol/Flash) • 通过 botnet 分发，预先设定目标 • 多形 • 变性 • 内核层隐秘行动 • 高功能后门效果

今天讨论的题目 • 针对邮件系统的威胁 • 病毒、蠕虫、木马 • 垃圾邮件、钓鱼程序 • 恶意软件的未来方向 • 邮件保护设计 • 层式周边防御 • 事故抑制 • 修复策略

垃圾邮件 • 预计所有 Internet 电子邮件中有 70% 到 75% 是未经请求的。 • 之所以存在垃圾邮件，是因为它有作用！虽然响应率低达 0.001%（100,000 中有 1 个），但仍有商业价值。 • 垃圾邮件无法完全消灭 • 无法实现完美的分类 • 在今后的 24 个月内，垃圾邮件可能将达到饱和。响应率正在下降，因为： • 防垃圾邮件技术的改进 • 回报减少

垃圾邮件饱和 100% 垃圾邮件/总电子邮件饱和时间

钓鱼程序 • 伪装成来自“高价值”网站合法消息的电子邮件 • 目的在于收集有用信息，通常用于身份盗窃 • 虚假的发送者地址 • 将 URL 转到攻击者网站 • 依靠社会工程学

XYZ HR Dept. Sign up now! SSN: 钓鱼 TO: greg@xyz.com FROM: hr@xyz.com HR signup now! http://172.1.1.8/signup 垃圾邮件出口 BotNet

未来的方向 • 恶意软件用户（script kiddie 等）使编写者避免法律责任 • 病毒和蠕虫将大量使用可扩展的后门和 rootkit • 这将导致更多的 botnet，而且每个 botnet 具有更多节点

未来的方向 • 当广泛使用加密的邮件（例如 S/MIME）后，恶意软件将使用它来躲过传输扫描。 • 当广泛使用权利管理后，恶意软件也将尝试利用这个功能。可能通过内容过期删除传输痕迹。

周边防御 • 定义周边 • 网关设备 • 远程设备 • 所有最终用户设备 • 目标 • 阻止目标发现的企图 • 阻止潜伏状态恶意软件的传播 • 阻止垃圾邮件和不适宜的电子邮件

层式周边防御 锁定端口 25 入站和出站 Internet SMTP 邮件服务器桥头堡邮件服务器连接筛选器信封筛选器内容策略防垃圾邮件防病毒

有序的层式防御 • 考虑的因素 • 层的检测频率 • 平均流量降低 • 平均检测速度 • 流量方向（入站、出站） • 示例：防垃圾邮件 • 检测频率高 (>50%) • 大幅度流量降低 • 防垃圾邮件中度 CPU 占用 • 仅入站流量

有序的层式防御 • 连接筛选器总是首当其冲 • RBL、接受/拒绝列表、发送者 ID • 如果在邮件接受前进行阻止，不要求“无法发送”报告 • 信封筛选器和内容策略 • 主题、文件类型、邮件大小 • 消息已被接受，因此要求 NDR • 最后是内容扫描程序 • 防垃圾邮件、防病毒、防钓鱼程序

防御部署次序 连接筛选器接受/拒绝列表 RBL 查找内容扫描发送者 ID 查找 RCPT TO 查找防病毒引擎信封和内容策略信封和内容策略内容筛选器内容扫描防垃圾邮件引擎由于在网络层实施强制措施，因此不需要防病毒引擎

入站 RCPT 筛选 • 筛选 SMTP 会话中的 RCPT TO • 使用目录查找检验收件人 • 如果 RCPT 地址无效，发送出错 • 由于发送还未完成，无 NDR 但是 • 可用于轻松的目标收获 • 当前的对策是 Tarpitting • Tarpitting 也会泄漏信息

事故抑制 • 周边防御使我们憧憬最理想情景… • 事故抑制教我们准备好应付最糟糕情况! • 蠕虫和病毒爆发是无法避免的。请准备好一个计划!

抑制措施：计划 • 检测：不能包含无法检测的内容。更早的检测能缩短爆发延续时间 • 隔离：控制传播。爆发强度限制降低 • 修复：清除受感染对象，最终取消隔离

抑制措施：检测 • 检测何时出站蠕虫和病毒被阻止 • 在桌面和邮件服务器上使用不同的 AV；如果检测到出站病毒，那么这个桌面已经被攻破了 • 检测出站邮件的峰值 • 快速上升通常意味着爆发 • 检测被阻止端口的访问企图 • 监视防火墙和服务器日志

抑制措施：隔离 • 停止 Internet 邮件流 • 将爆发限制在组织内 • 禁用 SMTP 连接 • 停止内部邮件流 • 冻结邮件队列 • 禁止用户访问 Exchange

抑制措施：修复 • 确保最新的防病毒软件 • 清除邮件队列 • 清除邮箱 • 清除受感染的客户端机器 • 取消内部隔离措施 • 允许内部电子邮件流；仔细监视 • 取消 Internet 隔离措施 • 返回正常运作

问题？

您的反馈十分重要!

发送者 ID 框架 • 邮件从一台传输到多台电子邮件服务器，直至接受方 • 查找 DNS 中的发送者 SPF 记录 • 确定 PRA • 将 PRA 与 SPF 记录中的合法 IP 进行比较 • 符合  肯定的筛选器输出 • 不符合 否定的筛选器输出 • 一次性：在 DNS 发布 SPF 记录 • 不需要其他更改 • 正常发送电子邮件

MS Exchange TechCenter – 安全性:http://www.microsoft.com/technet/prodtechnol/exchange/2003/security.mspx Honeynet 项目: http://www.honeynet.org UCSD Network Telescope: http://www.caida.org 资源

ISA 与 Antigen 如何防护你的 Exchange 服务器乃至你的协作架构