校園資訊安全防護的利器-Symantec病毒防護系統 諮安科技股份有限公司 工程師 董家銘
賽門鐵克病毒分類 病毒 病蟲 巨集病毒 特洛依木馬 惡作劇 玩笑 反防毒病毒 變種病毒 變異型病毒
完整的安全防護方案 SAV Ex/Notes SAVCE SCS 用戶端安全防護 SWS Gateway SCS 用戶端安全防護 SCS Firewall SMTP Notes NT Server Windows 9x SWS Gateway SCS 用戶端安全防護 Exchange W2K Server Windows NT SCS 用戶端安全防護 NetWare Windows 2K Gateway Groupware Server Desktop
Server/Client 防護
NT(sp6a)/W2K Workstation SAVCE架構示意圖 SAV 防毒主機群組 NetWare Server NT/W2K Workstation NT/W2K Server 主要 SAV 伺服器 NetWare Server NT/W2K Workstation NT/W2K Server 次要 SAV 伺服器 Win9x(No win95) NT(sp6a)/W2K Workstation NT/W2K Server/XP DOS/Win3x SAV 用戶端
SAV名詞解釋 主要伺服器 次要伺服器 父系伺服器 伺服器群組 用戶端群組 用戶端電腦
SAVCE元件介紹 SSC中央主控台 SAV伺服器及用戶端 AMS2警訊伺服器 中央隔離所 中央隔離所主控台 Packager Live Update管理員
用戶端種類 受管理型 分配群組 未分配群組 有時受管理型 未受管理型 簡化管理型
SAV Client安裝方式 NetWare Login Script Windows NT Logon Script 從SAV Server分享資料夾VPHOME 使用Packager部署工具 遠端安裝 for NT平台 網頁安裝(支援IIS4.0、Apache1.3.12) 光碟安裝 影像檔安裝
病毒定義檔更新方式
NAVEX NAVEX (Norton AntiVirus Extension) 將掃描引擎自掃描軟體中分離出來成為一個可迅速以 LiveUpdate 更新的模組。 所有諾頓防毒軟體均共用同一個模組。 掃描引擎更新後無須重新啟動電腦。 掃毒應用軟體 掃描引擎 病毒碼 其他防毒軟體 掃毒應用軟體 NAVEX 掃描引擎 病毒定義檔 諾頓防毒軟體 掃毒軟體更新較複 雜且須長時間測試 掃描引擎必須與掃 毒軟體一起更新 病毒定義檔案更新 通常較容易且迅速
更新病毒定義檔 VDTM 使用LiveUpdate 外部 內部 排程更新(不使用LiveUpdate) 手動更新
使用VDTM更新 優點 缺點 僅主要伺服器更新即可 簡易組態 伺服器更新後,用戶端可在短時間內更新 一個按鍵可更新企業防毒系統 佔用較少頻寬 無法作軟體更新
VDTM (Virus Definition Transport Method) Internet 架設 SAV防毒群組 主要 SAV 伺服器 次要 SAV 伺服器 SAV 用戶端
使用外部更新伺服器 優點 設定較簡單 較少的維護 缺點 佔用較多對外頻寬,降低效能 部署至用戶端前無法測試
透過 Internet 執行 LiveUpdate 賽門鐵克產品 賽門鐵克產品
使用內部更新伺服器 優點 佔用較少對外頻寬 套用至用戶端前可先測試 缺點 需要較多設定 需建一台內部更新伺服器 需要更多的維護
架設企業內部 LiveUpdate 伺服器 LiveUpdate 伺服器 賽門鐵克產品 賽門鐵克產品
4-1.自動下載病毒定義檔 http://www.symantec.com.tw/
4-2.手動下載病毒定義檔 Http://www.symantec.com
用戶端與伺服器的溝通方式(一) 如果一切正確, 伺服器不回應。 用戶端預設自開機後 每60分鐘傳送1K的 狀態封包給伺服器。 SAV 伺服器 1K Status Report 用戶端預設自開機後 每60分鐘傳送1K的 狀態封包給伺服器。 SAV 用戶端
用戶端與伺服器的溝通方式(二) 如果設定不正確,伺服器會傳送GRC.DAT檔案給用戶端。 用戶端收到並自動處理GRC.DAT後會將其刪除。 GRC.DAT (3K) 如果設定不正確,伺服器會傳送GRC.DAT檔案給用戶端。 SAV 伺服器 用戶端收到並自動處理GRC.DAT後會將其刪除。 SAV 用戶端
用戶端與伺服器的溝通方式(三) 伺服器會依照要求先後順序依次排列。 SAV 伺服器 Def. Request 如果GRC.DAT檔案指出病毒定義必須更新,則用戶端會向伺服器提出更新要求。 SAV 用戶端
用戶端與伺服器的溝通方式(四) 用戶端自動更新掃描引擎與定義檔案 伺服器傳送定義檔案給用戶端。 SAV 伺服器 Def. File (80K) 伺服器傳送定義檔案給用戶端。 SAV 用戶端
賽門鐵克安全回應機制
掃描與傳送 (Scan & Delivery) 透過 Internet 自動將可疑的檔案傳送給 SSRC 進行分析與接受解決方案 配合保密需求,可自動將文件型檔案的內容在傳送前移除,僅傳送可疑的巨集樣本。
賽門鐵克安全回應中心-SSRC 利用 IBM 開發的人工智慧主機提供自動偵測、分析與修復病毒、加速對快速成長的病毒之回應時間。 賽門鐵克的新自動化技術曾在不到一個小時內產生梅莉莎(Melissa)病毒的解決方法! 代替人工處理超過 90% 以上的病毒樣本。
賽門鐵克數位免疫系統 1 2 5 6 3 4 7 病毒警示 病毒培養皿 工作站 NAVCE主機 / 中央隔離所 IBM 主機 分析病毒的 / 中央隔離所 3 5 IBM 主機 分析病毒的 行為與結構 工作站 6 4 某企業網路 取得特徵 工作站 工作站 Let’s say that an unknown virus has infected your machine. If NAV with the Digital Immune System is protecting your machine, it will forward the virus sample to an administrative machine (1). This administrative machine will in turn send an encrypted sample of the virus to a central virus-analysis machine (2). (Note: It will even strip out the data from the file so that customers do not have to fear sending confidential information) This machine replicates the virus in a digital "petri dish” and analyzes its behavior and structure (3). It then extracts viral signatures and produces a definition for verifying and removing the virus. (3). This process normally takes less than five minutes. The resulting definition is sent back to the administrative machine (4), which forwards it first to the infected client (5) and then to other machines on the local network (6). Subscribers around the world automatically receive regular anti-virus updates that protect them from this new virus (7). Because computer viruses can exploit the network to multiply quickly, it seems fitting that the antidote should use a similar strategy to spread to machines that need it. By allowing the latest definition to be propagated to users at uninfected sites, it is possible, in principle, to immunize the entire PC world against an emerging virus very rapidly. 製造解藥 7 網路管理者主機 工作站 工作站 工作站 個人用戶 其它單位網路
最佳化防毒政策
日常維護工作 開始病毒掃描 手動掃描 排程掃描 管理者排程 使用者排程 自訂掃描 啟動掃描 即時掃描 用戶端即時防護選項 用戶端限用選項
警訊類型 組態改變 預設警訊 SAV啟動/關閉 Scan啟動.關閉 偵測病毒行為 病毒定義檔更新 發現病毒
警訊動作 訊息視窗 區域網路廣播 寄發電子郵件 傳送呼叫器 執行程式 記錄至事件檢視器 傳送SNMP
組態步驟 選擇警訊類型 選擇警訊的行為 組態選擇的行為
SMTP閘道防護
產品定位 提供高效能、自動化掃描與修復的防毒解毒能力。 可以單獨使用,或者成為Symantec企業多層次防毒方案的一份子。 Symantec AntiVirus for SMTP Gateway 3.0是防護企業 Internet電子郵件的第一道防線,有效攔阻病毒入侵和內容過濾功能 提供高效能、自動化掃描與修復的防毒解毒能力。 可以單獨使用,或者成為Symantec企業多層次防毒方案的一份子。
Internet 郵件的防毒規劃 安裝 SAVGW 前的 SMTP/POP3 網路 安裝 SAVGW 後的 SMTP/POP3 網路 工作站 SMTP伺服器 安裝 SAVGW 前的 SMTP/POP3 網路 SAVGW 伺服器 Internet 工作站 SMTP伺服器 安裝 SAVGW 後的 SMTP/POP3 網路
Internet 郵件的防毒規劃 安裝 SAVGW 前的 SMTP 與群組軟體網路 安裝 SAVGW 後的 SMTP 與群組軟體網路 群組軟體伺服器 工作站 安裝 SAVGW 前的 SMTP 與群組軟體網路 SAVGW 伺服器 Internet 群組軟體伺服器 工作站 SMTP伺服器 安裝 SAVGW 後的 SMTP 與群組軟體網路
WEB化管理介面 http://IP Address:8003
即時狀態監視
Relay設定 內建 SMTP 伺服器能力 可設定 Mail Relay, 避免成為廣告信件轉信站
彈性化的中央控管 可排程的 LiveUpdate 更新 按時由網路 (Internet 或企業內自定的 LiveUpdate 伺服器) 下載、執行、更新最新的防毒需求。 更新內容包括: 最新病毒定義檔案 掃描引擎更新
詳實的活動紀錄 系統活動-登入、登出、定義檔案更新。 郵件活動-接受、拒絕、退回、傳送、傳送失敗、完成 病毒活動-修復、刪除、隔離。
完整的報告能力 提供各式使用者可以自訂的報告與統計值。 協助分析企業內的病毒事件並了解防毒投資的有效性。
郵件過濾的條件 一、根據電子郵件主旨阻斷郵件 二、根據電子郵件附件阻斷郵件 三、根據電子郵件訊息大小阻斷郵件 允許管理者根據主旨阻斷訊息. 支援使用萬用字元 “*” 和 “?”. , 提供管理者在新病毒未有解藥前的最大防護 二、根據電子郵件附件阻斷郵件 允許管理者根據附件名稱刪除訊息. 支援使用萬用字元 “*” 和 “?” ,提供管理者在新病毒未有解藥前的最大防護 三、根據電子郵件訊息大小阻斷郵件 允許管理者根據郵件大小阻斷訊息. 提供管理者避免大檔案進入公司,浪費頻寬,特別是公司當防火牆未提供此功能時.
郵件過濾的條件 四、根據電子郵件寄件者位址及網域阻斷郵件 六、可依情況彈性“暫停”或“拒絕”電子郵件接收或傳遞 七、阻擋垃圾郵件 允許管理者根據特定寄件者電子郵件位址及特定網域進行攔阻 五、針對收件者電子郵件位址中的特殊字元,進行攔阻 六、可依情況彈性“暫停”或“拒絕”電子郵件接收或傳遞 七、阻擋垃圾郵件 MAPS = Mail Abuse Prevention System LLC Lists 支援: RBL, DUL, RSS, RBL+
改善 Spam Relay 處理 1. SAVGW 不掃描或處理該郵件,直接送出 bounce back訊息. 節省主機資源 (降低暴露 DoS 攻擊危險) 2. ‘Deny-all’ 功能已被移除. 目前已Allow from listed host取代,確認哪個Domains 和 hosts 是 “local” ,避免被欺騙當作 Relay主機. 3. 為避免此種欺騙行為,請規劃 Symantec AntiVirus for SMTP Gateways 使用 ‘Allow from listed host’ 特性,並列出允許Relay的對象。 萬用字元可使用在Domain名稱前 (如 *.mydomain.com) 或 IP 位址後. (如. 192.168.1.*)
其他功能 輸出紀錄檔產生圖形報表: 提供將紀錄檔輸出成*.CSV,方便載入Excel /Access產生自訂圖形報表. 改善 Solaris 執行效率: 增加 Solaris 執行效能,並不增加 CPU 利用率. 管理者可在同一台機器上執行郵件轉送功能 (如 Sendmail) 和 SAV GW.
最容易落實政策 ˙預先防患的完整保護 ˙日常注意事項 需有完整的防毒保護及有效攔阻未知病毒與駭客入侵機制 1. 對來源不明的檔案及E-MAIL拒絕存取,並刪除之 2. 時時更新Windows Update( 2~3天一次 ) 3. 每2~3個月更換個人密碼 4. 密碼長度須6個以上,最好有特殊字元(!@#$%) 5. 移除沒有使用的Service(服務) ˙不可避免的風險評估 緊急應變計劃─須有災難回復計畫