ComputerPartner 30/02 vom 01.08.2002
• Von wegen abgesichertVirenscanner und Firewall alleine reichen nicht
• Viren und Trojaner sind inzwischen in der Tat weitgehend „unter Kontrolle “. Neu auftauchende Sicherheitsrisiken aber realisieren die Manager noch nicht.
• Rund die Hälfte der Befragten hat bislang mehr unter Nachlässigkeit oder Irrtum in den eigenen Reihen, zum Beispiel beim Umgang mit E-mails, gelitten.
• Appliances setzen sich durch
ComputerPartner 30/02 vom 01.08.2002
Agenda
• BorderWare MXtreme Mail Firewall
• Bedrohungen und Lösungen
• (Fallstudie)
• Fazit
Was ist eine Mail Firewall?• Speziell designte Firewall Appliance, ausgelegt um das interne
Mail System vor Angriffen von außerhalb zu schützen. • Verarbeitet alle Emails, welche versandt oder von externen
Systemen empfangen werden: – Kontrolliert auf Spam, Relay, Mail-Bomben etc. – Sicherer Generischer und Outlook Web Mail Access – Store and Forward, Routing, Zustellung, Adresse verbergen– Vollständigkeit der Nachricht erzwingen– Sicheres Arbeitsumfeld– Optional Hochleistungs - Virus Scanning– Content filtering
Internal MailServers
Internet
Firewall
Mail Firewall
Die BorderWare MXtreme Mail Firewall
Repeater
Router
• Sichere Netzwerk Appliance beinhaltet: – Gehärtetes Betriebssystem – Sicheres Mail Handling, Routing, und Zustellungsdienste– Content Filter für Viren, Spam, Attachments und
Nachrichten-Eigenschaften– Web Mail Interface mit Verschlüsselung und
Authentifizierung– Verschlüsselung für sichere Nachrichtenzustellung
• Drei Modelle:– BMF-200 - kleine Firmen, Zweigniederlassung– BMF-400 - mid HQ, Internationale Offices– BMF-800 - Enterprise
• Optional High-Performance Virus Scanning
Installation nahe der vorhandenen Firewall
Internet
Blacklist
ANTIVIRUS
Jede Mail von Mxtreme entgegengenommenMail wir gecached
und kontrolliert
Checks gegen Black List Server
Checks auf Viren, Trojaner
Syntax
Syntax Kontrolle (Klez)
Spam
MXtreme Internet Firewall
Mail Servers
Unterbindet direkte Verbindungen
MXtreme in Action
Mail sicher zugestellt Sicherer OWA
Einsatz mit vorhandenen Mail Servern • Plug and play• Einfachste Integration in
jedes bestehende Mail System
• Simple Konfiguration beugt Fehlern vor
• Kein besonderes Fachwissen notwendig
• Web basierendes AdminInterface für Remote Management
Mail Servers
MXtreme
Firewall
Komplettes, sicheres Mail System für kleine Unternehmen • Mail-Server Lösung für
KMU´s – POP, IMAP, SMTP
• Unterstützt ~100 Accountsund 20,000 Nachrichten pro Tag (empf.)
• Sicherer Webmail Access der Enterprise-Klasse für kleine Unternehmen
• Ermöglicht KMU´s ihr Mail System selbst zu übernehmen
Firewall
MXtreme
Wer braucht eine Mail Firewall?• Wo immer:
– Mail Server installiert sind– Die Sicherheit auf jedem Mail Server
möglicherweise nicht jederzeit auf dem aktuellsten Stand ist
– Die Kosten für Bereinigung nach einem Sicherheitsleck höher sein können als die für Prävention
– Sicherer Webmail Access die Kosten reduzieren und die Produktivität sowie den Wettbewerbsvorteil erhöhen könnten
– Mail Würmer und Spam empfangen werden könnenMail Server sind momentan die schwächsten Stellen -
Attacken richten sich auf schwache Stellen!
Bedrohungen für Mail Systeme und die Lösungen von BorderWare
"Email as a communication medium is under attack," Steve Atkins auf derAnti-Spam Website Sam Spade.
http://www.wired.com/news/print/0,1294,50455,00.html
Neue Bedrohungen - Neue Lösungen• Die Bedrohungen aus dem Internet haben sich gewandelt
– Internet Firewalls in der zugedachten Rolle erfolgreich– Applikationen und Angriffe sind komplizierter geworden– Firewalls sollen nicht auf Anwendungslevel schützen– Mail benötigt eingehende Verbindungen von unbekannten Systemen
• BorderWare MXtreme zentralisiert Mail Security– Speziell für die größte Applikation von heute gebaut: Mail– Managet die Komplexität moderner Mail Security – Sichere Abgrenzung zwischen Intranet und Internet Mail
“Enterprises should, in 2002, begin planning for implementing application-specific firewall functions.”
Gartner GroupJanuar 2002
Einige existierende Mail-Risiken
• OS des Mail Servers mit Buffer Overflow via MalformedMessages, vorbei am Antivirus, angegriffen
• Direkte SMTP Verbindungen werden von Hackern ausgenutzt• Outlook Web Access – benötigt Windows, Exchange und IIS
(jedes enthält hunderte Fehler)• Outlook repariert und führt Malformed Messages „hilfreich“
aus – an Antivirus Scannern vorbei! • Haftbarmachung und Produktivitätsverlust durch Spam und
Mail-Missbrauch • Und so weiter (auf www.borderware.com ist eine Liste von 38
ernstzunehmenden Risiken)
Gefahr fürs BusinessServiceverlust, Vertraulichkeitsverlust
Infektion durch Viren und Würmer, Dienstmissbrauch, Dienstverlust
Relaying von Würmern und Spam. Dienstverlust, Vertrauensverlust
Dienstverlust, System Gefährdung, Netzwerk Gefährdung
Dienstverlust, System Gefährdung, Netzwerk Gefährdung
BedrohungWeb Mail und Remote Access
Spam, Viren & MalformedMessages
Mail Relay, Mail Flooding,Ungewollte Unterbrechung
System Schwachstellen &Denial of Service
Physischer Serverzugriff
Gegenwärtige Verluste durch Mail Risiken
AccessContentDelivery
OSPhysical
Risiken entfernen, Kosten reduzierenMXtreme´s AntwortBedrohungen
Sicher authentifizierter, verschlüsselter Web Access und OWA Proxy
Überprüfung der Nachrichtenintegrität, Spam-Schutz, Optional Anti-Virus.
Gehärteter SMTP Server mit durchdachter Zustellung und Routing.
Gehärtetes OS: vereitelt Buffer-Overflow, Stack- und Netzwerkangriffe.
Architektur der Appliance verhindert Zugriffe und Konsolen-Angriffe.
Web Mail und Remote Access
Spam, Viren, & MalformedMessages
Mail Relay, Mail Flooding,Ungewollte Unterbrechung
Systemschwachstellen &Denial of Service
Physischer Serverzugriff
AccessContentDelivery
OSPhysical
Physikalische Sicherheit
• MXtreme wird als sichere Appliance ausgeliefert– Kein CD-Laufwerk– Kein Floppy-Laufwerk
• Eingeschränkter Zugriff über Konsole
• Keine Login Shell• Verhütet unautorisierte Eingriffe
AccessContentDelivery
OSPhysical
Sicheres Betriebssystem
• Die meisten Mail Produkte laufen auf Standard - Betriebssystemen
• Allgemein gebräuchliche Betriebssysteme wurden nicht für High-Security designed
• In Mehrzweck-Betriebssystemen sind viele Verwundbarkeiten bekannt– Ziel der Weiterentwicklung von Hacks, konstanter
Strom neuer Angriffe – Aufrechterhaltung eines aktuellen Patch-Status für
Anwendung und OS verursacht eine hohe Wahrscheinlichkeit für Verwundbarkeiten
AccessContentDelivery
OSPhysical
Beispiel für verwundbare Betriebssysteme
Sicheres Betriebssystem• MXtreme baut auf dem gehärteten S-Core
Betriebssystem auf• S-Core wurde von BorderWare als
sicheres Betriebsystem für Server, Firewalls und andere spezialisierte Systeme entwickelt
• Schützt vor– Buffer Overflow Angriffen– Denial of Service Angriffen
• S-Core gegenwärtig als Bestandteil des Mail Gateway in der Common Criteria EAL4 Certification
• EAL4+ zertifiziert als Bestandteil anderer Produkte
AccessContentDelivery
OSPhysical
Auszug der von S-Core gestoppten Angriffe
• Ack Storms• ARP Attacks• Buffer Overflow• Forged source
address• FTP bounce attacks• Ghost Routing
attacks• ICMP broadcast and
protocol tunnelling• IP Spoofing• Land attacks
• Log Manipulation• Malformed packet attacks• Network probes• Packet fragmentation
Attacks• Ping of Death• Sequence number prediction• Session Hijacking• Source routed packets• SNMP attacks• SYN flood attacks• Key generation attacks
AccessContentDelivery
OSPhysical
Sichere Mail Zustellung• Relaying, Denial of Service und andere
Attacken verursachen Millionenschäden durch verschwendete Ressourcen
• Internet Mail Protokoll wurde 1982 definiert– Zustellung im Klartext, un-vertraulich– Offenes und kooperatives Verhalten (ein Server
nimmt jede Nachricht entgegen und versucht sie zuzustellen)
• Ansatz funktioniert unter heutigen Umständen nicht mehr
• Mail Server werden benutzt andere Netzwerke mit SPAM einzudecken
AccessContentDelivery
OSPhysical
Sichere Mail Zustellung
• MXtreme bietet– Mail Verschlüsselung für
Vertraulichkeit der Nachrichten– Routing und Mail Address
Translation um die interne Netzstruktur zu verbergen
– Relay Kontrollen um vor illegalem Message Routing zu schützen
AccessContentDelivery
OSPhysical
Sichere Mail Zustellung- Verschlüsselung
AccessContentDelivery
OSPhysical
• Schützt Vertraulichkeit der Nachricht• Verschlüsselt die zu anderen TLS
unterstützenden Systemen übermittelte Nachricht– Andere MXtreme’s– Microsoft Outlook – Exchange– Andere Systeme mit RFC 2487 Unterstützung
• Grosse Bandbreite Verschlüsselungsalgorithmen unterstützt
Sichere Mail Zustellung- Verschlüsselung
• End-to-End Message Encryption• Funktioniert mit jedem Email Client
AccessContentDelivery
OSPhysical
MXtreme MXtreme
VerschlüsselteZustellung
mit TLS(SSL)
Email ClientMail Server
Sichere Mail Zustellung- Routing und Mail Address Translation
• Zentralisiert alle Routing Funktionalitäten • Bietet einen einzigen Zustellungsort im
Internet, wobei alle Details des Internen Netzwerkes verborgen werden
• Verbirgt interne Mail Adressen– Mail vergleichbar mit Network Address
Translation– Erzwingt Unternehmens-Adress-Standards
AccessContentDelivery
OSPhysical
Sichere Mail Zustellung- Routing und Mail Address Translation
AccessContentDelivery
OSPhysical
Branch office
(controlledrelay)MXtreme
Sichere Mail Zustellung- Mail Relay Kontrollen
AccessContentDelivery
OSPhysical
• Mail Server, die nach den Protokoll-Definitionen von 1983 arbeiten sind Open Relays
• Einfach zu hijacken für Spam Relaying• Alles disabeln ist problematisch, es gibt
legitimen Bedarf• MXtreme relayed nicht default- mäßig, bietet
aber kontrolliertes Relay wo Bedarf herrscht• Schützt Ihren Mail Server davor eine Spam-
Quelle zu werden
Mail Relay Exploited by Spammers“Unfortunately, the spammers have started to take
advantage of a problem that is facing the world - openmail relay servers throughout Asia, primarily China and Taiwan. Now it's gotten to the point that if I see an IP address starting with 212 or 210, I usually do nothingbecause I know what will happen, Nothing.
ISPs throughout the world are not just complaining, they'recompletely blocking the entire IP address range forChina, Taiwan, and any other Asian country that refusesto do anything about the spam situation.”
John Bergerhttp://www.bityard.com/article.php?sid=110
AccessContentDelivery
OSPhysical
Sicherer Mail Content
• Mail Policies verlässlich vorzuschreiben ist schwierig
• Viren und Würmer kommen über die Mail Server ins Netzwerk
• Unreglementierte Attachments verursachen eine Vielzahl Probleme
AccessContentDelivery
OSPhysical
KLEZCODE REDNIMDA
Sicherer Mail Content
• Malformed Messages verursachen ernsthafte Sicherheitsprobleme– Exchange Denial of Service
Attack– Zustellungsprobleme für viele
Server– Umgehen Anti-Virus Kontrollen
• Vorfälle häufen sich• MXtreme weist falsch formatierte
Nachrichten zurück
- Message Integrity Checks
AccessContentDelivery
OSPhysical
Sicherer Mail Content- Exchange Denial of Service Verwundbarkeit
Sicherer Mail Content- Content Kontrollen
AccessContentDelivery
OSPhysical
• Nachrichten gefiltert nach– Sender und Empfänger– Schlüsselwörtern– Attachment Typ– Attachment Name
• Kontrolliert die Spam-Menge und setzt Policy Management in Kraft
- Anti-Virus OptionSicherer Mail Content
AccessContentDelivery
OSPhysical
• MXtreme unterstützt optional Virus Scanning
• Für Unternehmen ohne AV oder als 2ten
Schutzwall• Extreme High Performance, bewältigt
über 1,000,000 Nachrichten pro Tag• Pattern File vollautomatisch upgedated
Sicheres Remote Mail- Web Mail und Remote Access Risiken
AccessContentDelivery
OSPhysical
• Webmail Service ist populär und leicht zu benutzen, aber schwer zu schützen– Öffentliches Webmail umgeht die Security Policies
• OWA benötigt Exchange, IIS und NT– Alle drei haben etliche bekannte Schwachstellen– Signifikantes Ziel für Hacker– Schwache Remote Access Authentifizierung
• VPN Zugang nicht immer möglich– Kosten des Mobilen Equipments schränken die
Verwendung ein– Webmail auf jedem beliebigen Computer verfügbar
Sicheres Remote Mail- Sicheres Web Mail
• MXtreme bietet zwei Lösungen:• BorderPost
– Web Front-End für jeden Email Server, inklusive Exchange, Notes, Groupwise, Unix basierende Mail Systeme oder Stand-Alone
– Bietet jedem MXtreme User sicheren Mail Access von jedem mit dem Web verbundenen Computer
• Outlook Web Access Proxy– Sicheres Front-End für OWA, bietet volle OWA
Funktionalitäten– SecurID und Radius Authentifizierung zu OWA
hinzugefügt
AccessContentDelivery
OSPhysical
Fallstudie - Gemeindeverwaltung• Eine der Top-Ten Städte Nordamerikas in den
Wachstumsraten• 700,000+ Bevölkerung• 2,000 Angestellte im Rathaus• Notes Server benötigten Schutz• Schwierig jeder Attacke in diesem großen Umfeld zu
begegnen • Schwierig Mail Policy durchzusetzen• Remote Access Anforderungen unerschwinglich
Fallstudie - Implementation
• Schützt die Notes Servers
• Policy zentral erzwungen
• Stoppt Klez von Anfang an
• Bietet den benötigten Highest-Performance Netzwerk-Antivirus
• Bietet sicheren Webmail Access
MXtreme
Internet
Any Web PC
Firewall
Mail Servers
NotesNotes
Sicheres Web Mail, mit Verschlüsselung und Authentifizierung
- Komplettiert die Mail-Sicherheits-LösungBorderWare MXtreme Mail Firewall
AccessContentDelivery
OSPhysical
Message Integrity Checks, Content und Attachment Kontrolle, Spam und AV Kontrolle
Nachrichtenverschlüsselung, Routing und Address Hiding, Relay Kontrollen
Schutz vor Buffer Overflow und Denial of Service Attacken
Physische Sicherheit
MXtreme Preise
• BMF-200 (Kleine Unternehmen, Zweigniederlassung)– $6,000
• BMF-400 (KMU, Hauptniederlassung)– $18,000
• BMF-800 (Global Player)– $42,000
Preise:Enthalten erstes Jahr Support und HardwaregarantieOptional Anti-Virus Option
BMF-200
• Chassis: Mini 1u • CPU: Pentium4 1.4 Ghz, • RAM: 256 MB, PC133 RAM • Disk: 1 x 40 GB • NICs: 1 x 10/100 onboard
• Recommended for small businesses, branch offices etc.
BMF-400
• Chassis: 1U • CPU: Pentium 4 1.7 Ghz,
• RAM: 512 MB ECC, DDR RAM
• Disk: 2 x 40 GB ATA 100 with RAID
• NICs: 2 x 10/100 onboard, 1 x 10/100/1000 PCI
• Recommended for medium/large businesses.
BMF-800
• Chassis: 2U• CPU: Pentium 4 2.0 Ghz,
512Kb cache• RAM: 1 GB ECC, DDR RAM • Disk: 4 x 40 GB ATA 100 (RAID
0+1)• NICs: 2 x 10/100 onboard, 2 x
10/100/1000 PCI • Hot swappable, redundant
power supply.
• Recommended for large enterprises/institutions
MXtreme Produkt Status
• Öffentlicher Launch und Versand– 25. September 2002
• Preview Produkt verfügbar (beschränkte Stückzahl)– Anfang September 2002
Über BorderWare Technologies
• Gegründet 1998 von den ursprünglichen Entwicklern des BorderWare Firewall Servers
• Heute ca. 60 Mitarbeiter• Niederlassungen in:
– Mississauga/Toronto, Kanada– San Jose, CA, USA– South Riding, VA, USA– London, UK– Stockholm, Schweden– Weinheim bei Heidelberg
Zusammenfassung• Kunden erleiden Verluste durch Verwendung von Mail
• Server- und Workstation-Lösungen sind unzureichend
• Kontrolle des Mailverkehrs auf Netzwerklevel ist kritisch
• Remote Access auf Mail ist essentiell für Business
• BorderWare MXtreme Mail Firewall ist die einzige
umfassende Lösung für Email-Security
Top Related