《isa与antigen如何防护你的exchange服务器乃至你的协作架构》由会员分享,可在线阅读,更多相关《isa与antigen如何防护你的exchange服务器乃至你的协作架构(42页珍藏版)》请在金锄头文库上搜索。
1、ISA与Antigen如何防护你的 Exchange服务器乃至你的 协作架构今天讨论的题目l针对邮件系统的威胁 病毒, 蠕虫, 木马 垃圾邮件, 钓鱼程序将来可能会有的一些情况l该如何设计清洁的邮件环境多层面环境周边防御体系 威胁事件的控制*? 补救措施*?今天不讨论的话题l产品介绍或比较lExchange 管理l只谈邮件, 不谈协作lMicrosoft + Sybari今日话题l对邮件系统的威胁 病毒, 蠕虫, 木马 垃圾邮件, 钓鱼程序将来可能会有的一些情况l该如何设计清洁的邮件环境多层面环境周边防御体系 威胁事件的控制*? 善后措施*?病毒,蠕虫及木马l病毒是自我传播的恶意程序,他寄生与
2、“好 ”的文件/数据中l蠕虫是自我传播的恶意程序,它不寄生于 文件数据中可能寄生于自身 或 根本就不寄生l木马是一种不进行自我传播的恶意程序恶意程序具备的属性l执行平台l目标搜寻l传播媒介l激活搜寻程式l自我传播技术 l后门*?执行平台l指令格式 l API请求l执行平台的类型 机器码 (Win32+Intel 32-bit) 字节码 (Java2+JVM) 脚本 (VBA)l多平台恶意程序?目前少见 目标 Solaris 和 Windows目标搜索l收集目标地址基于传播程式 邮件地址, IP 地址, 等.探寻目标执行平台 探寻激活程式l避开入侵监测系统 复杂的网络轮询*?搜集本地地址 使用搜
3、索引擎传播介质l传播介质依靠一种或多种激活方法l所有数据传输方法都可能是潜在的传播介 质l目前最常见的传播介质 电子邮件和 IM文件共享 可利用的 IP 协议以前蠕虫留下的后门激活方法l利用软件实现缺陷(拙劣的编码) 设计缺陷(拙劣的设想) 配置错误(拙劣的设想)l利用人员 社会工程学*?软件软件人员人员自保护l避免检测 目标、传播、执行 l隐秘行动 加密;激活时解密 在激活后隐藏 (Rootkit*?) l多形 改变外表 功能一致 l变性 改变外部 改变功能效果l故意破坏 lSMTP 传播l分布式 DoS 代理 (zombie)l后门 (botnet)可编程 DDoS 代理发送垃圾邮件 流量
4、嗅探 / 键盘记录启动新的恶意软件 下载间谍软件 / 广告软件蠕虫和病毒爆发l病毒爆发频率加快 l病毒爆发强度缺乏规律l要降低频率,必须减少病 毒编写者 不可能。 l要降低强度,必须减少暴 露的机器 也许。 l要缩短爆发持续时间,必 须拥有计划。检测、隔离 、修复!受感染的机器时间00超级蠕虫?l最糟糕的情境多平台 使用“零天”利用的多重利用 最佳传播 (Warhol/Flash)通过 botnet 分发,预先设定目标多形 变性 内核层隐秘行动 高功能后门效果今天讨论的题目l针对邮件系统的威胁病毒、蠕虫、木马 垃圾邮件、钓鱼程序 恶意软件的未来方向l邮件保护设计层式周边防御 事故抑制 修复策略
5、垃圾邮件l预计所有 Internet 电子邮件中有 70% 到 75% 是未经请求的。 l之所以存在垃圾邮件,是因为它有作用!虽然响应率低达 0.001%(100,000 中有 1 个),但仍有商业价值。l垃圾邮件无法完全消灭 无法实现完美的分类l在今后的 24 个月内,垃圾邮件可能将达到饱和。响应率正在下降,因为: 防垃圾邮件技术的改进 回报减少垃圾邮件饱和时间时间垃圾邮件垃圾邮件/ /总电子邮件总电子邮件100%100%饱和饱和钓鱼程序l伪装成来自“高价值”网站合法消息的电子 邮件l目的在于收集有用信息,通常用于身份盗 窃l虚假的发送者地址 l将 URL 转到攻击者网站l依靠社会工程学钓鱼
6、垃圾邮件垃圾邮件 出口出口BotNetBotNetTO: TO: FROM: FROM: omHR signup now!HR signup now!http:/172.1.1.8/signuphttp:/172.1.1.8/signupXYZ HR Dept.XYZ HR Dept.Sign up now!Sign up now!SSN:SSN:今天讨论的题目l针对邮件系统的威胁病毒、蠕虫、木马 垃圾邮件、钓鱼程序 恶意软件的未来方向l邮件保护设计层式周边防御 事故抑制 修复策略未来的方向l恶意软件用户(script kiddie 等)使编写 者避免法律责任l病毒和蠕虫将大量使用可扩展的后
7、门和 rootkitl这将导致更多的 botnet,而且每个 botnet 具有更多节点未来的方向l当广泛使用加密的邮件(例如 S/MIME)后 ,恶意软件将使用它来躲过传输扫描。l当广泛使用权利管理后,恶意软件也将尝 试利用这个功能。可能通过内容过期删除 传输痕迹。今天讨论的题目l针对邮件系统的威胁病毒、蠕虫、木马 垃圾邮件、钓鱼程序 恶意软件的未来方向l邮件保护设计层式周边防御 事故抑制 修复策略周边防御l定义周边网关设备远程设备所有最终用户设备 l目标阻止目标发现的企图阻止潜伏状态恶意软件 的传播阻止垃圾邮件和不适宜 的电子邮件层式周边防御SMTPSMTP 邮件服务器邮件服务器桥头堡桥头
8、堡 邮件服务器邮件服务器连接筛选器连接筛选器 信封筛选器信封筛选器 内容策略内容策略 防垃圾邮件防垃圾邮件 防病毒防病毒InternetInternet锁定锁定 端口端口 25 25 入站和入站和 出站出站有序的层式防御l考虑的因素层的检测频率 平均流量降低 平均检测速度 流量方向(入站、出站)l示例:防垃圾邮件 检测频率高 (50%)大幅度流量降低 防垃圾邮件中度 CPU 占用仅入站流量有序的层式防御l连接筛选器总是首当其冲 RBL、接受/拒绝列表、发送者 ID 如果在邮件接受前进行阻止,不要求“无法发 送”报告l信封筛选器和内容策略主题、文件类型、邮件大小 消息已被接受,因此要求 NDRl
9、最后是内容扫描程序防垃圾邮件、防病毒、防钓鱼程序防御部署次序连接筛选器连接筛选器RBL RBL 查找查找接受接受/ /拒绝列表拒绝列表发送者发送者 ID ID 查找查找RCPT TO RCPT TO 查找查找信封和内容策略信封和内容策略内容扫描内容扫描防垃圾邮件引擎防垃圾邮件引擎防病毒引擎防病毒引擎内容扫描内容扫描信封和内容策略信封和内容策略防病毒引擎防病毒引擎内容筛选器内容筛选器由于在网络层实施强制措施,由于在网络层实施强制措施, 因此不需要因此不需要入站 RCPT 筛选l筛选 SMTP 会话中的 RCPT TO l使用目录查找检验收件人 l如果 RCPT 地址无效,发送出错 l由于发送还未
10、完成,无 NDR但是 l可用于轻松的目标收获 l当前的对策是 Tarpitting lTarpitting 也会泄漏信息今天讨论的题目l针对邮件系统的威胁病毒、蠕虫、木马 垃圾邮件、钓鱼程序 恶意软件的未来方向l邮件保护设计层式周边防御 事故抑制 修复策略事故抑制l周边防御使我们憧憬最理想情景l事故抑制教我们准备好应付最糟糕情况!l蠕虫和病毒爆发是无法避免的。请准备好 一个计划!抑制措施:计划l检测:不能包含无法检测的内容。更早的 检测能缩短爆发延续时间l隔离:控制传播。爆发强度限制降低l修复:清除受感染对象,最终取消隔离抑制措施:检测l检测何时出站蠕虫和病毒被阻止 在桌面和邮件服务器上使用不
11、同的 AV;如果 检测到出站病毒,那么这个桌面已经被攻破了l检测出站邮件的峰值快速上升通常意味着爆发l检测被阻止端口的访问企图监视防火墙和服务器日志抑制措施:隔离l停止 Internet 邮件流将爆发限制在组织内 禁用 SMTP 连接l停止内部邮件流冻结邮件队列 禁止用户访问 Exchange抑制措施:修复l确保最新的防病毒软件l清除邮件队列l清除邮箱l清除受感染的客户端机器l取消内部隔离措施允许内部电子邮件流;仔细监视 l取消 Internet 隔离措施l返回正常运作今天讨论的题目l针对邮件系统的威胁病毒、蠕虫、木马 垃圾邮件、钓鱼程序 恶意软件的未来方向l邮件保护设计层式周边防御 事故抑制
12、 修复策略问题?您的反馈十分 重要! 一次性:在一次性:在 DNS DNS 发布发布 SPF SPF 记录记录 不需要其他更改不需要其他更改 正常发送电子邮件正常发送电子邮件 查找查找 DNS DNS 中的发送者中的发送者 SPF SPF 记录记录 确定确定 PRA PRA 将将 PRA PRA 与与 SPF SPF 记录中的合法记录中的合法 IP IP 进行比较进行比较 符合符合 肯定的筛选器输出肯定的筛选器输出 不符合不符合 否定的筛选器输出否定的筛选器输出 邮件从一台传输到多台电子邮件服邮件从一台传输到多台电子邮件服 务器,直至接受方务器,直至接受方发送者 ID 框架资源MS Exchange TechCenter 安全性: http:/ prodtechnol/exchange/2003/security.mspxHoneynet 项目: http:/www.honeynet.orgUCSD Network Telescope: http:/www.caida.org
