Upload
amelinda-weyer
View
106
Download
0
Embed Size (px)
Citation preview
Inhaltliche Änderungen und Druckfehler vorbehalten.
Januar 2004
Aladdin Knowledge Systems Germany Peter Schill
Die neuen Herausforderungen der Die neuen Herausforderungen der Content SecurityContent Security
--
Netzwerkfilter auf Netzwerkfilter auf ApplikationsebeneApplikationsebene
• Herausforderung Content Security – Herausforderung Content Security – Aufgaben und LösungswegeAufgaben und Lösungswege
• Netzwerkfilter auf Applikationsebene – wozu ?Netzwerkfilter auf Applikationsebene – wozu ?
• eSafe – die nächsten SchritteeSafe – die nächsten Schritte
Agenda
Herausforderung Content Security
• I. Proaktives Vorgehen gegen neue Schädlinge
• II. Abwehr von Spam
• III. HTTP / FTP – Performance vs Sicherheit
• IV. P2P / IM
=> => Netzwerkfilter auf ApplikationsebeneNetzwerkfilter auf Applikationsebene
Reaktive Content Security und die Folgen …….
Mehrschichtige Content Security
Anti-ViruseSafe Anti-Virus Engine: Schutz vor bekannten Virenaller Art (Signatur)
Doppelt hält besser: AV-Engine von Kaspersky Labs als zusätzlicher Virenscanner
Neuentwickelte Viren??Neuentwickelte Viren??
Mehrschichtige Content Security
Anti-Vandal
MacroTerminator™: heuristische Erkennung und Blockierung von bekannten und unbekannten MS Office-Makroviren (embedded objects)
GhostMachine™ - Entdeckt unbekannte Trojaner, Würmer und die Nutzung von Exploits indem die Wirkungsweise verdächtiger Applikationen in einer VM-Umgebung überprüft wird
SmartScript™ : proaktive Blockierung aller bösartigen Scripts (Active-X, Java etc.) in eMails und auf Webseiten
Mehrschichtige Content Security
Exploit / Hack Protection
XploitStopper™: proaktive Erkennung und Blockierung bösartiger Codes durch die Überwachung bzw. Schließung bekannter Sicherheitslöcher in Anwendungen
Anti-Spoofing: Dateien werden auch nach MIME-Typ und Binärstruktur überprüft und blockiert
Anti-Hacking-Technologie: verhindert unterschiedliche Hacker-Angriffe, u.a. DoS-Attacken, übergroße Dateien etc.
Mehrschichtige Content Security
Webfilter/eMail FilterAnti-Spam
Web-Filterung: zusätzlicher URL Filter zum Blockieren von unerwünschten Seiten
Dateiblockierung: potentiell bösartige Scripte werden eliminiert
Inhaltsfilterung von eMails: private und vertrauliche Informationen gelangen nicht nach draußen und Spam nicht hinein
Herausforderung Content Security
• I. Proaktives Vorgehen gegen neue Schädlinge
• II. Abwehr von Spam
• III. HTTP / FTP – Performance vs Sicherheit
• IV. P2P / IM
=> Netzwerkfilter auf Applikationsebene=> Netzwerkfilter auf Applikationsebene
2001 erhielten die Internetnutzer in den USA etwa 140 Milliarden Spam-Mails. Seit 2001 hat sich das durchschnittliche Spamaufkommen pro Nutzer von 3.7 to 6.2 Spam-Mails täglich erhöht. Für 2007 wird eine Gesamtmenge von 645 Spam-Mails prognostiziert. - Jupiter Research
Herausforderung Spam
Spam – wo liegt das Problem?Spam – wo liegt das Problem?
Spam: Anatomie
Herausforderung Content Security
• I. Proaktives Vorgehen gegen neue Schädlinge
• II. Abwehr von Spam
• III. HTTP / FTP – Performance vs Sicherheit
• IV. P2P / IM
=> Netzwerkfilter auf Applikationsebene=> Netzwerkfilter auf Applikationsebene
Herausforderung HTTP
• (Irr-)Glaube, dass Viren nicht über Webtraffic verbreitet werden
• Langsame, ineffiziente HTTP Überprüfung
• Probleme bei der Implementierung der FTP Überprüfung (Proxyprobleme, etc)
Viele Unternehmen werden durch ihre AV Lösung nur zu 85% geschützt, weil der web (HTTP) traffic aus nachfolgenden Gründen nicht überprüft wird:
15% Ungeschützt15% Ungeschützt
Nur eSafe bietet FULL coverage
HTTP Content Klassifizierung
HTTPHTTPContentContent
recognitionrecognitionfilterfilter
HTTPHTTPContentContentmixermixer
15% HTML15% HTMLinspectioninspection
5% Binaries5% Binariesinspectioninspection
80% Trustedcontent
HTTPcontent
Technologie zum Patent angemeldet
HTML inspection ~15%
eSafe Gateway
NIC NIC
TCP/IP stack
eSafe PCAContent
InspectorContent
Inspector
Each packet is inspected and
released
InternetInternet
eSafe Gateway
Binaries inspection ~5%
NIC NIC
TCP/IP stack
eSafe PCAContent
InspectorContent
Inspector
10% of packets are released
InternetInternet
After inspection the remaining
90% is released
When the entire file is receives it
is inspected
Installationsmodi: Transparent Bridge
Bevorzugter Installationsmodus
PROS:• Keine Änderung am Netzwerk nötig• Einfache Installation
CONS:• Single point of failure für alle Internetzugänge
ALTERNATIVEN:• Bridge mit Proxy, Forwarding Proxy, Security Cluster
Herausforderung Content Security
• I. Proaktives Vorgehen gegen neue Schädlinge
• II. Abwehr von Spam
• III. HTTP / FTP – Performance vs Sicherheit
• IV. P2P / IM=> Netzwerkfilter auf Applikationsebene=> Netzwerkfilter auf Applikationsebene
Applikationsfilter im Netzwerk – wozu ?
1. Nicht immer erreicht bösartiger Programmcode das Unternehmensnetz als Datei. Häufig nutzen Würmer oder Trojaner bekannte Sicherheits-lücken, um schädliche Aktionen zu initiieren.
– CodeRed bzw. CodeBlue beispielsweise nutzen einen buffer overrun exploit im Microsoft IIS, indem sie in einer gefakten Anfrage schädlichen Code verstecken.
– Ähnlich verfährt der SQL Slammer mit einem MS SQL Server.
– Der jüngst kursierende Blaster-Wurm hingegen bedient sich
eines bekannten RPC (Remote Procedure Calling protocol) exploits an Port 135.
2. P2P Kommunikation – Risiken für Unternehmenssicherheit und Haftbarkeit
– P2P Applikationen wie Kazaa, iMesh, Gnutella oder eDonkey öffnen das Unternehmensnetz für (häufig infizierte) shared files auf unbekannten Rechnern
– Durch die Konfiguration der P2P-Applikation können (absichtlich oder aus Versehen) vertrauliche Daten auf der Festplatte zugänglich gemacht werden
– Werden urheberrechtlich geschützte Medien (Musik, Literatur, Filme) durch P2P zur Verfügung gestellt, stellt dies eine Verletzung der Lizenzrechte dar.
– Die unkontrollierte Installation von Software kann nicht nur strafbar sein, sie führt auch häufig zu IT-Problemen.
– Das download-Verhalten passionierter P2P-Nutzer verstopft den Internetzugang.
Applikationsfilter im Netzwerk – wozu ?
3. Instant Messaging Services tunneln die Firewall– ICQ, MSN und Yahoo Messenger dienen nicht nur der
schnelleren Kommunikation von Geschäftspartnern und Kollegen
– Sie werden für den schnellen Transfer von Dateien genutzt
– Eine zunehmende Zahl an Trojanern und Würmern nutzt gezielt die IM Services als Vehikel
– Auch hier besteht die Gefahr von Urheberrechtsverletzungen
Applikationsfilter im Netzwerk – wozu ?
4. Adware/Spyware wird häufig im Zuge regulärer Softwarepakete als „Extra“ installiert; oftmals ohne Wissen der Anwender, da diese die Lizenzvereinbarung nicht vollständig gelesen haben oder sich über die Risiken nicht im Klaren sind.
– Die Gefahren der Adware/Spyware bestehen vor allem im unkontrollierten Sammeln von Informationen über den Rechner des Anwenders, unerlaubten Zugriffen auf Internet oder Intranetressourcen und möglichen Konflikten mit wichtigen Business-Applikationen
Applikationsfilter im Netzwerk – wozu ?
5. Das sog. Traffic Tunneling umgeht Firewalls und kann Remote Control Tools und Trojanern die Tür öffnen.
– Dabei werden bestimmte Tools genutzt, um bspw. POP3 auf den Bürorechner zu leiten. Der Datenverkehr wird dabei als http-traffic auf Port 80 getarnt und passiert die FW unbemerkt.
– Populäre Programme wie GoToMyPC oder PCAnywhere versprechen dem Anwender Mobilität und freien Zugriff auf seinen PC von überall. Auch hier wird der Datenverkehr auf Port 80 als http getarnt.
– Das Einschleusen von Trojanern ist auf diesem Weg ein Kinderspiel.
Applikationsfilter im Netzwerk – wozu ?
eSafe 4 AppliFilter™• Peer To Peer (P2P)
Blockt bekannte P2P Protokolleunabhängig vom benutzten Port (KaZaa, FastTrack, Gnutella, eDonkey)
• Instant Messengers (IM) Blockt bekannte Instant Messenger
Services unabhängig vom benutzten Port
(ICQ, Yahoo, MSN Messenger)
• TCP/IP Würmer Blockt malicious code auf TCP/IP level
(CODERED, SLAMMER, BLASTER, etc.)
• HTTP/FTP/SMTP Tunneling Verhindert unerlaubtes HTTP/FTP/SMTP Tunneling auf
den Ports 80/21/25
AppliFilter™ - Wie funktionierts?
ProtocolProtocolidentifieridentifier
Known Known Worms sig.?Worms sig.?
AuthorizedAuthorizedApplication?Application?
P2P?P2P?
IM?IM?
BlockBlock//
AllowAllow
AppliFilter™ - Wie funktionierts?
• Die eSafe NitroInspection engine inspiziert alle ankommenden TCP/IP Pakete.
• Bereits im raw traffic überprüft der AppliFilter diese auf bekannte Signaturen von malicious code oder Versuche auf exploits zuzugreifen – bevor die Pakete zu Dateien zusammengesetzt werden. (Funktionsprinzip ähnlich IDS)
• Die AppliFilter-Signaturen sind Teil des Xploit-Stopper Moduls und werden zusammen mit diesem upgedatet.
• Im Gegensatz zu Proxy-basierten Systemen erkennt und blockt eSafe P2P und IM Traffic bereits am Gateway.
• Alle Ad- und Spyware-Produkt kommunizieren mit einem Server. AppliFilter überprüft den kompletten Datenverkehr auf dem Application level und verhindert diese Art der Kommunikation.
• AppliFilter untersucht http-Traffic auf seine Zusammensetzung. Entsprechen die Pakete nicht normalen http-Paketen, werden sie geblockt.
AppliFilter™ - Wie funktionierts?
AppliFilter Konfiguration
Weitere Features eSafe4 FR2
• Für jedes Protokoll eine unabhängige Liste der zu blockenden Dateitypen
• Verbessertes CR monitoring in der eConsole• ESMTP Unterstützung (mobile User)• Remote Zugriff auf SESSION.LOG files aller
eSafe Maschinen• URL Filtering Monitor mode• Neue Logfiles mit detaillierten Informationen
aller SMTP sessions• SNMP Traps• OutbreakSentry™
eSafe FR3
Release Sommer 2004
• I-CAP support (mit BlueCoat Servern)• Transparentes POP3 scanning• Verbesserte Spam Erkennung und weitere
Minimierung der false positives• Erweitertes Spam Quarantäne Handling
eSafe Gateway Proaktive Anti-Virus und Content Filter Lösung am Internet gateway für HTTP, FTP, SMTP und POP3.
eSafe WebProaktiver Schutz für HTTP und FTP Verkehr.
eSafe Mail Proaktiver Schutz für SMTP Verkehr oder MS Exchange Server.
eSafe Produktportfolio
eSafe ApplianceVorkonfigurierte plug-and-play Lösung für eSafe Gateway oder eSafe Web/Mail.
“Virtual Appliance” Platform
Industry First!
• Veringerte Komplexität:• Einfache Installation auf jedem PC• Gehärtetes, sicheres & updatebares OS• Webbasierte Konfigurations GUI
• Hauptvorteile:• Einfache Installation• Einfacher Support
Vielen Dank für Ihre Aufmerksamkeit