Die Präsentation wird geladen. Bitte warten

Die Präsentation wird geladen. Bitte warten

6. Tagung der DFN-Nutzergruppe Hochschulverwaltung

Veröffentlicht von:Jonas Meinhardt Geändert vor über 9 Jahren

Ähnliche Präsentationen

Präsentation zum Thema: "6. Tagung der DFN-Nutzergruppe Hochschulverwaltung"—  Präsentation transkript:

1 6. Tagung der DFN-Nutzergruppe Hochschulverwaltung
-Organisation: Viren und SPAM-Abwehr Jürgen Weiß Universität Oldenburg Hochschulrechenzentrum

2 Security is a process, not a product
Sicherheit Security is a process, not a product Bruce Schneier Siehe

3 Virus -Wall hat die Diskette als Hauptübertragungsweg von Computer- schädlingen aller Art ( Viren, Würmern und Trojanischen Pferden) längst abgelöst. Zur Zeit sind ca Viren bekannt; die Anzahl nimmt ständig zu. Betroffen sind vorwiegend Windows-basierte Rechner. Die verschiedenen Typen von Viren reichen von harmlos bis extrem bösartig. 5 Exemplare verursachen 95% aller Infektionen An der Universität Oldenburg gehen im Monat ca infizierte Mails ein Eine absolute Sicherheit wird auch durch die Anwendung von Viren- Suchprogrammen nicht erreicht !

4 Viren, Würmer, Trojaner und Hoaxes
Viren reproduzieren sich, indem sie den eigenen Programmcode in ein Wirtsprogramm einfügen. Das infizierte Programm übernimmt dann die Verbreitung des Virus. Würmer sind eigenständig ablaufende Programme, die sich über die Infra- struktur des Netzes ausbreiten. Sie infizieren keine Wirtsprogramme, können aber durchaus andere Programme benutzen. Trojanische Pferde sind Programme, die gewisse Funktionen vorgeben, gleichzeitig aber unerwünschte Nebenwirkungen haben. Im Gegensatz zu Viren und Würmern existiert keine Vermehrungsfunktion. Sie sind auf manuelle Weitergabe durch den Anwender angewiesen oder werden von Crackern auf einen System installiert. Warnung vor Viren, die keine sind - sogenannte Hoaxes. Diese Warnung stellt den eigentlichen Virus dar. Sie verunsichert Anwender, fordert auf, harmlose Dateien zu löschen oder initiiert Kettenbriefe.

5 Begriffe MUA - Mail User Agent dient dem Anwender zur Erstellung der Mail. Ähnlich Papier und Stift. ( Outlook Express, Netscape, Pine, Pmail ) MTA - Mail Transport Agent ist für die Bearbeitung und Weiterleitung der Mails verantwortlich. Ähnlich einem Postamt. ( sendmail, postmail, exim ). LDA - Local Delivery Agent ist für die Ablage der auf dem lokalen System zuständig. Relaying - Weiterleiten von Mails zwischen den Mail-Servern MUA MTA MTA MTA LDA Relaying

6 Mail Auslieferung im Detail
Der Anwender konfiguriert seinen MUA ( Outlook Express, Netscape, usw ). Dabei trägt er einen Server (SMTP-Gateway) für ausgehende Mails, und eine IMAP/ POP-Server für eingehende Mails ein. Der Anwender erstellt eine Nachricht für und betätigt den "Senden" - Button Der MUA baut eine TCP-Verbindung auf Port 25 zum SMTP-Gateway auf. Auf dem SMTP-Gateway horcht ein MTA auf Port 25 und beantwortet den Verbindungsaufbau. Es werden Empfängeradresse und Message-Header sowie Message-Body übertragen. Der Client baut die Verbindung ab und informiert über mögliche Fehler.

7 Mail Auslieferung im Detail
Der MTA speichert die Mail zwischen . Hier wartet sie auf ihre weitere Verarbeitung. Zur Weiterverabeitung wird der Domainteil von der -Addrese separiert. Der MTA führt eine DNS-MX Anfrage für uni-oldenburg.de an den Name-Server durch, der für diese Domaine authorisiert ist und erhält den Servernamen, z.B. mailsrv1.uni-oldenburg.de und die entsprechende IP-Adresse zurück. Der MTA baut eine Verbindung zum Port 25 auf auf. An den dort laufenden MTA werden Empfängeradresse und Message-Header sowie Message-Body übertragen.

8 Mail Auslieferung im Detail
Der MTA auf mailsrv1.uni-oldenburg.de überprüft, ob er für die Domaine uni-oldenburg.de lokaler Server ist und sucht die Benutzerkennung meier ( /etc/passwd, NIS,LDAP). Der LDA auf mailsrv1.uni-oldenburg.de hängt die Mail an die persönliche Mailbox des Benutzers meier an ( /var/mail/meier). Der Auslieferungsvorgang ist damit abgeschlossen. Wie die Mail auf den Rechner des einzelnen Benutzers kommt, ist nicht Aufgabe des MTA.

9 Simple Mail Transfer Protokoll – SMTP
Versenden von Mail an Port 25 # telnet mailsrv1.hrz.uni-oldenburg.de 25 Trying Connected to mailsrv1.hrz.uni-oldenburg.de ( ). Escape character is '^]'. 220 mailsrv1.hrz.uni-oldenburg.de ESMTP Sendmail /8.12.8; Mon, 5 May 2003 11:22: HELO test 250 mailsrv1.hrz.uni-oldenburg.de Hello alibaba.hrz.uni-oldenburg.de [ ], pleased to meet you MAIL FROM: Sender ok RCPT TO: Recipient ok DATA 354 Enter mail, end with "." on a line by itself from: to: subject: Big Deal Hi Tony lets make a big deal ! . h459MHXC Message accepted for delivery quit mailsrv1.hrz.uni-oldenburg.de closing connection Connection closed by foreign host.

10 Ablage der Mail auf dem Server
From Mon May 5 11:32: Return-Path: Received: from test (alibaba.hrz.uni-oldenburg.de [ ]) by mailsrv1.hrz.uni-oldenburg.de (8.12.8/8.12.8) with SMTP id h459MHXC014811 for Mon, 5 May :23: Date: Mon, 5 May :22: Message-Id: from: to: subject: Big Deal Hi Tony lets make a big deal !

11 Mail aus Sicht des Anwenders

12 Virenprüfung im Detail
Wo können wir bei der Prüfung ansetzen ? MUA -Der Benutzer installiert auf seinem Rechner einen Virenscanner. LDA - Das Programm auf dem Mail-Server, das für die lokale Ablage zuständig ist wird gegen einen Virenscanner ausgetauscht oder damit kombiniert. MTA - Dem MTA wird ein SMTP-Gateway vorgeschaltet, der an seiner Stelle auf Port 25 horcht, auf Viren scannt und dann an dem originären MTA weiterleitet.

13 MUA - Prüfung auf dem lokalen Rechner
Realisierung: Es existieren eine Vielzahl von käuflichen und freien Virenscannern ( McAfee, Trend Micro, H+BEDV, Sophos uvm. ) Vorteile: Es werden alle Dateien - nicht nur Mails - überprüft Nachteile: Nicht alle Anwender installieren Virenscanner Unterlassene Updates der Virendatenbank wiegen den Anwender in scheinbarer Sicherheit Lizenzkosten

14 LDA - Prüfung der lokalen Mail
Realisierung: Es steht eine größere Anzahl von Programmen zur Verfügung. Bespielhaft seien Amavis (A Mail Virus Scanner ) und virge zu nennen Vorteile: Überprüfung der Mails an einer zentralen Stelle Update der Virendatenbank an zentraler Stelle Nachteile: Erhöhter Konfigurationsaufwand. Erfordert detaillierte Kenntnisse über das Zusammenspiel zwischen MTA und LDA. Es werden nur lokale Mails geprüft. Bei Relaying unterbleibt eine Prüfung. Performance Probleme Lizenzkosten ( 2 EUR pro Mailbox - ca EUR )

15 LDA Performance VirenDB Klassische Arbeitsweise
Der Scanner lädt einmalig dieVirenDB Es werden viele Dateien geprüft. Scanner Für jede zu analysierende Mail wird der Scanner gestartet und die Datenbank erneut geladen Die Scanner werden häufig unter Nutzung von Script-Sprachen (Perl) eingebunden VirenDB VirenDB VirenDB Scanner Scanner Scanner

16 MTA - SMTP Gateway Realisierung: Vorteile: Nachteile:
Kommerzielle Lösungen von Sophos, Trend Micro Vorteile: Überprüfung der Mails an einer zentralen Stelle Update der Virendatenbank an zentraler Stelle Einfache Installation Nachteile: Kann in der Default-Konfiguration als Open-Mail-Relay genutzt werden Lizenzkosten

17 MTA - SMTP Gateway MTA 25 Auf dem Server wird der MTA ersetzt durch das SMTP-Gateway, das den Vorgang des Virenscannens übernimmt. Die Virendatenbank wird einmal beim Startup durch das SMTP-Gateway geladen. SMTP Gateway MTA 25 925

18 Die obige Konfiguration ist an der Universität Oldenburg realisiert.
MTA - SMTP Gateway MTA SMTP Gateway MTA 25 25 925 Ein SMTP-Gateway besitzt selten die volle Funktionalität eines MTAs. Um diese auf dem lokalen Server zu gewährleisten, ist es ratsam, den ausgetauschten MTA nachzuschalten. Um den Mißbrauch als Open-Mail-Relay zu verhindern, ist es zwingend erforderlich einen MTA vorzuschalten, der eine komplexe Zugriffslisten- verwaltung erlaubt. Es ist notwending die Virusdatenbank täglich zu aktualisieren ! Die obige Konfiguration ist an der Universität Oldenburg realisiert.

19 MTA - SMTP Gateway in Oldenburg
25 25 925 mailgate.uni-oldenburg.de smtpsrv1.uni-oldenburg.de Mailgate ( Linux RedHat 8.0) MTA sendmail konfiguriert als nullclient Smtpsrv1 (Linux RedHat 8.0) SMTP-Gateway mmsmtpd Version der Firma Sophos MTA sendmail Vorteil: Da über die Universität Braunschweig eine Landeslizenz mit der Firma Sophos ausgehandelt wurde entstehen nahezu keine Zusatzkosten.

20 Funktionalitätsprüfung
Testvirus: eicar.com ( ) Völlig ungefährliche ASCII Datei, deren Fingerprint von jedem Scanner erkannt wird.

21 Was passiert bei einer Infektion ?
Wird eine infizierte Mail gefunden, so werden folgende Aktionen durchgeführt Der Absender erhält eine Mail, dass sein System infiziert ist Information, um welchen Virus es sich handelt Der Empfänger erhält eine Mail, dass ihm eine infizierte Mail zugestellt werden sollte. Es wird häufig zur Diskussion gestellt, ob dies notwendig ist ! Information, um welchen Virus es sich handelt Das Subject der Mail Wer der Absender der Mail war Auf dem SMTP-Gateway-Server werden Log-Dateien abgelegt Information, um welchen Virus es sich handelt Zeitpunkt des Empfangs und des Servers, von dem die Mail kam Der Absender und der Empfänger Die infizierte Mail wird in Quarantäne genommen Optional werden postmaster des sendenden und empfangenden Servers informiert

22 Log - Datei <log logname="action" tid="34851" time="Fri Feb 22 13:35: " > Message quarantined<P/> Refer to /var/log/mmsmtp/quarantine/qrt.XX6CslZW<P/> Job description: Client: mailgate.uni-oldenburg.de [ ] Server: smtpsrv1.hrz.uni-oldenburg.de [ ]:925 Sender: Recipients: data: MessageID: From: 3demons_fire To: Cc: Subject: Please try again Scanning part [] Virus identity found: W32/Klez-G </log>

23 Viren Bemerkung Eine infizierte Mail enthält für gewöhnlich keine für den Empfänger relevante Information. Die Infektion erfolgt durch ungeprüfte Ausführung von Mail-Anhängen (attachments).

24 SPAM Mail Belästigung durch unverlangt zugeschickte Mails
Spam, eine Kurzform für "Spiced Pork and Ham", bezeichnet eigentlich ein rechteckiges und in Dosen gepreßtes Frühstücksfleisch. Seine unrühmliche Karriere als Metapher für Massenversand jeder Art verdankt die Speise einem Sketch der britischen Komiker Monty Pyton. Darin müssen Besucher eines Restaurants einsehen, daß es vor SPAM kein Entrinnen gibt. Adressen stammen aus einschlägigen News-Groups, die aus ihrer Affinität zu bestimmten Themen keinen Hehl machen. Daher fällt eine Zuordnung (Motorradfahrer, Vegetarier, Linux-Anwender) nicht schwer. Es werden Datenbanken mit Adressen aufgelistet nach Themen inklusive Software angeboten. Laut Gerichtsurteil gelten in Newsgruppen publizierte -Adressen als Allgemeingut der Internet-Benutzer.

25 SPAM Source-Filter Mails von gefälschten, nicht existierenden Domainen ablehnen Blacklists enthalten Domainen von denen SPAM-Mails verschickt wurden Nutzen Anwender diesen Server, so wird auch deren Mail nicht zugestellt Blacklists sind leicht zu umgehen Der Eintrag in eine Blacklist ist nicht immer kontrolliert Die Austragung aus einer Blacklist ist schwierig Open Relay-Blacklists enthalten Mail-Server die von überall Mails entgegen nehmen. Die Unzahl von Blacklists, die verwirrende Vielfalt und die zunehmende Zahl von Unschuldigen die geblockt werden, führen zu dem Schluß, daß allein damit kein sicherer SPAM-Schutz möglich ist.

26 SPAM Content-Filter Suche nach Auffälligkeiten im Message-Header und Message-Body Money, rich, big deal Teens, Young, Viagra Kein Betreff, grosse Fonts, Betreff enthält mehrere Ausrufezeichen Es wird der gesamte Inhalt einer Mail überprüft. Der Datenschutzbeauftragte ist im Vorfeld zu informieren.

27 SPAM-Filter im Detail Wo können wir bei der Prüfung ansetzen ?
MUA -Der Benutzer abonniert mehrere Blacklists. LDA - Das Programm auf dem Mail-Server, das für die lokale Ablage zuständig ist wird mit dem SPAM-Filter kombiniert. MTA - Der MTA wird mit einem SPAM-Filter kombiniert.

28 MUA -Der Benutzer übernimmt die Filterung
Realisierung: Es existiert eine Vielzahl von freien und kommerziellen Blacklists ( Vorteile: Schnell zu realisieren Nachteile: Welche Liste erbringt die erwünschte Leistung Blacklists sind relativ leicht zu umgehen Es werden unter Umständen Unschuldige geblockt

29 LDA - Filterung der lokalen Mail
Realisierung: Einsatz des OpenSource Programms SpamAssassin Vorteile: Selektive Filterung für einzelne Anwender möglich Einverständniserklärung des Empfängers möglich Filter werden zentral zur Verfügung gestellt Entscheidungshilfe für Anwender Nachteile: Erhöhter Konfigurationsaufwand. Es werden nur lokale Mails geprüft. Bei Relaying unterbleibt die Filterung. Performance Probleme

30 MDA – zentrale Filterung Mail
Realisierung: Einbinden des SPAM-Filters in die MDA-Konfiguration Für sendmail geschieht dies durch milter Vorteile: Filterung aller Mails Nachteile: Erhöhter Konfigurationsaufwand oder Programmieraufwand. Keine selektive Filterung für einzelne Anwender möglich. Keine Einverständniserklärung des einzelnen Empfängers möglich Datenschutzrechtlich umstritten

31 SpamAssassin – Arbeitsweise 1
Führt mittels vieler Module Tests an einer Mail durch und bewertet jeden Test nach einem Punktesysteme. Je mehr Punkte eine Mail erhält, um so grösser ist die Wahrscheinlichkeit, dass es sich um SPAM handelt. Die Liste der Tests ist für jeden offen einsehbar unter Über eigene Blacklists können Domainen automatisch abgewiesen werden Whitelists ermöglichen die Zustellung aus SPAM-Domainen

32 SpamAssassin Filter From Sun May 4 13:34: Return-Path: Received: from smtpsrv1.hrz.uni-oldenburg.de (smtpsrv1.hrz.uni-oldenburg.de [ ]) by mailsrv1.hrz.uni-oldenburg.de (8.12.8/8.12.8) with ESMTP id h44BYkXC001254 for Sun, 4 May :34: Received: from smtpsrv1.hrz.uni-oldenburg.de (localhost.localdomain [ ]) by smtpsrv1.hrz.uni-oldenburg.de (8.12.8/8.12.8) with ESMTP id h44BZSVa000455 for Sun, 4 May :35: Received: from mailgate.uni-oldenburg.de ([ ]) by smtpsrv1.hrz.uni-oldenburg.de (MailMonitor for SMTP v1.2.2 ) ; Sun, 4 May :35: (CEST) Received: from mail146.yankeweb.org ([ ]) by mailgate.uni-oldenburg.de (8.12.8/8.12.8) with SMTP id h44BZ6gb002961 for Sun, 4 May :35: To: Date: Sun, 4 May :49: Message-ID: X-Mailer: Mulberry/2.0.6b4 (Linux/x86) From: Subject: [SPAM] Make Extra Money filling out surveys!!! isoxgofh X-Spam-Status: Yes, hits=12.8 required=5.0 tests=PLING_PLING,NO_REAL_NAME,PLING,YOUR_INCOME, RCVD_IN_OSIRUSOFT_COM,X_OSIRU_SPAMWARE_SITE version=2.31

33 Subject: [SPAM] Make Extra Money filling out surveys!!! isoxgofh
X-Spam-Status: Yes, hits=12.8 required=5.0 tests=PLING_PLING,NO_REAL_NAME,PLING,YOUR_INCOME, RCVD_IN_OSIRUSOFT_COM,X_OSIRU_SPAMWARE_SITE version=2.31 X-Spam-Flag: YES X-Spam-Level: ************ X-Spam-Checker-Version: SpamAssassin 2.31 (devel $Id: SpamAssassin.pm,v /06/20 17:20:29 hughescr Exp $) SPAM: Start der SpamAssassin Auswertung SPAM: SPAM: Diese Mail ist wahrscheinlich Spam. Die Orginal-Nachricht wurde SPAM: geaendert, so das Sie aehnliche Mails in der Zukunft besser SPAM: erkennen und blockieren koennen. SPAM: Weitere Detals finden Sie unter der URL SPAM: Details der Inhaltsanalyse: (12.8 Punkte, 5 benoetigt) SPAM: PLING_PLING (0.8 points) Subject: enthaelt mehrere Ausrufezeichen SPAM: NO_REAL_NAME (0.5 points) From: enthaelt keinen echten Namen SPAM: PLING (0.1 points) Subject: enthaelt ein Ausrufezeichen SPAM: YOUR_INCOME (4.4 points) BODY: Doing something with my income SPAM: RCVD_IN_OSIRUSOFT_COM (2.0 points) RBL: Empfangen von einem Relais in der relays.osirusoft.com Liste SPAM: [RBL check: found relays.osirusoft.com., type: ] SPAM: X_OSIRU_SPAMWARE_SITE (5.0 points) RBL: DNSBL: Sender ist eine Spamware-Site oder -Hersteller SPAM: Ende der SpamAssassin Auswertung How would you like to earn $50 for completing a short survey? What about $100 for an hour of your time participating in a focus group?

34 SpamAssassin spamd spamc Der Daemon spamd wird einmal gestartet
Der Daemon lädt die SPAM-Tests procmail Das Kommando spamc prüft die Mail procmail ruft bei jeder Mailzustellung spamc auf. Für jede zu analysierende Mail wird das Kommando gestartet Wahlweise kann eine als SPAM identifizierte Mail in ein gesonderten Ordner abgelegt werden

35 Eingabe durch Anwender

36 Eingabe durch Anwender

37 Warum Open Source ? Keine Lizenzkosten Source Audit
Da die Programme als Quelle vorliegen, können Sie die Funktionalität exakt überprüfen Source Modification Sie können Teile der Quelle modifizieren, falls bestimmte Funktionen nicht ihren Vorgaben entsprechen Validation Da die Programme als Quelle vorliegen, können Sie genau definieren, was ein Programm kann oder nicht kann. Open Source System sind zu "härten" - gegen Eindringlinge zu schützen.

38 Zusätzliche Sicherheitsaspekte
Sicherung auf der Nachrichtenebene durch Verschlüsselung Benutzung von PGP (Pretty Good Privacy ) oder S/MIME - wichtig ! Erhöhung der Vertraulichkeit im Authentifizierungsprozeß durch imaps Sicherung des Datenverkehrs von Server zu Server Kommunikation über TLS-Kanäle ( Transport Layer Security ) Erhöhung der Vertraulichkeit im Authentifizierungsprozeß durch imaps Über MX Records die Mailserver in Ihrer Domaine zwingen physik.uni-oldenburg.de IN MX mailgate.uni-oldeburg.de Selektives Sperren von Port 25 auf dem Zugang zum Internet ( Firewall )

39 Danke für die Geduld Fragen ???

Herunterladen ppt "6. Tagung der DFN-Nutzergruppe Hochschulverwaltung"

Ähnliche Präsentationen

Be.as WEB Technologie 25.03.2017.

Be.as WEB Technologie
Von Florian Wirths und Fabian Janik

Von Florian Wirths und Fabian Janik
Anwendungen mit dem PC Schreibprogramme

Anwendungen mit dem PC Schreibprogramme
E-Mail.

.
Surfen im Internet.

Surfen im Internet.
Computeria Zürich Treff vom 1. November 2006 Spamihilator ein sehr wirksamer Spamfilter Ein Vortrag von René Brückner.

Computeria Zürich Treff vom 1. November 2006 Spamihilator ein sehr wirksamer Spamfilter Ein Vortrag von René Brückner.
7.3. Viren, Würmer, Trojaner Mail von der Nachbarin

7.3. Viren, Würmer, Trojaner Mail von der Nachbarin
Was ist eigentlich ein Computervirus?

Was ist eigentlich ein Computervirus?
Gefährdung durch Viren

Gefährdung durch Viren
Sicherheit in Rechnernetzen- Denial of Service- Attacken

Sicherheit in Rechnernetzen- Denial of Service- Attacken
1.WICHTIG: Bringen Sie Ihr Betriebssystem möglichst offline auf den aktuellen Stand. Insbesondere sollten Sie bei Verwendung von Windows XP nicht ohne.

1.WICHTIG: Bringen Sie Ihr Betriebssystem möglichst "offline" auf den aktuellen Stand. Insbesondere sollten Sie bei Verwendung von Windows XP nicht ohne.
Sicher durchs Internet

Sicher durchs Internet
Einführung in die Technik des Internets

Einführung in die Technik des Internets
Smartphones im Kanzleinetz Vergleich der technischen Umsetzung COLLEGA - TAG Freitag, 27. November 2009.

Smartphones im Kanzleinetz Vergleich der technischen Umsetzung COLLEGA - TAG Freitag, 27. November 2009.
Mailserver-Installation mit LDAP-Schnittstelle für die Firma XYZ GmbH

Mailserver-Installation mit LDAP-Schnittstelle für die Firma XYZ GmbH
Viren Würmer und Trojaner

Viren Würmer und Trojaner
Datei- übertragungs- Programm

Datei- übertragungs- Programm
Einstellungen im Web für Outlook

Einstellungen im Web für Outlook
Angriffe durch Viren, Würmer und Trojaner

Angriffe durch Viren, Würmer und Trojaner
Computerviren Inhaltsverzeichnis.

Computerviren Inhaltsverzeichnis.

Ähnliche Präsentationen

Google-Anzeigen