ComputerPartner 30/02 vom 01.08.2002
•
Von wegen abgesichert
Virenscanner und Firewall alleine reichen nicht
• Viren und Trojaner sind inzwischen in der Tat weitgehend „unter Kontrolle “. Neu auftauchende
Sicherheitsrisiken aber realisieren die Manager noch nicht.
• Rund die Hälfte der Befragten hat bislang mehr unter Nachlässigkeit oder Irrtum in den eigenen Reihen, zum Beispiel beim Umgang mit E-mails, gelitten.
Agenda
• BorderWare MXtreme Mail Firewall
• Bedrohungen und Lösungen
• (Fallstudie)
Was ist eine Mail Firewall?
• Speziell designte Firewall Appliance, ausgelegt um das interne Mail System vor Angriffen von außerhalb zu schützen.
• Verarbeitet alle Emails, welche versandt oder von externen Systemen empfangen werden:
– Kontrolliert auf Spam, Relay, Mail-Bomben etc.
– Sicherer Generischer und Outlook Web Mail Access
– Store and Forward, Routing, Zustellung, Adresse verbergen – Vollständigkeit der Nachricht erzwingen
– Sicheres Arbeitsumfeld
– Optional Hochleistungs - Virus Scanning – Content filtering
Internal Mail Servers Internet
Firewall
Die BorderWare MXtreme
Mail FirewallRepeater Router
• Sichere Netzwerk Appliance beinhaltet:
– Gehärtetes Betriebssystem
– Sicheres Mail Handling, Routing, und Zustellungsdienste – Content Filter für Viren, Spam, Attachments und
Nachrichten-Eigenschaften
– Web Mail Interface mit Verschlüsselung und Authentifizierung
– Verschlüsselung für sichere Nachrichtenzustellung
• Drei Modelle:
– BMF-200 - kleine Firmen, Zweigniederlassung – BMF-400 - mid HQ, Internationale Offices
– BMF-800 - Enterprise
Installation nahe der vorhandenen Firewall Internet Black list ANTI VIRUS
Jede Mail von Mxtreme entgegengenommen Mail wir gecached
und kontrolliert
Checks
gegen Black List Server
Checks auf Viren, Trojaner Syntax Syntax Kontrolle (Klez) Spam MXtreme Internet Firewall Mail Servers Unterbindet direkte Verbindungen
MXtreme in Action
Einsatz mit vorhandenen Mail
Servern
•
Plug and play
•
Einfachste Integration in
jedes bestehende Mail
System
•
Simple Konfiguration
beugt Fehlern vor
•
Kein besonderes
Fachwissen notwendig
•
Web basierendes Admin
Interface für Remote
Management
Mail Servers
MXtreme
Komplettes, sicheres Mail System
für kleine Unternehmen
•
Mail-Server Lösung für
KMU´s
– POP, IMAP, SMTP
•
Unterstützt ~100 Accounts
und 20,000 Nachrichten pro
Tag (empf.)
•
Sicherer Webmail Access der
Enterprise-Klasse für kleine
Unternehmen
•
Ermöglicht KMU´s ihr Mail
System selbst zu
übernehmen
Firewall
Wer braucht eine Mail Firewall?
• Wo immer:
– Mail Server installiert sind
– Die Sicherheit auf jedem Mail Server
möglicherweise nicht jederzeit auf dem aktuellsten Stand ist
– Die Kosten für Bereinigung nach einem
Sicherheitsleck höher sein können als die für Prävention
– Sicherer Webmail Access die Kosten reduzieren und die Produktivität sowie den Wettbewerbsvorteil erhöhen könnten
– Mail Würmer und Spam empfangen werden können
Bedrohungen für Mail Systeme
und die Lösungen von BorderWare
"Email as a communication medium is
under attack," Steve Atkins auf der
Anti-Spam Website Sam Spade.
Neue Bedrohungen - Neue Lösungen
•
Die Bedrohungen aus dem Internet haben sich gewandelt
– Internet Firewalls in der zugedachten Rolle erfolgreich
– Applikationen und Angriffe sind komplizierter geworden
– Firewalls sollen nicht auf Anwendungslevel schützen
– Mail benötigt eingehende Verbindungen von unbekannten Systemen
•
BorderWare MXtreme zentralisiert Mail Security
– Speziell für die größte Applikation von heute gebaut: Mail
– Managet die Komplexität moderner Mail Security
– Sichere Abgrenzung zwischen Intranet und Internet Mail “Enterprises should, in 2002, begin planning for
implementing application-specific firewall functions.”
Einige existierende Mail-Risiken
•
OS des Mail Servers mit Buffer Overflow via Malformed
Messages, vorbei am Antivirus, angegriffen
•
Direkte SMTP Verbindungen werden von Hackern ausgenutzt
•
Outlook Web Access – benötigt Windows, Exchange und IIS
(jedes enthält hunderte Fehler)
•
Outlook repariert und führt Malformed Messages „hilfreich“
aus – an Antivirus Scannern vorbei!
•
Haftbarmachung und Produktivitätsverlust durch Spam und
Mail-Missbrauch
Gefahr fürs Business
Serviceverlust, Vertraulichkeitsverlust
Infektion durch Viren und Würmer, Dienstmissbrauch, Dienstverlust
Relaying von Würmern und Spam. Dienstverlust, Vertrauensverlust
Dienstverlust, System Gefährdung, Netzwerk Gefährdung
Dienstverlust, System Gefährdung, Netzwerk Gefährdung
Bedrohung
Web Mail und Remote Access
Spam, Viren & Malformed Messages
Mail Relay, Mail Flooding, Ungewollte Unterbrechung
System Schwachstellen & Denial of Service
Physischer Serverzugriff
Gegenwärtige Verluste durch Mail Risiken
Access
Content
Delivery
Risiken entfernen, Kosten reduzieren
MXtreme´s Antwort
Bedrohungen
Sicher authentifizierter, verschlüsselter Web Access und OWA Proxy
Überprüfung der Nachrichtenintegrität, Spam-Schutz, Optional Anti-Virus.
Gehärteter SMTP Server mit
durchdachter Zustellung und Routing.
Gehärtetes OS: vereitelt
Buffer-Overflow, Stack- und Netzwerkangriffe.
Architektur der Appliance verhindert Zugriffe und Konsolen-Angriffe.
Web Mail und Remote Access
Spam, Viren, & Malformed Messages
Mail Relay, Mail Flooding, Ungewollte Unterbrechung
Systemschwachstellen & Denial of Service
Physikalische Sicherheit
•
MXtreme wird als sichere Appliance
ausgeliefert
–
Kein CD-Laufwerk
–
Kein Floppy-Laufwerk
•
Eingeschränkter Zugriff über
Konsole
•
Keine Login Shell
•
Verhütet unautorisierte Eingriffe
Access
Content
Delivery
Sicheres Betriebssystem
•
Die meisten Mail Produkte laufen auf
Standard - Betriebssystemen
•
Allgemein gebräuchliche Betriebssysteme
wurden nicht für High-Security designed
•
In Mehrzweck-Betriebssystemen sind
viele Verwundbarkeiten bekannt
– Ziel der Weiterentwicklung von Hacks, konstanter Strom neuer Angriffe
– Aufrechterhaltung eines aktuellen Patch-Status für Anwendung und OS verursacht eine hohe
Wahrscheinlichkeit für Verwundbarkeiten
Access
Content
Delivery
Sicheres Betriebssystem
•
MXtreme baut auf dem gehärteten S-Core
Betriebssystem auf
•
S-Core wurde von BorderWare als
sicheres Betriebsystem für Server,
Firewalls und andere spezialisierte
Systeme entwickelt
•
Schützt vor
– Buffer Overflow Angriffen
– Denial of Service Angriffen
•
S-Core gegenwärtig als Bestandteil des
Mail Gateway in der Common Criteria
EAL4 Certification
Auszug der von S-Core gestoppten Angriffe
• Ack Storms • ARP Attacks • Buffer Overflow • Forged source
address
• FTP bounce attacks • Ghost Routing
attacks
• ICMP broadcast and protocol tunnelling • IP Spoofing
• Land attacks
• Log Manipulation
• Malformed packet attacks
• Network probes
• Packet fragmentation Attacks
• Ping of Death
• Sequence number prediction
• Session Hijacking
• Source routed packets
• SNMP attacks
• SYN flood attacks
• Key generation attacks
Access
Content
Delivery
Sichere Mail Zustellung
•
Relaying, Denial of Service und andere
Attacken verursachen Millionenschäden
durch verschwendete Ressourcen
•
Internet Mail Protokoll wurde 1982 definiert
– Zustellung im Klartext, un-vertraulich
– Offenes und kooperatives Verhalten (ein Server nimmt jede Nachricht entgegen und versucht sie zuzustellen)
•
Ansatz funktioniert unter heutigen
Umständen nicht mehr
•
Mail Server werden benutzt andere
Netzwerke mit SPAM einzudecken
Access
Content
Delivery
Sichere Mail Zustellung
•
MXtreme bietet
–
Mail Verschlüsselung für
Vertraulichkeit der Nachrichten
–
Routing und
Mail Address
Translation
um die interne
Netzstruktur zu verbergen
–
Relay Kontrollen um vor illegalem
Message Routing zu schützen
Access
Content
Delivery
Sichere Mail Zustellung
- Verschlüsselung
Access
Content
Delivery
OS
Physical
•
Schützt Vertraulichkeit der Nachricht
•
Verschlüsselt die zu anderen TLS
unterstützenden Systemen übermittelte
Nachricht
– Andere MXtreme’s
– Microsoft Outlook
– Exchange
– Andere Systeme mit RFC 2487 Unterstützung
•
Grosse Bandbreite
Sichere Mail Zustellung
- Verschlüsselung
•
End-to-End Message Encryption
•
Funktioniert mit
jedem
Email Client
Access
Content
Delivery
OS
Physical
MXtreme MXtreme
Verschlüsselte Zustellung
mit TLS (SSL)
Sichere Mail Zustellung
- Routing und
Mail Address Translation
•
Zentralisiert alle Routing Funktionalitäten
•
Bietet einen einzigen Zustellungsort im
Internet, wobei alle Details des Internen
Netzwerkes verborgen werden
•
Verbirgt interne Mail Adressen
–
Mail vergleichbar mit Network Address
Translation
–
Erzwingt Unternehmens-Adress-Standards
Access
Content
Delivery
Sichere Mail Zustellung
- Routing und
Mail Address Translation
Access
Content
Delivery
OS
Physical
fred@sales.abc.com
fred@abc.com
john@sales.div1.abc.com
mary@sales.div2.abc.com
sales@abc.com
paul@branch1.abc.com
paul@abc.com
Branch office
(controlled relay)
Sichere Mail Zustellung
- Mail Relay Kontrollen
Access
Content
Delivery
OS
Physical
•
Mail Server, die nach den
Protokoll-Definitionen von 1983 arbeiten sind
Open
Relays
•
Einfach zu hijacken für Spam Relaying
•
Alles disabeln ist problematisch, es gibt
legitimen Bedarf
•
MXtreme relayed
nicht
default- mäßig, bietet
aber
kontrolliertes
Relay wo Bedarf herrscht
Mail Relay Exploited by Spammers
“Unfortunately, the spammers have started to take
advantage of a problem that is facing the world - open mail relay servers throughout Asia, primarily China and Taiwan. Now it's gotten to the point that if I see an IP address starting with 212 or 210, I usually do nothing because I know what will happen, Nothing.
ISPs throughout the world are not just complaining, they're completely blocking the entire IP address range for
China, Taiwan, and any other Asian country that refuses to do anything about the spam situation.”
John Berger http://www.bityard.com/article.php?sid=110
Access
Content
Delivery
Sicherer Mail Content
•
Mail Policies verlässlich
vorzuschreiben ist schwierig
•
Viren und Würmer kommen über
die Mail Server ins Netzwerk
•
Unreglementierte Attachments
verursachen eine Vielzahl Probleme
Access
Content
Delivery
OS
Physical
KLEZ
CODE RED
Sicherer Mail Content
•
Malformed Messages verursachen
ernsthafte Sicherheitsprobleme
–
Exchange Denial of Service
Attack
–
Zustellungsprobleme für viele
Server
–
Umgehen Anti-Virus Kontrollen
•
Vorfälle häufen sich
•
MXtreme weist falsch formatierte
Nachrichten zurück
- Message Integrity Checks
Access
Content
Delivery
Sicherer Mail Content
Sicherer Mail Content
- Content Kontrollen
Access
Content
Delivery
OS
Physical
•
Nachrichten gefiltert nach
–
Sender und Empfänger
–
Schlüsselwörtern
–
Attachment Typ
–
Attachment Name
- Anti-Virus Option
Sicherer Mail Content
Access
Content
Delivery
OS
Physical
•
MXtreme unterstützt optional Virus
Scanning
•
Für Unternehmen ohne AV oder als 2
tenSchutzwall
•
Extreme High Performance, bewältigt
über 1,000,000 Nachrichten pro Tag
Sicheres Remote Mail
- Web Mail und Remote Access Risiken
Access
Content
Delivery
OS
Physical
•
Webmail Service ist populär und leicht
zu benutzen, aber schwer zu schützen
– Öffentliches Webmail umgeht die Security Policies
•
OWA benötigt Exchange, IIS und NT
– Alle drei haben etliche bekannte Schwachstellen
– Signifikantes Ziel für Hacker
– Schwache Remote Access Authentifizierung
•
VPN Zugang nicht immer möglich
– Kosten des Mobilen Equipments schränken die Verwendung ein
Sicheres Remote Mail
- Sicheres Web Mail
•
MXtreme bietet zwei Lösungen:
•
BorderPost
– Web Front-End für jeden Email Server, inklusive Exchange, Notes, Groupwise, Unix basierende Mail Systeme oder Stand-Alone
– Bietet jedem MXtreme User sicheren Mail Access von jedem mit dem Web verbundenen Computer
•
Outlook Web Access Proxy
– Sicheres Front-End für OWA, bietet volle OWA Funktionalitäten
– SecurID und Radius Authentifizierung zu OWA hinzugefügt
Access
Content
Delivery
Fallstudie -
Gemeindeverwaltung
•
Eine der Top-Ten Städte Nordamerikas in den
Wachstumsraten
•
700,000+ Bevölkerung
•
2,000 Angestellte im Rathaus
•
Notes Server benötigten Schutz
•
Schwierig jeder Attacke in diesem großen Umfeld zu
begegnen
•
Schwierig Mail Policy durchzusetzen
Fallstudie -
Implementation
•
Schützt die Notes Servers
•
Policy zentral erzwungen
•
Stoppt Klez von Anfang an
•
Bietet den benötigten
Highest-Performance Netzwerk-Antivirus
•
Bietet sicheren Webmail Access
MXtreme
Internet
Any Web PC
Firewall
Mail Servers
Sicheres Web Mail, mit Verschlüsselung und Authentifizierung
- Komplettiert die Mail-Sicherheits-Lösung
BorderWare MXtreme
Mail FirewallAccess
Content
Delivery
OS
Physical
Message Integrity Checks, Content und Attachment Kontrolle, Spam und AV Kontrolle
Nachrichtenverschlüsselung, Routing und Address Hiding, Relay Kontrollen
Schutz vor Buffer Overflow und Denial of Service Attacken
MXtreme Preise
•
BMF-200 (Kleine Unternehmen, Zweigniederlassung)
– $6,000
•
BMF-400 (KMU, Hauptniederlassung)
– $18,000
•
BMF-800 (Global Player)
– $42,000
Preise:
BMF-200
• Chassis: Mini 1u
• CPU: Pentium4 1.4 Ghz,
• RAM: 256 MB, PC133 RAM
• Disk: 1 x 40 GB
• NICs: 1 x 10/100 onboard
BMF-400
• Chassis: 1U
• CPU: Pentium 4 1.7 Ghz,
• RAM: 512 MB ECC, DDR RAM
• Disk: 2 x 40 GB ATA 100 with RAID
• NICs: 2 x 10/100 onboard, 1 x 10/100/1000 PCI
• Recommended for
BMF-800
• Chassis: 2U
• CPU: Pentium 4 2.0 Ghz, 512Kb cache
• RAM: 1 GB ECC, DDR RAM • Disk: 4 x 40 GB ATA 100 (RAID
0+1)
• NICs: 2 x 10/100 onboard, 2 x 10/100/1000 PCI
• Hot swappable, redundant power supply.
MXtreme Produkt Status
•
Öffentlicher Launch und Versand
– 25. September 2002
•
Preview Produkt verfügbar (beschränkte Stückzahl)
Über BorderWare Technologies
•
Gegründet 1998 von den ursprünglichen Entwicklern
des BorderWare Firewall Servers
•
Heute ca. 60 Mitarbeiter
•
Niederlassungen in:
– Mississauga/Toronto, Kanada
– San Jose, CA, USA
– South Riding, VA, USA
– London, UK
– Stockholm, Schweden
Zusammenfassung
•
Kunden erleiden Verluste durch Verwendung von Mail
•
Server- und Workstation-Lösungen sind unzureichend
•
Kontrolle des Mailverkehrs auf Netzwerklevel ist kritisch
•
Remote Access auf Mail ist essentiell für Business
•
BorderWare MXtreme Mail Firewall