Безопасность электронной почты - 10 Сентября 2010 - WIKI сайт про всё, что можно подумать
E-mail:
Пароль:

Wiki сайт: Всё про всё

Меню сайта
Главная » 2010 » Сентябрь » 10 » Безопасность электронной почты
12:00 PM
Безопасность электронной почты

                     

С ростом использования интернет-технологий информатизация общества захватывает все новые и новые сферы деятельности человека. Сложно себе представить крупную организацию или компанию, дела в которой ведутся по старинке: бумажный документооборот, традиционная почтовая связь, ручные методы ведения бухгалтерии — все это остается в прошлом. Современный рынок диктует свои условия, и существовать в этих новых условиях без развитой ИТ-инфраструктуры сложно. Однако в ногу с информационной революцией по планете шагает и угроза информационной безопасности. И чем большее развитие получают компьютерные и коммуникационные технологии, тем выше риск проявления тех или иных нарушений. На реализацию мероприятий и концепций защиты информации призваны работать лучшие коллективы специалистов, но зачастую их усилий оказывается недостаточно для нейтрализации потенциальных инцидентов.

Среди всех имеющихся в настоящее время угроз информационной безопасности одно из ведущих мест занимает распространение в информационных системах деструкти вного программного кода. Деструктивный программный код — это отнюдь не только собственно компьютерные вирусы. Сюда же можно отнести такие творения рук человеческих, как троянские программы, агенты DDoS-атак (Distributed Denial of Service Attack — распределенная атака, провоцирующая отказ в обслуживании), злонамеренные скрипты и др. Как видно, деструктивный программный код весьма многообразен в своем проявлении. Многое сказано об уроне, наносимом компьютерными вирусами. Зачастую ценность информации, хранимой в системе, на порядок превышает стоимость самой системы, а факт потери таких данных способен сказаться на судьбах десятков и сотен людей. Но не только потеря данных чревата серьезными последствиями. Нередко владельцы важной информации предпочли бы расстаться с ней, нежели увидеть ее, что называется, в открытом доступе или на столе у конкурента, если речь идет о коммерческой тайне. Помимо этого, бесконтрольное манипулирование незащищенной информацией способно нанести ощутимый материальный ущерб. И все эти последствия (а здесь перечислены далеко не все возможные направления воздействия) зачастую — результат нарушений вирусной безопасности компьютерных систем. Об актуальности необходимости наличия надежной антивирусной защиты говорят факты: количество известных компьютерных вирусов неуклонно возрастает (в полном соответствии с развитием и упрощением технологий разработки), среди средств обеспечения безопасности информации антивирусные системы занимают лидирующую позицию, затраты на обеспечение противодействия деструктивному программному коду (а равно оборот разработчиков и поставщиков соответствующего программного обеспечения) исчисляются миллионами долларов, отрасль является наиболее востребованной на рынке средств защиты компьютерных систем.

В сфере обеспечения антивирусной защиты выделяется целый ряд различных направлений. Как правило, эти направления соответствуют классификации объектов защиты. Если говорить о противодействии деструктивному программному коду в масштабе предприятия или организации, то можно назвать целый ряд потенциальных объектов воздействия вирусов. При этом рассматриваются как непосредственно «потенциальные объекты нападения», так и «объекты, осуществляющие перенос злонамеренного кода». В корпоративной среде могут быть названы следующие объекты: рабочие станции персонала, файловые серверы, прикладные службы и наконец то, на чем мы заострим внимание — сетевые транспорты. Об угрозах, приходящих в систему посредством сетевых транспортных потоков, последнее время приходится говорить все чаще и чаще. Пользователь посредством протокола HTTP обратился к неблагонадежному ресурсу, вследствие чего на его персональный компьютер был загружен и выполнен небезопасный скрипт, вызвавший потерю данных… Пользователь загрузил утилиту с неблагонадежного FTP-ресурса, в результате на его компьютере был установлен скрытый клавиатурный шпион, благодаря деятельности которого злоумышленники получили в распоряжение учетные данные для доступа в закрытую сеть… Пользователь получил электронное письмо с небезопасным вложением, открыв которое, активизировал почтового червя; последний разослал свою копию всем корреспондентам из адресной книги жертвы… Можно и дальше продолжить этот список. Все шире и шире разворачивается деятельность человека в режиме on-line, и все более вероятным становится именно такой маршрут доставки деструктивного программного кода на целевую систему: посредством сетевых транспортов. Обмен гибкими дисками как провоцирующий эпидемию фактор уходит в прошлое, ему на смену приходят потоки байтов в глобальных сетях.

Какой же из прикладных протоколов поставить на первое место как «самого активного распространителя»? Несомненно, SMTP. Электронная почта — пожалуй, самый распространенный сетевой сервис. Количество адресов e-mail исчисляется сотнями миллионов. Простой вопрос — что делает новичок Интернета, посетив во время первого сеанса сайт с анекдотами и ленту новостей? Конечно же, заводит себе электронный почтовый ящик, спеша сообщить свои координаты всем друзьям, знакомым, коллегам. Еще один простой вопрос: как поступит злоумышленник, нанятый недобросовестными конкурентами для ведения промышленного шпионажа? Один из наиболее частых стартовых вариантов для такого преступника — выявление почтового адреса сотрудников целевой компании и отправка им по электронной почте троянской программы с целью получения полного контроля над системой жертвы. Таких простых вопросов и не менее простых ответов наберется не один десяток. А вывод очевиден: электронная почта — один из основных каналов распространения деструктивного программного кода.

Итак, проблема очерчена, ее опасный потенциал оценен и принят во внимание. Естественно, необходимо задуматься о мерах по противодействию угрозе. Здесь возникает необходимость строить эшелонированную оборону, поскольку установкой одних персональных антивирусных средств на нужный уровень защиты выйти удается не всегда. Очевидно, что необходимо средство, способное централизованно «процедить» весь потенциально опасный поток данных и свести к минимуму вероятность прохождения в этом потоке элементов деструктивного программного кода. Для систем электронной почты таким средством является антивирусный почтовый шлюз (SMTP Gateway) — программный комплекс, функционирующий на соответствующей аппаратной платформе и осуществляющий проверку SMTP-сообщений на наличие в них деструктивного программного кода. На сегодняшний день на рынке представлено несколько образцов подобных решений, разработка и производство которых налажены ведущими компаниями в области создания средств защиты информации.

Общие принципы функционирования антивирусных почтовых шлюзов достаточно просты и базируются на общих правилах обработки сообщений электронной почты — RFC 821 (базовый протокол SMTP), 822 (синтаксис сообщений почты Интернета), 1869 (расширенный протокол SMTP), 1870 (технология SIZE Extension), 1652 (технология 8-bit-MIMEtransport Extension) и др. Обычная (незащищенная) модель доставки сообщений электронной почты показана на рис. 1. Здесь основными субъектами взаимодействия являются: SMTP-сервер отправителя сообщения, DNS-сервер, SMTP-сервер получателя сообщения и, разумеется, почтовые клиенты пользователей.

SMTP-сервер отправителя сообщения запрашивает у DNS-сервера запись типа MX (серверу-отправителю необходимо знать IP-адрес почтового сервера для домена, указанного в адресе получателя) и, получив ответ на свой запрос, устанавливает соединение по 25 TCP-порту (стандартный порт SMTP) с целью передачи данных. Адресат получает электронное сообщение со своего сервера с помощью почтового клиента по протоколу POP3. Абсолютно аналогично схема работает при передаче почтовых сообщений в обратном направлении. Очевидно, что данные при обмене между SMTP-серверами никакому вирусному контролю не подвергаются, а значит, высока вероятность того, что деструктивный программный код будет доставлен на целевую систему, где может нанести серьезный урон информационной безопасности. Конечно, на компьютерах пользователей может быть установлено клиентское антивирусное программное обеспечение, в какой-то мере гарантирующее защиту от проникновения деструктивного кода. Однако проблема централизованного контроля почтового трафика в масштабах всего сообщества пользователей данного сервера (домена) не решается. Рис. 2 иллюстрирует иную ситуацию: в схему встраивается антивирусный почтовый шлюз.

В таком случае процесс доставки несколько видоизменяется. Антивирусный шлюз устанавливается таким образом, чтобы извне он выглядел как обычный SMTP-сервер (шлюз открывает стандартный 25 TCP-порт, корректно обрабатывает команды прикладного протокола, а главное — запись типа MX системы DNS указывает теперь на него). Таким образом, входящая почта домена первоначально попадает в антивирусный шлюз, где происходит соответствующий контроль. При положительном результате проверки сообщение передается на собственно почтовый сервер, откуда доставляется корреспондентам. Аналогичный контроль можно предусмотреть и для исходящих сообщений: в качестве SMTP-сервера в почтовых клиентах пользователей указывается антивирусный шлюз, который после проверки электронных писем занимается их дальнейшей доставкой (может пересылать письма на указанный SMTP-сервер либо самостоятельно взаимодействовать со службой DNS). Следует отметить, что связка «антивирусный шлюз + почтовый сервер» не обязательно должна состоять из двух аппаратных платформ, как это показано на рис. 2. Зачастую оба компонента устанавливаются на одну машину, при этом антивирусный почтовый шлюз занимает 25 порт, а SMTP-серверу назначается TCP-порт, отличный от 25 (как правило, из диапазона верхних непривилегированных портов).

Существует еще один вариант решения проблемы централизованной антивирусной проверки почтовой корреспонденции — так называемая технология CVP. Спецификация CVP (Content Vectoring Protocol) — разработка и сфера интересов компании CheckPoint, производителя такого известного продукта безопасности, как межсетевой экран FireWall-1. Как видно из расшифровки аббревиатуры, спецификация подразумевает перенаправление данных для контроля на вход стороннего продукта (так называемого CVP-сервера). Технология CVP выходит за рамки данной статьи — она, как правило, выделяется в отдельное направление, поскольку требует грамотного сопряжения и настройки нескольких сложных программных продуктов.

Для корпоративных сетей со средним числом пользователей наиболее подходящей является процедура встраивания в информационную инфраструктуру антивирусных шлюзов.

Современный антивирусный почтовый шлюз — это сложный программный комплекс обеспечения информационной безопасности. Для повышения эффективности его работы производители реализуют оригинальные решения и технологии, а также уделяют внимание смежным задачам, таким как защита от нежелательной электронной почты (спама), контент-анализ почтовой корреспонденции, балансировка нагрузки корпоративной системы электронной почты и др. Попытаемся оценить функциональные возможности некоторых продуктов наиболее известных производителей.

Network Associates Technology Inc.
Программный продукт McAfee® WebShield SMTP.

WebShield SMTP — программный комплекс контроля электронно-почтовой корреспонденции, снискавший большую популярность среди корпоративных пользователей в силу наличия ряда интересных особенностей. Процедура инсталляции шлюза позволяет провести оперативный контроль схемы установки. Консоль управления интуитивно понятна и удобна в использовании.

Отличительной особенностью продукта McAfee является компонент Alert Manager, отвечающий за уведомление администратора безопасности о ряде событий, которые могут произойти в процессе функционирования системы. Система уведомлений WebShield SMTP является самой гибкой среди аналогичных программных продуктов.

Еще одной интересной особенностью комплекса является наличие средства оперативного реагирования на нестандартные события в сфере вирусной безопасности электронной почты — модуля Outbreak Manager.

Этот компонент отвечает за применение дополнительных мер защиты в случае возникновения особых ситуаций, таких как появление большого числа одинаковых вирусов, одинаковых вложений в сообщения в течение заданного временного интервала и некоторых иных ситуаций, свидетельствующих о возникновении, например, вирусной эпидемии или выполнении целенаправленной атаки злоумышленником. В качестве дополнительных защитных мер автоматически предпринимаются различные действия от уведомления администратора безопасности и немедленного обновления баз вирусных сигнатур до отказа от приема всей входящей почты и остановки службы антивирусного контроля.

В целом программный продукт McAfee® WebShield SMTP является мощным корпоративным комплексом контроля почтового трафика и достаточно широко распространен во всех регионах мира.

Symantec Corporation. Программный продукт Symantec AntiVirus for SMTP Gateways.

Компания Symantec уже давно известна на рынке антивирусного программного обеспечения.
Продукт компании Symantec предоставляет интерфейс управления через обычный браузер, что позволяет выполнять настройку и мониторинг комплекса из любой точки сети при условии наличия доступа по протоколу HTTP к компьютеру с установленным шлюзом и знания пароля администратора безопасности (пароль, а также порт доступа к управляющему интерфейсу могут быть легко изменены).

Для обнаружения ранее неизвестных элементов деструктивного программного кода используется технология Bloodhound, применение которой значительно увеличивает вероятность обнаружения неизвестных вирусов (т. е. таких элементов деструктивного программного кода, сигнатур которых нет в вирусной базе).

Имеется встроенный модуль защиты от нежелательной электронной почты (спама), выполненный по многоуровневому принципу: эвристический контроль, сопоставление с «черными списками» (в том числе с динамическими, обновляемыми в масштабе реального времени). Имеется возможность блокировки сообщений при нарушении установленных правил, определяющих размер письма.

Оригинальная технология сканирующего ядра NAVEX позволяет динамически обновлять вирусные базы без приостановки службы антивирусного контроля. За регулярные автоматические обновления баз отвечает специальный модуль LiveUpdate, позволяющий постоянно поддерживать антивирусный комплекс в актуальном состоянии.

Для анализа состояния программного комплекса, статистики работы почтовой системы, расследования инцидентов и иных подобных задач успешно применяется встроенная служба генерации отчетов, позволяющая выдавать как общую, так и детализированную информацию.

Система уведомления администратора предоставляет возможность отправки сообщения по электронной почте в случае обнаружения вируса в проверенном сообщении. Для предоставления возможности отложенного анализа инцидента с вирусной безопасностью может быть задействован карантин-сервер, на который копируются сообщения, классифицированные как содержащие элементы деструктивного программного кода. С целью исключения перехода шлюза в состояние «Open Relay» — прием и пересылка почты от любого отправителя (что немедленно и с радостью будет использовано спамерами) — имеются соответствующие настройки.

В целом продукт компании Symantec представляет собой надежный и устойчивый программный комплекс, не обремененный множеством дополнительных функций, эффективно решающий свою основную задачу — защиту почтового трафика от вирусов.

Trend Micro Inc. Программный продукт InterScan VirusWall.

InterScan VirusWall компании Trend Micro — по-своему необычный программный продукт. Он отличается высокой универсальностью: помимо вирусного контроля сообщений электронной почты по протоколу SMTP, InterScan VirusWall способен выполнять действия по анализу трафика на наличие в нем деструктивного программного кода в качестве антивирусного FTP- и HTTP-шлюза. В случае работы с данными протокола HTTP продукт компании Trend Micro требует обязательного наличия дополнительного HTTP-прокси-сервера, а для контроля FTP может использоваться как совместно с соответствующим посредником прикладного уровня, так и без него — автономно.

На этапе инсталляции имеется возможность выбора варианта установки продукта InterScan VirusWall: как шлюза либо как сервера, поддерживающего спецификацию CVP.

Управление работой шлюза может осуществляться как с помощью локальной консоли (на основе стандартного GUI Windows), так и удаленно, с использованием браузера — посредством взаимодействия через протокол HTTP. Оба интерфейса одинаковы по своим функциональным возможностям.

Подсистемы обеспечения работы антивирусного комплекса — стандартные для данного класса продуктов. Модуль автоматических обновлений позволяет настроить требуемую частоту актуализации баз вирусных сигнатур и выполнять загрузку обновлений с учетом особых настроек сети. Имеется карантин. Компонент протоколирования событий обеспечивает запись информации в специальный журнал и выдачу ее в структурированном и упорядоченном виде.

Имеются механизмы предотвращения «Open Relay». Для скрытия факта нахождения в защищаемой сети антивирусного шлюза применяются запрещение проставления дополнительного поля Received в служебный заголовок SMTP-сообщения и изменение стандартного баннера-приглашения, выдаваемого при установлении сессии Telnet.

Программа настройки позволяет задать ограничения по размеру сообщения отдельно для входящего и исходящего трафика. Кроме того, могут быть установлены особые правила обработки писем, содержащих вложения с макросами Microsoft Office. Еще одна интересная особенность — возможность противодействия попыткам обмана пользователей путем отправки им файлов-вложений с названиями типа «filename.jpg_много_пробелов_.exe», к чему нередко прибегают злоумышленники, пытаясь замаскировать действительное назначение вложения.
Встроенных механизмов анализа содержания электронной почты и защиты от спама нет, но их отсутствие легко восполняется путем подключения соответствующего модуля, носящего название eManager. Функциональные возможности спам-фильтра и средства анализа, входящих в этот модуль, весьма обширны и способствуют повышению эффективности системы безопасности электронной почты.

InterScan VirusWall от компании Trend Micro Inc. можно назвать наиболее универсальным продуктом в силу наличия возможности контроля как SMTP, так и FTP- и HTTP-трафика. Кроме того, привлекательной является возможность наращивания функциональности этого антивирусного шлюза.

***

Рассмотренные программные комплексы сами по себе не являются панацеей от всех бед. Остается в силе одно из основных требований к построению надежной системы безопасности — ее целостность. Это требование в полной мере может быть реализовано только при условии комплексного подхода к решению задачи защиты информации, а именно — использованию группы технологий для прикрытия всех возможных каналов воздействия случайных или преднамеренных угроз: централизованный антивирусный контроль, межсетевое экранирование, контент-анализ, обнаружение вторжений, резервное копирование, контроль доступа, аудит событий, мониторинг активности, контроль и анализ защищенности, физическая защита.

 

Категория: Советы Безопасности при Использовании компьютера | Просмотров: 11 | Добавил: torayevtm | Рейтинг: 0.0/0
Всего комментариев: 0
Имя *:
Email:
Код *: