ComputerPartner 30/02 vom 01.08.2002

• Von wegen abgesichertVirenscanner und Firewall alleine reichen nicht

• Viren und Trojaner sind inzwischen in der Tat weitgehend „unter Kontrolle “. Neu auftauchende Sicherheitsrisiken aber realisieren die Manager noch nicht.

• Rund die Hälfte der Befragten hat bislang mehr unter Nachlässigkeit oder Irrtum in den eigenen Reihen, zum Beispiel beim Umgang mit E-mails, gelitten.

• Appliances setzen sich durch

ComputerPartner 30/02 vom 01.08.2002

Agenda

• BorderWare MXtreme Mail Firewall

• Bedrohungen und Lösungen

• (Fallstudie)

• Fazit

Was ist eine Mail Firewall?• Speziell designte Firewall Appliance, ausgelegt um das interne

Mail System vor Angriffen von außerhalb zu schützen. • Verarbeitet alle Emails, welche versandt oder von externen

Systemen empfangen werden: – Kontrolliert auf Spam, Relay, Mail-Bomben etc. – Sicherer Generischer und Outlook Web Mail Access – Store and Forward, Routing, Zustellung, Adresse verbergen– Vollständigkeit der Nachricht erzwingen– Sicheres Arbeitsumfeld– Optional Hochleistungs - Virus Scanning– Content filtering

Internal MailServers

Internet

Firewall

Mail Firewall

Die BorderWare MXtreme Mail Firewall

Repeater

Router

• Sichere Netzwerk Appliance beinhaltet: – Gehärtetes Betriebssystem – Sicheres Mail Handling, Routing, und Zustellungsdienste– Content Filter für Viren, Spam, Attachments und

Nachrichten-Eigenschaften– Web Mail Interface mit Verschlüsselung und

Authentifizierung– Verschlüsselung für sichere Nachrichtenzustellung

• Drei Modelle:– BMF-200 - kleine Firmen, Zweigniederlassung– BMF-400 - mid HQ, Internationale Offices– BMF-800 - Enterprise

• Optional High-Performance Virus Scanning

Installation nahe der vorhandenen Firewall

Internet

Blacklist

ANTIVIRUS

Jede Mail von Mxtreme entgegengenommenMail wir gecached

und kontrolliert

Checks gegen Black List Server

Checks auf Viren, Trojaner

Syntax

Syntax Kontrolle (Klez)

Spam

MXtreme Internet Firewall

Mail Servers

Unterbindet direkte Verbindungen

MXtreme in Action

Mail sicher zugestellt Sicherer OWA

Einsatz mit vorhandenen Mail Servern • Plug and play• Einfachste Integration in

jedes bestehende Mail System

• Simple Konfiguration beugt Fehlern vor

• Kein besonderes Fachwissen notwendig

• Web basierendes AdminInterface für Remote Management

Mail Servers

MXtreme

Firewall

Komplettes, sicheres Mail System für kleine Unternehmen • Mail-Server Lösung für

KMU´s – POP, IMAP, SMTP

• Unterstützt ~100 Accountsund 20,000 Nachrichten pro Tag (empf.)

• Sicherer Webmail Access der Enterprise-Klasse für kleine Unternehmen

• Ermöglicht KMU´s ihr Mail System selbst zu übernehmen

Firewall

MXtreme

Wer braucht eine Mail Firewall?• Wo immer:

– Mail Server installiert sind– Die Sicherheit auf jedem Mail Server

möglicherweise nicht jederzeit auf dem aktuellsten Stand ist

– Die Kosten für Bereinigung nach einem Sicherheitsleck höher sein können als die für Prävention

– Sicherer Webmail Access die Kosten reduzieren und die Produktivität sowie den Wettbewerbsvorteil erhöhen könnten

– Mail Würmer und Spam empfangen werden könnenMail Server sind momentan die schwächsten Stellen -

Attacken richten sich auf schwache Stellen!

Bedrohungen für Mail Systeme und die Lösungen von BorderWare

"Email as a communication medium is under attack," Steve Atkins auf derAnti-Spam Website Sam Spade.

http://www.wired.com/news/print/0,1294,50455,00.html

Neue Bedrohungen - Neue Lösungen• Die Bedrohungen aus dem Internet haben sich gewandelt

– Internet Firewalls in der zugedachten Rolle erfolgreich– Applikationen und Angriffe sind komplizierter geworden– Firewalls sollen nicht auf Anwendungslevel schützen– Mail benötigt eingehende Verbindungen von unbekannten Systemen

• BorderWare MXtreme zentralisiert Mail Security– Speziell für die größte Applikation von heute gebaut: Mail– Managet die Komplexität moderner Mail Security – Sichere Abgrenzung zwischen Intranet und Internet Mail

“Enterprises should, in 2002, begin planning for implementing application-specific firewall functions.”

Gartner GroupJanuar 2002

Einige existierende Mail-Risiken

• OS des Mail Servers mit Buffer Overflow via MalformedMessages, vorbei am Antivirus, angegriffen

• Direkte SMTP Verbindungen werden von Hackern ausgenutzt• Outlook Web Access – benötigt Windows, Exchange und IIS

(jedes enthält hunderte Fehler)• Outlook repariert und führt Malformed Messages „hilfreich“

aus – an Antivirus Scannern vorbei! • Haftbarmachung und Produktivitätsverlust durch Spam und

Mail-Missbrauch • Und so weiter (auf www.borderware.com ist eine Liste von 38

ernstzunehmenden Risiken)

Gefahr fürs BusinessServiceverlust, Vertraulichkeitsverlust

Infektion durch Viren und Würmer, Dienstmissbrauch, Dienstverlust

Relaying von Würmern und Spam. Dienstverlust, Vertrauensverlust

Dienstverlust, System Gefährdung, Netzwerk Gefährdung

Dienstverlust, System Gefährdung, Netzwerk Gefährdung

BedrohungWeb Mail und Remote Access

Spam, Viren & MalformedMessages

Mail Relay, Mail Flooding,Ungewollte Unterbrechung

System Schwachstellen &Denial of Service

Physischer Serverzugriff

Gegenwärtige Verluste durch Mail Risiken

AccessContentDelivery

OSPhysical

Risiken entfernen, Kosten reduzierenMXtreme´s AntwortBedrohungen

Sicher authentifizierter, verschlüsselter Web Access und OWA Proxy

Überprüfung der Nachrichtenintegrität, Spam-Schutz, Optional Anti-Virus.

Gehärteter SMTP Server mit durchdachter Zustellung und Routing.

Gehärtetes OS: vereitelt Buffer-Overflow, Stack- und Netzwerkangriffe.

Architektur der Appliance verhindert Zugriffe und Konsolen-Angriffe.

Web Mail und Remote Access

Spam, Viren, & MalformedMessages

Mail Relay, Mail Flooding,Ungewollte Unterbrechung

Systemschwachstellen &Denial of Service

Physischer Serverzugriff

AccessContentDelivery

OSPhysical

Physikalische Sicherheit

• MXtreme wird als sichere Appliance ausgeliefert– Kein CD-Laufwerk– Kein Floppy-Laufwerk

• Eingeschränkter Zugriff über Konsole

• Keine Login Shell• Verhütet unautorisierte Eingriffe

AccessContentDelivery

OSPhysical

Sicheres Betriebssystem

• Die meisten Mail Produkte laufen auf Standard - Betriebssystemen

• Allgemein gebräuchliche Betriebssysteme wurden nicht für High-Security designed

• In Mehrzweck-Betriebssystemen sind viele Verwundbarkeiten bekannt– Ziel der Weiterentwicklung von Hacks, konstanter

Strom neuer Angriffe – Aufrechterhaltung eines aktuellen Patch-Status für

Anwendung und OS verursacht eine hohe Wahrscheinlichkeit für Verwundbarkeiten

AccessContentDelivery

OSPhysical

Beispiel für verwundbare Betriebssysteme

Sicheres Betriebssystem• MXtreme baut auf dem gehärteten S-Core

Betriebssystem auf• S-Core wurde von BorderWare als

sicheres Betriebsystem für Server, Firewalls und andere spezialisierte Systeme entwickelt

• Schützt vor– Buffer Overflow Angriffen– Denial of Service Angriffen

• S-Core gegenwärtig als Bestandteil des Mail Gateway in der Common Criteria EAL4 Certification

• EAL4+ zertifiziert als Bestandteil anderer Produkte

AccessContentDelivery

OSPhysical

Auszug der von S-Core gestoppten Angriffe

• Ack Storms• ARP Attacks• Buffer Overflow• Forged source

address• FTP bounce attacks• Ghost Routing

attacks• ICMP broadcast and

protocol tunnelling• IP Spoofing• Land attacks

• Log Manipulation• Malformed packet attacks• Network probes• Packet fragmentation

Attacks• Ping of Death• Sequence number prediction• Session Hijacking• Source routed packets• SNMP attacks• SYN flood attacks• Key generation attacks

AccessContentDelivery

OSPhysical

Sichere Mail Zustellung• Relaying, Denial of Service und andere

Attacken verursachen Millionenschäden durch verschwendete Ressourcen

• Internet Mail Protokoll wurde 1982 definiert– Zustellung im Klartext, un-vertraulich– Offenes und kooperatives Verhalten (ein Server

nimmt jede Nachricht entgegen und versucht sie zuzustellen)

• Ansatz funktioniert unter heutigen Umständen nicht mehr

• Mail Server werden benutzt andere Netzwerke mit SPAM einzudecken

AccessContentDelivery

OSPhysical

Sichere Mail Zustellung

• MXtreme bietet– Mail Verschlüsselung für

Vertraulichkeit der Nachrichten– Routing und Mail Address

Translation um die interne Netzstruktur zu verbergen

– Relay Kontrollen um vor illegalem Message Routing zu schützen

AccessContentDelivery

OSPhysical

Sichere Mail Zustellung- Verschlüsselung

AccessContentDelivery

OSPhysical

• Schützt Vertraulichkeit der Nachricht• Verschlüsselt die zu anderen TLS

unterstützenden Systemen übermittelte Nachricht– Andere MXtreme’s– Microsoft Outlook – Exchange– Andere Systeme mit RFC 2487 Unterstützung

• Grosse Bandbreite Verschlüsselungsalgorithmen unterstützt

Sichere Mail Zustellung- Verschlüsselung

• End-to-End Message Encryption• Funktioniert mit jedem Email Client

AccessContentDelivery

OSPhysical

MXtreme MXtreme

VerschlüsselteZustellung

mit TLS(SSL)

Email ClientMail Server

Sichere Mail Zustellung- Routing und Mail Address Translation

• Zentralisiert alle Routing Funktionalitäten • Bietet einen einzigen Zustellungsort im

Internet, wobei alle Details des Internen Netzwerkes verborgen werden

• Verbirgt interne Mail Adressen– Mail vergleichbar mit Network Address

Translation– Erzwingt Unternehmens-Adress-Standards

AccessContentDelivery

OSPhysical

Sichere Mail Zustellung- Routing und Mail Address Translation

AccessContentDelivery

OSPhysical

fred@sales.abc.com

fred@abc.com

john@sales.div1.abc.com

mary@sales.div2.abc.com

sales@abc.com

paul@branch1.abc.com

paul@abc.com

Branch office

(controlledrelay)MXtreme

Sichere Mail Zustellung- Mail Relay Kontrollen

AccessContentDelivery

OSPhysical

• Mail Server, die nach den Protokoll-Definitionen von 1983 arbeiten sind Open Relays

• Einfach zu hijacken für Spam Relaying• Alles disabeln ist problematisch, es gibt

legitimen Bedarf• MXtreme relayed nicht default- mäßig, bietet

aber kontrolliertes Relay wo Bedarf herrscht• Schützt Ihren Mail Server davor eine Spam-

Quelle zu werden

Mail Relay Exploited by Spammers“Unfortunately, the spammers have started to take

advantage of a problem that is facing the world - openmail relay servers throughout Asia, primarily China and Taiwan. Now it's gotten to the point that if I see an IP address starting with 212 or 210, I usually do nothingbecause I know what will happen, Nothing.

ISPs throughout the world are not just complaining, they'recompletely blocking the entire IP address range forChina, Taiwan, and any other Asian country that refusesto do anything about the spam situation.”

John Bergerhttp://www.bityard.com/article.php?sid=110

AccessContentDelivery

OSPhysical

Sicherer Mail Content

• Mail Policies verlässlich vorzuschreiben ist schwierig

• Viren und Würmer kommen über die Mail Server ins Netzwerk

• Unreglementierte Attachments verursachen eine Vielzahl Probleme

AccessContentDelivery

OSPhysical

KLEZCODE REDNIMDA

Sicherer Mail Content

• Malformed Messages verursachen ernsthafte Sicherheitsprobleme– Exchange Denial of Service

Attack– Zustellungsprobleme für viele

Server– Umgehen Anti-Virus Kontrollen

• Vorfälle häufen sich• MXtreme weist falsch formatierte

Nachrichten zurück

- Message Integrity Checks

AccessContentDelivery

OSPhysical

Sicherer Mail Content- Exchange Denial of Service Verwundbarkeit

Sicherer Mail Content- Content Kontrollen

AccessContentDelivery

OSPhysical

• Nachrichten gefiltert nach– Sender und Empfänger– Schlüsselwörtern– Attachment Typ– Attachment Name

• Kontrolliert die Spam-Menge und setzt Policy Management in Kraft

- Anti-Virus OptionSicherer Mail Content

AccessContentDelivery

OSPhysical

• MXtreme unterstützt optional Virus Scanning

• Für Unternehmen ohne AV oder als 2ten

Schutzwall• Extreme High Performance, bewältigt

über 1,000,000 Nachrichten pro Tag• Pattern File vollautomatisch upgedated

Sicheres Remote Mail- Web Mail und Remote Access Risiken

AccessContentDelivery

OSPhysical

• Webmail Service ist populär und leicht zu benutzen, aber schwer zu schützen– Öffentliches Webmail umgeht die Security Policies

• OWA benötigt Exchange, IIS und NT– Alle drei haben etliche bekannte Schwachstellen– Signifikantes Ziel für Hacker– Schwache Remote Access Authentifizierung

• VPN Zugang nicht immer möglich– Kosten des Mobilen Equipments schränken die

Verwendung ein– Webmail auf jedem beliebigen Computer verfügbar

Sicheres Remote Mail- Sicheres Web Mail

• MXtreme bietet zwei Lösungen:• BorderPost

– Web Front-End für jeden Email Server, inklusive Exchange, Notes, Groupwise, Unix basierende Mail Systeme oder Stand-Alone

– Bietet jedem MXtreme User sicheren Mail Access von jedem mit dem Web verbundenen Computer

• Outlook Web Access Proxy– Sicheres Front-End für OWA, bietet volle OWA

Funktionalitäten– SecurID und Radius Authentifizierung zu OWA

hinzugefügt

AccessContentDelivery

OSPhysical

Fallstudie - Gemeindeverwaltung• Eine der Top-Ten Städte Nordamerikas in den

Wachstumsraten• 700,000+ Bevölkerung• 2,000 Angestellte im Rathaus• Notes Server benötigten Schutz• Schwierig jeder Attacke in diesem großen Umfeld zu

begegnen • Schwierig Mail Policy durchzusetzen• Remote Access Anforderungen unerschwinglich

Fallstudie - Implementation

• Schützt die Notes Servers

• Policy zentral erzwungen

• Stoppt Klez von Anfang an

• Bietet den benötigten Highest-Performance Netzwerk-Antivirus

• Bietet sicheren Webmail Access

MXtreme

Internet

Any Web PC

Firewall

Mail Servers

NotesNotes

Sicheres Web Mail, mit Verschlüsselung und Authentifizierung

- Komplettiert die Mail-Sicherheits-LösungBorderWare MXtreme Mail Firewall

AccessContentDelivery

OSPhysical

Message Integrity Checks, Content und Attachment Kontrolle, Spam und AV Kontrolle

Nachrichtenverschlüsselung, Routing und Address Hiding, Relay Kontrollen

Schutz vor Buffer Overflow und Denial of Service Attacken

Physische Sicherheit

MXtreme Preise

• BMF-200 (Kleine Unternehmen, Zweigniederlassung)– $6,000

• BMF-400 (KMU, Hauptniederlassung)– $18,000

• BMF-800 (Global Player)– $42,000

Preise:Enthalten erstes Jahr Support und HardwaregarantieOptional Anti-Virus Option

BMF-200

• Chassis: Mini 1u • CPU: Pentium4 1.4 Ghz, • RAM: 256 MB, PC133 RAM • Disk: 1 x 40 GB • NICs: 1 x 10/100 onboard

• Recommended for small businesses, branch offices etc.

BMF-400

• Chassis: 1U • CPU: Pentium 4 1.7 Ghz,

• RAM: 512 MB ECC, DDR RAM

• Disk: 2 x 40 GB ATA 100 with RAID

• NICs: 2 x 10/100 onboard, 1 x 10/100/1000 PCI

• Recommended for medium/large businesses.

BMF-800

• Chassis: 2U• CPU: Pentium 4 2.0 Ghz,

512Kb cache• RAM: 1 GB ECC, DDR RAM • Disk: 4 x 40 GB ATA 100 (RAID

0+1)• NICs: 2 x 10/100 onboard, 2 x

10/100/1000 PCI • Hot swappable, redundant

power supply.

• Recommended for large enterprises/institutions

MXtreme Produkt Status

• Öffentlicher Launch und Versand– 25. September 2002

• Preview Produkt verfügbar (beschränkte Stückzahl)– Anfang September 2002

Über BorderWare Technologies

• Gegründet 1998 von den ursprünglichen Entwicklern des BorderWare Firewall Servers

• Heute ca. 60 Mitarbeiter• Niederlassungen in:

– Mississauga/Toronto, Kanada– San Jose, CA, USA– South Riding, VA, USA– London, UK– Stockholm, Schweden– Weinheim bei Heidelberg

Zusammenfassung• Kunden erleiden Verluste durch Verwendung von Mail

• Server- und Workstation-Lösungen sind unzureichend

• Kontrolle des Mailverkehrs auf Netzwerklevel ist kritisch

• Remote Access auf Mail ist essentiell für Business

• BorderWare MXtreme Mail Firewall ist die einzige

umfassende Lösung für Email-Security