Az előadás letöltése folymat van. Kérjük, várjon

Az előadás letöltése folymat van. Kérjük, várjon

A levelezési infrastruktúra hatékony védelmi megoldásai Szirtes István tulajdonos, MVP minősítésű oktató Szirtes Technologies Oktatóközpont.

Hasonló előadás


Az előadások a következő témára: "A levelezési infrastruktúra hatékony védelmi megoldásai Szirtes István tulajdonos, MVP minősítésű oktató Szirtes Technologies Oktatóközpont."— Előadás másolata:

1 A levelezési infrastruktúra hatékony védelmi megoldásai Szirtes István tulajdonos, MVP minősítésű oktató Szirtes Technologies Oktatóközpont

2 A levelezéssel kapcsolatos aktuális biztonsági kérdések Az Exchange beépített biztonsági elemei FOPE és a Hosted Services bemutatása Együtt hatékonyabb a védelem - Forefront Protection 2010 for Exchange Miről lesz szó?

3 A levelezés sebezhetőségei Továbbra is a vírusok és a spamek jelentik a legfőbb problémát A levelek >95%-a spam −Jobb esetben csak kellemetlen, rosszabb estben károkozó −A maradék üzletileg kritikus Az adathalász üzenetek egyre kifinomultabbak Ha a védelmi megoldásunk elhalálozik, akkor az ügyfeleinket nem tudjuk elérni, ahogy ők sem minket!

4 A legnépszerűbb alapú fenyegetettségek URL-be ágyazott Malware Adathalász üzenetek Mellékletben lévő Malware Adat kiszivárogtatás Spam IDC: Február

5 Az IT biztonsági területei Azonosítás-, és hozzáférés kezelés AdatvédelemAdatvédelem Beépített biztonsági megoldások Végpontok védelme Biztonságos együttműködés

6 Az Exchange beépített védelmi elemei Az Exchange Server számos beépített védelmi megoldással rendelkezik a külső/belső fenyegetettségek ellen, pl.: spam, adathalászat, üzenetek lehallgatása és meghamisítása Az Edge Server szerepkör egy izolált hálózatban képes kiszűrni a vírusokat és spameket, mielőtt azok elérnék a belső üzenetkezelési infrastruktúrát! Perimeter Az integrált, több rétegű anti-spam védelmi megoldás egy beérkező levél számos paraméterét vizsgálja, amit javasolt a vállalati infrastruktúra határán elvégezni! Anti-Spam Az összes belső üzenet alapértelmezettként tikosított, de emellett az Exchange támogatja az Information Rights Management alapú adatvédelmet is! Titkosítás

7 Optimalizálva a belső és külső levélforgalomra Beépített titkosítás Optimalizálva a belső és külső levélforgalomra Felhasználási területTípusLeírás BelsőTLS, RPC, SSL A belső levélforgalom alapértelmezettként titkosított ÚJ! Kikapcsolható a TLS ha WAN gyorsítót használunk IRMÚJ! Automatikus IRM védelem a Transport szabályokon keresztül Natív IRM támogatás az OWA-ban Vállalatok közöttimTLSTámogatja a biztonságos és kölcsönös (mutual) TLS alapú kapcsolatok kiépítését az Interneten át

8 Beépített spam szűrési technikák áttekintése Szolgáltatás A szűrés az üzenet alábbi paraméterén alapul Connection FilteringA külső SMTP kiszolgáló IP címe Content FilteringAz üzenet tartalma Sender IDA küldő kiszolgáló IP címe, ahonnan a levél érkezett Sender FilteringAz SMTP fejléc MAIL FROM mezőjében szereplő küldő Recipient FilteringAz SMTP fejléc RCPT TO mezőjében szereplő címzett Sender Reputation A küldő számos adatát figyelembe véve, egy megadott időben összevonva Attachment FilteringA mellékelt fájl neve, kiterjesztése vagy a MIME fájl típusa

9 A demókörnyezet DC, DNS E14 HUB, CAS, MAILBOX Contoso.com DC, DNS E14 HUB, CAS, MAILBOX Fabrikam.com E14 EDGE

10 Kapcsolat szűrés Protokoll szűrés Tartalom szűrés Postafiók Beérkezett üzenetek Levélszemét Admin karantén Három réteg az átfogó védelemért Beépített Anti-Spam szűrők Három réteg az átfogó védelemért Bejövő levél Kapcsolat szűrés Tartalom szűrés 3 3 IP Allow/Deny lists Third-party DNS block lists Global accept-deny lists Protokoll szűrés 2 2 Sender reputation Protocol Analysis Sender/Receiver filtering Safelist Aggregation Sender ID SMTP Tarpitting SmartScreen Anti-Phishing Quarantine Postmark Scanning SCL Value Bi-weekly updates Attachment Filtering

11 Gyorsabb szinkronizáció a biztonságos/blokkolt küldőkkel Inkrementális Edge Sync Gyorsabb szinkronizáció a biztonságos/blokkolt küldőkkel A biztonságos és blokkolt küldők listája másodpercek alatt szinkronizálható az Edge kiszolgálóval!

12 Titkosított IRM-mel védett levél Server Decryption Agent Titkosított IRM-mel védett levél AV-AS vizsgálat az IRM-védett üzeneteken Üzenetek automatikus újra titkosítása a levél feldolgozási folyamatba beépítve

13 Microsoft biztonsági termékpalettája AD FS AD LDS AD CS AD DS Windows Identity Foundation NAP AD FS AD LDS AD CS AD DS Windows Identity Foundation NAP AD FS AD LDS AD CS AD DS NAP AD FS AD LDS AD CS AD DS NAP AD RMS Management Consoles AD RMS

14 Exchange Hosted Services Hosted Filtering (FOPE) −Akár a céges belső szabályozások szerinti működés melletti spam és vírusszűrés Hosted Archive (+FOPE) −A vállalat korlátlan tárhelyet kap a felhasználói postafiókok archiválására 10 éves adatmegőrzési idővel Hosted Encryption (+FOPE) −Szabály alapú titkosítás, ahol az üzenet jellemzői alapján dönthetünk, hogy szükséges-e a titkosítás vagy sem Hosted Continuity (+FOPE) −Elsődleges üzenetkezelési rendszer kiesése esetén is képesek a felhasználók valós időben leveleket küldeni és fogadni, illetve elérik a 30 napnál nem régebbi üzeneteiket

15 Edge Blocking Többrétegű spam és vírusvédelem Forefront Online Protection for Exchange Többrétegű spam és vírusvédelem End User Quarantine Administrator Console Vállalati hálózat Admin Felhasználók Megszűrt beérkező levél Levelek kb. 95%-a szemét Megszűrt kimenő levél Külső küldő vagy címzett Exchange Server Anti-spam Antivirus Policy Disaster Recovery * Encryption Active Directory Directory Synchronization Tool Üzleti levél Levélszemét Online Protection for Exchange

16 FOPE – az architektúra áttekintése INTERNET FOPE Online szolgáltatás Ügyfél levelező szervere Spam karantén Internet

17 FOPE Szolgáltatási szint megállapodás % rendelkezésre állás <1 percen belüli levél kézbesítés 100% ismert vírusok kiszűrése >98% hatékonyságú spam szűrés <1 hiba (False Positive) / 250,000 levél Pénzügyi garancia −Minél rosszabb a teljesítmény, annál nagyobb a visszafizetés

18 Mélységi védelem Együtt hatékonyabb a védelem Mélységi védelem Exchange 2010Forefront TitkosításVírusvédelem Vállalaton belül alapértelmezett Vállalatok között TLS támogatás IRM támogatás Több motor Anti-Malware detektálás Egyesített felügyelet Több faktoros védelem Kiterjesztett Spam szűrés Enterprise CAL

19 Forefront Protection 2010 for Exchange Vállalati infrastruktúra MTA Edge Transport AV/AS Unified Messaging Hangüzenet és hangvezérlés Telefon rendszer (PBX / VOIP) Hub Transport Továbbítás, házirendek AV/AS Web böngésző Outlook (távoli felhasználó) Mobiltelefon Outlook (helyi felhasználó) Üzleti alkalmazások Mailbox Postafiók Adatbázis AV/AS Client Access Kliens kapcsolódás Web szolgáltatások

20 FPE bevezetési 1x1 Rendszerünket több ponton védjük: 1.FPE az Edge vagy a Hub Transport szerverre 2.FPE a Mailbox szerverre 3.FCS a végpontokra Az FPE használatánál gondoljuk végig az alábbiakat: Hány motort fogunk használni Milyen paramétereket vizsgálunk Tartsuk naprakészen a víruskereső motorokat

21 Több malware motor együttes használata Forefront Anti-virus Több malware motor együttes használata Egyszerű telepítési megoldás összetett integrációs technológiák használatával Az összes keresőmotort beépítve tartalmazza alapáron Egyidejűleg akár 5 motor futtatása bármilyen keresésre Messaging and Collaboration Servers A B C E D

22 Gyors válasz az új fenyegetésekre Hibamentes védelem a redundancia következtében Különböző antivírus motorok és heurisztikus keresések Válaszidők (órában) WildList Számok Malware neve Forefront Motorok Vendor AVendor BVendor C 01/09autorun_itw542.ex_ /09buzus_itw3.ex_ /09conficker_itw5.dl_ /09koobface_itw18.ex_ /09momibot_itw2.ex_ /09pinit_itw2.ex_ /09zbot_itw30.ex_ /09zbot_itw31.ex_ /09zbot_itw39.ex_ /09agent_itw94.ex_ /09autorun_itw580.ex_ /09autorun_itw585.ex_ /09autorun_itw594.ex_ /09magania_itw21.ex_ /09onlinegames_itw624.ex_ /09onlinegames_itw627.ex_ /09onlinegames_itw643.ex_ /09zbot_itw42.ex_ /09autoit_itw90.ex_ /09autorun_itw597.ex_ /09autorun_itw598.ex_ /09autorun_itw601.ex_ /09autorun_itw616.ex_ /09ircbot_itw485.ex_ /09mariof_itw2.ex_ /09onlinegames_itw651.ex_ /09zbot_itw43.ex_ Forrás: AV-Test.org 2009 (www.av-test.org) Egymotoros megoldás Kevesebb mint 5 óra Az összetett motor előnyei 5 és 24 óra között Több mint 24 óra

23 Mennyire jó a technológia? On-demand detectionWildList Viruses Worms & bots Polymorphic viruses Trojans McAfee100% 90.62% Microsoft100% 92.75% Symantec100% 92.13% VendorProactive Detection Rate # of False Positives Avira69%24 Microsoft60%2 G Data60%44 ESET NOD3256%13 BitDefender50%25 Kaspersky50%14 eScan50%17 AVG45%17 TrustPort42%27 Avast42%28 Sophos37%5 Symantec35%7 McAfee25%13 Norman23%23 Kingsoft19%66 F-Secure14%7 AV Comparatives Proactive DetectionAV Comparatives Proactive Detection (May 2009) Virus BulletinVirus Bulletin (October 2009) AVTest.orgProvides 98% detection of malware and 100% detection of rootkits. Andreas Marx, CEO of AV-Test.org, says MSE's 100 percent rootkit detection rate was "very impressive."98% detection of malware and 100% detection of rootkits SoftpediaReceived 5 out of 5 stars and an “excellent” rating. “MSE is exactly what a home user needs: elevated protection against malware in an application that requires as little effort possible to configure, with a clear interface and uncomplicated options. All this at no cost at all….”5 out of 5 stars and an “excellent” rating “Scanning speeds leaned towards the better end of the scale, and detection rates showed a continuation of Microsoft’s inexorable improvement, with some excellent scores in the [proactive] sets once again...”

24 Funkcionális áttekintés Premium Anti-Spam Funkcionális áttekintés Exchange ForefrontElőnyök Kapcsolat szűrés Forefront DNS szűrési lista A több forrásból egyesített DNS szűrési lista Nincs szükség konfigurációra Forefront e gységes felügyelet Protokoll szűrés Egyesített felügyelet A Sender/Recipient/Sender ID szűrési funkciók egységesített felületen Anti-BackscatterMegakadályozza az NDR típusú backscatter spam áradatot Tartalom szűrés Cloudmark szűrőMicrosoft saját spam szűrő motorja 99% találati ráta; 0.04% false pozitív eredmény Nincs szükség konfigurációra Forefront fájlok típusszűrése A valódi fájlformátumot is vizsgálja, nem csak a fájl kiterjesztését Képes a tömörített fájlokon belüli fenyegetettségeket is kiszűrni Globális kivétel listák A küldők és címzettek kivétel listája egy egyszerűsített felületen keresztül szerkeszthető

25 Hogyan működik? FPE Backscatter védelem Hogyan működik? 2.Az FPE Backscatter védelmi elem egy tokent generál a levélhez 3.A fogadó DSN vagy NDR üzenetet küld vissza INTERNET 1.A feladó levelet küld a vállalati infrastruktúrán keresztül 5.Ha létezik a token, akkor kézbesül a DSN vagy az NDR 4.Az FPE keresi a levélben a korábban generált tokent Valós feladó FPE Fogadó MTA

26 2.A fogadó MTA továbbítja a DSN vagy NDR üzenetet az eredeti feladónak 3.Az FPE ellenőrzi a beérkező levél tokenjét INTERNET 1.A Spammer létrehoz egy levelet a MAIL FROM mezőben egy hamis címmel, és elküldi a megtámadott levelező szerverre, hogy az továbbítsa azt a vállalati feladónak 4.Nincs token! A levél Backscatter spam! FPE Backscatter védelem Hogyan működik – Backscatter NDR FPE Fogadó MTA Spammer Valós feladó

27 Cloudmark Frissítések Smartscreen frissítések (Exchange 2007) Cloudmark frissítések (Exchange 2010) TípusAláírásokUjjlenyomatok Frissítési gyakoriság Minden 6. órában30-45 másodpercenként (micro) ~5 percenként (teljes) Frissítések forrásaGépek tanulása alapján (fogyasztói) Központi visszacsatolások (vállalati) ECAL vásárlóknak prémium Forefront szűrés és frissítések Simább átállás az Exchange összetett szűrésről Forefront-ra Cloudmark motor spam értékelése az SCL pontozással összefügg

28 FOPE + FPE + Exchange Kombinált védelem FOPE + FPE + Exchange Tűzfal Vállalati alkalmazások Levelező szerver SMTP Internet Edge FOSE Gateway Hub Spam házirend Komplett felügyeleti szabály Online Protection for Exchange

29 Exchange + Forefront - együtt hatékonyabbak Amit az Exchange 2010 nyújt… −Alapértelmezett titkosítás és az IRM beépített támogatása −Rugalmasan konfigurálható anti-spam funkciók −Felhasználó alapú SCL értékek −Inkrementális Edge Sync folyamat a biztonságos/blokkolt küldők listájához −A címzett listát az Outlookkal is szinkronizálja A Forefront által nyújtott többletszolgáltatások −Több anti-malware motor együttes használata −Egyszerűen konfigurálható anti-spam ügynökök −Egyesített felügyelet az FSE, Exchange, FOSE termékekhez −Kiváló hatékonyságú anti-spam motorok (98% detektálási ráta) −Költségek csökkentésének lehetősége a hostolt és hibrid védelmi megoldásokkal −Állítsd be és felejtsd el!!!

30


Letölteni ppt "A levelezési infrastruktúra hatékony védelmi megoldásai Szirtes István tulajdonos, MVP minősítésű oktató Szirtes Technologies Oktatóközpont."

Hasonló előadás


Google Hirdetések