Die Präsentation wird geladen. Bitte warten

Die Präsentation wird geladen. Bitte warten

-Organisation: Viren und SPAM-Abwehr Jürgen Weiß Universität Oldenburg Hochschulrechenzentrum 6. Tagung der DFN-Nutzergruppe.

Ähnliche Präsentationen


Präsentation zum Thema: "-Organisation: Viren und SPAM-Abwehr Jürgen Weiß Universität Oldenburg Hochschulrechenzentrum 6. Tagung der DFN-Nutzergruppe."—  Präsentation transkript:

1 -Organisation: Viren und SPAM-Abwehr Jürgen Weiß Universität Oldenburg Hochschulrechenzentrum 6. Tagung der DFN-Nutzergruppe Hochschulverwaltung

2 Sicherheit Security is a process, not a product Bruce Schneier Siehe

3 Virus -Wall ● hat die Diskette als Hauptübertragungsweg von Computer- schädlingen aller Art ( Viren, Würmern und Trojanischen Pferden) längst abgelöst. ● Zur Zeit sind ca Viren bekannt; die Anzahl nimmt ständig zu. Betroffen sind vorwiegend Windows-basierte Rechner. Die verschiedenen Typen von Viren reichen von harmlos bis extrem bösartig. ● 5 Exemplare verursachen 95% aller Infektionen ● Eine absolute Sicherheit wird auch durch die Anwendung von Viren- Suchprogrammen nicht erreicht ! ● An der Universität Oldenburg gehen im Monat ca infizierte Mails ein

4 Viren, Würmer, Trojaner und Hoaxes ● Viren reproduzieren sich, indem sie den eigenen Programmcode in ein Wirtsprogramm einfügen. Das infizierte Programm übernimmt dann die Verbreitung des Virus. ● Würmer sind eigenständig ablaufende Programme, die sich über die Infra- struktur des Netzes ausbreiten. Sie infizieren keine Wirtsprogramme, können aber durchaus andere Programme benutzen. ● Trojanische Pferde sind Programme, die gewisse Funktionen vorgeben, gleichzeitig aber unerwünschte Nebenwirkungen haben. Im Gegensatz zu Viren und Würmern existiert keine Vermehrungsfunktion. Sie sind auf manuelle Weitergabe durch den Anwender angewiesen oder werden von Crackern auf einen System installiert. ● Warnung vor Viren, die keine sind - sogenannte Hoaxes. Diese Warnung stellt den eigentlichen Virus dar. Sie verunsichert Anwender, fordert auf, harmlose Dateien zu löschen oder initiiert Kettenbriefe.

5 Begriffe ● MTA - Mail Transport Agent ist für die Bearbeitung und Weiterleitung der Mails verantwortlich. Ähnlich einem Postamt. ( sendmail, postmail, exim ). ● MUA - Mail User Agent dient dem Anwender zur Erstellung der Mail. Ähnlich Papier und Stift. ( Outlook Express, Netscape, Pine, Pmail ) ● LDA - Local Delivery Agent ist für die Ablage der auf dem lokalen System zuständig. MUAMTA LDAMTA ● Relaying - Weiterleiten von Mails zwischen den Mail-Servern Relaying

6 Mail Auslieferung im Detail ● Der Anwender konfiguriert seinen MUA ( Outlook Express, Netscape, usw ). Dabei trägt er einen Server (SMTP-Gateway) für ausgehende Mails, und eine IMAP/ POP-Server für eingehende Mails ein. ● Der Anwender erstellt eine Nachricht für oldenburg.de und betätigt den "Senden" - Button ● Der MUA baut eine TCP-Verbindung auf Port 25 zum SMTP- Gateway auf. Auf dem SMTP-Gateway horcht ein MTA auf Port 25 und beantwortet den Verbindungsaufbau. Es werden Empfängeradresse und Message-Header sowie Message-Body übertragen. Der Client baut die Verbindung ab und informiert über mögliche Fehler.

7 Mail Auslieferung im Detail ● Der MTA speichert die Mail zwischen. Hier wartet sie auf ihre weitere Verarbeitung. ● Zur Weiterverabeitung wird der Domainteil von der - Addrese separiert. Der MTA führt eine DNS-MX Anfrage für uni- oldenburg.de an den Name-Server durch, der für diese Domaine authorisiert ist und erhält den Servernamen, z.B. mailsrv1.uni- oldenburg.de und die entsprechende IP-Adresse zurück. ● Der MTA baut eine Verbindung zum Port 25 auf auf. An den dort laufenden MTA werden Empfängeradresse und Message-Header sowie Message-Body übertragen.

8 Mail Auslieferung im Detail ● Der MTA auf mailsrv1.uni-oldenburg.de überprüft, ob er für die Domaine uni-oldenburg.de lokaler Server ist und sucht die Benutzerkennung meier ( /etc/passwd, NIS,LDAP). ● Der LDA auf mailsrv1.uni-oldenburg.de hängt die Mail an die persönliche Mailbox des Benutzers meier an ( /var/mail/meier). ● Der Auslieferungsvorgang ist damit abgeschlossen. Wie die Mail auf den Rechner des einzelnen Benutzers kommt, ist nicht Aufgabe des MTA.

9 Simple Mail Transfer Protokoll – SMTP # telnet mailsrv1.hrz.uni-oldenburg.de 25 Trying Connected to mailsrv1.hrz.uni-oldenburg.de ( ). Escape character is '^]'. 220 mailsrv1.hrz.uni-oldenburg.de ESMTP Sendmail /8.12.8; Mon, 5 May :22: HELO test 250 mailsrv1.hrz.uni-oldenburg.de Hello alibaba.hrz.uni-oldenburg.de [ ], pleased to meet you MAIL FROM: Sender ok RCPT TO: Recipient ok DATA 354 Enter mail, end with "." on a line by itself from: to: subject: Big Deal Hi Tony lets make a big deal ! h459MHXC Message accepted for delivery quit mailsrv1.hrz.uni-oldenburg.de closing connection Connection closed by foreign host. Versenden von Mail an Port 25

10 Ablage der Mail auf dem Server From Mon May 5 11:32: Return-Path: Received: from test (alibaba.hrz.uni-oldenburg.de [ ]) by mailsrv1.hrz.uni-oldenburg.de (8.12.8/8.12.8) with SMTP id h459MHXC for Mon, 5 May :23: Date: Mon, 5 May :22: Message-Id: from: to: subject: Big Deal Hi Tony lets make a big deal !

11 Mail aus Sicht des Anwenders

12 Virenprüfung im Detail Wo können wir bei der Prüfung ansetzen ? ● MUA -Der Benutzer installiert auf seinem Rechner einen Virenscanner. ● LDA - Das Programm auf dem Mail-Server, das für die lokale Ablage zuständig ist wird gegen einen Virenscanner ausgetauscht oder damit kombiniert. ● MTA - Dem MTA wird ein SMTP-Gateway vorgeschaltet, der an seiner Stelle auf Port 25 horcht, auf Viren scannt und dann an dem originären MTA weiterleitet.

13 MUA - Prüfung auf dem lokalen Rechner ● Es existieren eine Vielzahl von käuflichen und freien Virenscannern ( McAfee, Trend Micro, H+BEDV, Sophos uvm. ) ● Es werden alle Dateien - nicht nur Mails - überprüft ● Nicht alle Anwender installieren Virenscanner ● Unterlassene Updates der Virendatenbank wiegen den Anwender in scheinbarer Sicherheit ● Lizenzkosten Realisierung: Vorteile: Nachteile:

14 LDA - Prüfung der lokalen Mail ● Es steht eine größere Anzahl von Programmen zur Verfügung. Bespielhaft seien Amavis (A Mail Virus Scanner ) und virge zu nennen ● Überprüfung der Mails an einer zentralen Stelle ● Update der Virendatenbank an zentraler Stelle ● Erhöhter Konfigurationsaufwand. Erfordert detaillierte Kenntnisse über das Zusammenspiel zwischen MTA und LDA. ● Es werden nur lokale Mails geprüft. Bei Relaying unterbleibt eine Prüfung. ● Performance Probleme ● Lizenzkosten ( 2 EUR pro Mailbox - ca EUR ) Realisierung: Vorteile: Nachteile:

15 LDA Performance Scanner VirenDB Scanner VirenDB Klassische Arbeitsweise ● Der Scanner lädt einmalig dieVirenDB ● Es werden viele Dateien geprüft. Scanner VirenDB Scanner VirenDB ● Für jede zu analysierende Mail wird der Scanner gestartet und die Datenbank erneut geladen ● Die Scanner werden häufig unter Nutzung von Script-Sprachen (Perl) eingebunden

16 MTA - SMTP Gateway ● Kommerzielle Lösungen von Sophos, Trend Micro ● Überprüfung der Mails an einer zentralen Stelle ● Update der Virendatenbank an zentraler Stelle ● Einfache Installation ● Kann in der Default-Konfiguration als Open-Mail-Relay genutzt werden ● Lizenzkosten Realisierung: Vorteile: Nachteile:

17 MTA - SMTP Gateway MTA 925 SMTP Gateway 25 MTA 25 Auf dem Server wird der MTA ersetzt durch das SMTP-Gateway, das den Vorgang des Virenscannens übernimmt. Die Virendatenbank wird einmal beim Startup durch das SMTP-Gateway geladen.

18 MTA - SMTP Gateway MTA 925 SMTP Gateway 25 MTA 25 Ein SMTP-Gateway besitzt selten die volle Funktionalität eines MTAs. Um diese auf dem lokalen Server zu gewährleisten, ist es ratsam, den ausgetauschten MTA nachzuschalten. Um den Mißbrauch als Open-Mail-Relay zu verhindern, ist es zwingend erforderlich einen MTA vorzuschalten, der eine komplexe Zugriffslisten- verwaltung erlaubt. Die obige Konfiguration ist an der Universität Oldenburg realisiert. Es ist notwending die Virusdatenbank täglich zu aktualisieren !

19 MTA - SMTP Gateway in Oldenburg MTA 925 SMTP Gateway 25 MTA 25 mailgate.uni-oldenburg.de smtpsrv1.uni-oldenburg.de Mailgate ( Linux RedHat 8.0) ● MTA sendmail konfiguriert als nullclient Smtpsrv1 (Linux RedHat 8.0) ● SMTP-Gateway mmsmtpd Version der Firma Sophos ● MTA sendmail Vorteil: Da über die Universität Braunschweig eine Landeslizenz mit der Firma Sophos ausgehandelt wurde entstehen nahezu keine Zusatzkosten.

20 Funktionalitätsprüfung Testvirus: eicar.com ( ) Völlig ungefährliche ASCII Datei, deren Fingerprint von jedem Scanner erkannt wird.

21 Was passiert bei einer Infektion ? Der Absender erhält eine Mail, dass sein System infiziert ist ● Information, um welchen Virus es sich handelt Wird eine infizierte Mail gefunden, so werden folgende Aktionen durchgeführt Der Empfänger erhält eine Mail, dass ihm eine infizierte Mail zugestellt werden sollte. Es wird häufig zur Diskussion gestellt, ob dies notwendig ist ! ● Information, um welchen Virus es sich handelt ● Das Subject der Mail ● Wer der Absender der Mail war Auf dem SMTP-Gateway-Server werden Log-Dateien abgelegt ● Information, um welchen Virus es sich handelt ● Zeitpunkt des Empfangs und des Servers, von dem die Mail kam ● Der Absender und der Empfänger ● Die infizierte Mail wird in Quarantäne genommen Optional werden postmaster des sendenden und empfangenden Servers informiert

22 Log - Datei Message quarantined Refer to /var/log/mmsmtp/quarantine/qrt.XX6CslZW Job description: Client: mailgate.uni-oldenburg.de [ ] Server: smtpsrv1.hrz.uni-oldenburg.de [ ]:925 Sender: Recipients: data: MessageID: From: 3demons_fire To: Cc: Subject: Please try again Scanning part [] Virus identity found: W32/Klez-G

23 Viren Bemerkung Eine infizierte Mail enthält für gewöhnlich keine für den Empfänger relevante Information. Die Infektion erfolgt durch ungeprüfte Ausführung von Mail-Anhängen (attachments).

24 SPAM Mail Belästigung durch unverlangt zugeschickte Mails Spam, eine Kurzform für "Spiced Pork and Ham", bezeichnet eigentlich ein rechteckiges und in Dosen gepreßtes Frühstücksfleisch. Seine unrühmliche Karriere als Metapher für Massenversand jeder Art verdankt die Speise einem Sketch der britischen Komiker Monty Pyton. Darin müssen Besucher eines Restaurants einsehen, daß es vor SPAM kein Entrinnen gibt. Adressen stammen aus einschlägigen News-Groups, die aus ihrer Affinität zu bestimmten Themen keinen Hehl machen. Daher fällt eine Zuordnung (Motorradfahrer, Vegetarier, Linux-Anwender) nicht schwer. Laut Gerichtsurteil gelten in Newsgruppen publizierte -Adressen als Allgemeingut der Internet-Benutzer. Es werden Datenbanken mit Adressen aufgelistet nach Themen inklusive Software angeboten.

25 SPAM Source-Filter Open Relay-Blacklists enthalten Mail-Server die von überall Mails entgegen nehmen. Die Unzahl von Blacklists, die verwirrende Vielfalt und die zunehmende Zahl von Unschuldigen die geblockt werden, führen zu dem Schluß, daß allein damit kein sicherer SPAM-Schutz möglich ist. Mails von gefälschten, nicht existierenden Domainen ablehnen Blacklists enthalten Domainen von denen SPAM-Mails verschickt wurden ● Nutzen Anwender diesen Server, so wird auch deren Mail nicht zugestellt ● Blacklists sind leicht zu umgehen ● Der Eintrag in eine Blacklist ist nicht immer kontrolliert ● Die Austragung aus einer Blacklist ist schwierig

26 SPAM Content-Filter Suche nach Auffälligkeiten im Message-Header und Message-Body ● Money, rich, big deal ● Teens, Young, Viagra ● Kein Betreff, grosse Fonts, Betreff enthält mehrere Ausrufezeichen Es wird der gesamte Inhalt einer Mail überprüft. Der Datenschutzbeauftragte ist im Vorfeld zu informieren.

27 SPAM-Filter im Detail Wo können wir bei der Prüfung ansetzen ? ● MUA -Der Benutzer abonniert mehrere Blacklists. ● LDA - Das Programm auf dem Mail-Server, das für die lokale Ablage zuständig ist wird mit dem SPAM-Filter kombiniert. ● MTA - Der MTA wird mit einem SPAM-Filter kombiniert.

28 MUA -Der Benutzer übernimmt die Filterung ● Es existiert eine Vielzahl von freien und kommerziellen Blacklists ( ● Schnell zu realisieren ● Welche Liste erbringt die erwünschte Leistung ● Blacklists sind relativ leicht zu umgehen ● Es werden unter Umständen Unschuldige geblockt Realisierung: Vorteile: Nachteile:

29 LDA - Filterung der lokalen Mail ● Einsatz des OpenSource Programms SpamAssassin ● Selektive Filterung für einzelne Anwender möglich ● Einverständniserklärung des Empfängers möglich ● Filter werden zentral zur Verfügung gestellt ● Entscheidungshilfe für Anwender ● Erhöhter Konfigurationsaufwand. ● Es werden nur lokale Mails geprüft. Bei Relaying unterbleibt die Filterung. ● Performance Probleme Realisierung: Vorteile: Nachteile:

30 MDA – zentrale Filterung Mail ● Einbinden des SPAM-Filters in die MDA-Konfiguration Für sendmail geschieht dies durch milter ● Filterung aller Mails ● Erhöhter Konfigurationsaufwand oder Programmieraufwand. ● Keine selektive Filterung für einzelne Anwender möglich. ● Keine Einverständniserklärung des einzelnen Empfängers möglich ● Datenschutzrechtlich umstritten Realisierung: Vorteile: Nachteile:

31 SpamAssassin – Arbeitsweise 1 Führt mittels vieler Module Tests an einer Mail durch und bewertet jeden Test nach einem Punktesysteme. Je mehr Punkte eine Mail erhält, um so grösser ist die Wahrscheinlichkeit, dass es sich um SPAM handelt. Die Liste der Tests ist für jeden offen einsehbar unter Über eigene Blacklists können Domainen automatisch abgewiesen werden Whitelists ermöglichen die Zustellung aus SPAM-Domainen

32 SpamAssassin Filter From Sun May 4 13:34: Return-Path: Received: from smtpsrv1.hrz.uni-oldenburg.de (smtpsrv1.hrz.uni-oldenburg.de [ ]) by mailsrv1.hrz.uni-oldenburg.de (8.12.8/8.12.8) with ESMTP id h44BYkXC for ; Sun, 4 May :34: Received: from smtpsrv1.hrz.uni-oldenburg.de (localhost.localdomain [ ]) by smtpsrv1.hrz.uni-oldenburg.de (8.12.8/8.12.8) with ESMTP id h44BZSVa for ; Sun, 4 May :35: Received: from mailgate.uni-oldenburg.de ([ ]) by smtpsrv1.hrz.uni-oldenburg.de (MailMonitor for SMTP v1.2.2 ) ; Sun, 4 May :35: (CEST) Received: from mail146.yankeweb.org ([ ]) by mailgate.uni-oldenburg.de (8.12.8/8.12.8) with SMTP id h44BZ6gb for ; Sun, 4 May :35: To: Date: Sun, 4 May :49: Message-ID: X-Mailer: Mulberry/2.0.6b4 (Linux/x86) From: Subject: [SPAM] Make Extra Money filling out surveys!!! isoxgofh X-Spam-Status: Yes, hits=12.8 required=5.0 tests=PLING_PLING,NO_REAL_NAME,PLING,YOUR_INCOME, RCVD_IN_OSIRUSOFT_COM,X_OSIRU_SPAMWARE_SITE version=2.31

33 Subject: [SPAM] Make Extra Money filling out surveys!!! isoxgofh X-Spam-Status: Yes, hits=12.8 required=5.0 tests=PLING_PLING,NO_REAL_NAME,PLING,YOUR_INCOME, RCVD_IN_OSIRUSOFT_COM,X_OSIRU_SPAMWARE_SITE version=2.31 X-Spam-Flag: YES X-Spam-Level: ************ X-Spam-Checker-Version: SpamAssassin 2.31 (devel $Id: SpamAssassin.pm,v /06/20 17:20:29 hughescr Exp $) SPAM: Start der SpamAssassin Auswertung SPAM: SPAM: Diese Mail ist wahrscheinlich Spam. Die Orginal-Nachricht wurde SPAM: geaendert, so das Sie aehnliche Mails in der Zukunft besser SPAM: erkennen und blockieren koennen. SPAM: Weitere Detals finden Sie unter der URL SPAM: SPAM: Details der Inhaltsanalyse: (12.8 Punkte, 5 benoetigt) SPAM: PLING_PLING (0.8 points) Subject: enthaelt mehrere Ausrufezeichen SPAM: NO_REAL_NAME (0.5 points) From: enthaelt keinen echten Namen SPAM: PLING (0.1 points) Subject: enthaelt ein Ausrufezeichen SPAM: YOUR_INCOME (4.4 points) BODY: Doing something with my income SPAM: RCVD_IN_OSIRUSOFT_COM (2.0 points) RBL: Empfangen von einem Relais in der relays.osirusoft.com Liste SPAM: [RBL check: found relays.osirusoft.com., type: ] SPAM: X_OSIRU_SPAMWARE_SITE (5.0 points) RBL: DNSBL: Sender ist eine Spamware-Site oder -Hersteller SPAM: SPAM: Ende der SpamAssassin Auswertung How would you like to earn $50 for completing a short survey? What about $100 for an hour of your time participating in a focus group?

34 SpamAssassin procmail spamc Der Daemon spamd wird einmal gestartet ● Der Daemon lädt die SPAM-Tests ● Für jede zu analysierende Mail wird das Kommando gestartet ● Wahlweise kann eine als SPAM identifizierte Mail in ein gesonderten Ordner abgelegt werden spamd Das Kommando spamc prüft die Mail ● procmail ruft bei jeder Mailzustellung spamc auf.

35 Eingabe durch Anwender

36

37 Warum Open Source ? Keine Lizenzkosten Source Audit ● Da die Programme als Quelle vorliegen, können Sie die Funktionalität exakt überprüfen Source Modification ● Sie können Teile der Quelle modifizieren, falls bestimmte Funktionen nicht ihren Vorgaben entsprechen Validation ● Da die Programme als Quelle vorliegen, können Sie genau definieren, was ein Programm kann oder nicht kann. Open Source System sind zu "härten" - gegen Eindringlinge zu schützen.

38 Zusätzliche Sicherheitsaspekte Selektives Sperren von Port 25 auf dem Zugang zum Internet ( Firewall ) Über MX Records die Mailserver in Ihrer Domaine zwingen ● physik.uni-oldenburg.deIN MX mailgate.uni-oldeburg.de Sicherung auf der Nachrichtenebene durch Verschlüsselung ● Benutzung von PGP (Pretty Good Privacy ) oder S/MIME - wichtig ! ● Erhöhung der Vertraulichkeit im Authentifizierungsprozeß durch imaps Sicherung des Datenverkehrs von Server zu Server ● Kommunikation über TLS-Kanäle ( Transport Layer Security ) ● Erhöhung der Vertraulichkeit im Authentifizierungsprozeß durch imaps

39 Danke für die Geduld Fragen ???


Herunterladen ppt "-Organisation: Viren und SPAM-Abwehr Jürgen Weiß Universität Oldenburg Hochschulrechenzentrum 6. Tagung der DFN-Nutzergruppe."

Ähnliche Präsentationen


Google-Anzeigen