眾所周知��,企業(yè)網(wǎng)絡(luò)中的90%以上的攻擊����,都是針對(duì)服務(wù)器或者客戶端現(xiàn)有的漏洞所展開的。也就是說��,如果能夠即使的發(fā)現(xiàn)漏洞并打上相關(guān)的補(bǔ)丁的話,就可能防止九成以上的攻擊����。這個(gè)原則用在Exchange應(yīng)用中也有效。Exchange郵箱服務(wù)器以及客戶端軟件上也存在著很多漏洞����。病毒或者垃圾郵件可以通過這些漏洞對(duì)企業(yè)的網(wǎng)絡(luò)以及其他對(duì)象發(fā)起攻擊����。在郵件安全性性,發(fā)現(xiàn)漏洞并更新補(bǔ)丁是比較核心的一項(xiàng)工作�����。在這篇文章中��,筆者給大家介紹一下�,如何通過使用Forefront中的NIS網(wǎng)絡(luò)檢查系統(tǒng)來發(fā)現(xiàn)Exchange郵箱服務(wù)器的漏洞,以提高其安全性�。
一、Exchange安全漏洞的兩個(gè)層面分析���。
一臺(tái)最簡單的Exchange服務(wù)器����,也有兩個(gè)部分組成,分別是Exchange服務(wù)器軟件和Windows操作系統(tǒng)�����。眾所周知�,無論是Exchange服務(wù)器軟件還是Windows操作系統(tǒng)都是攻擊者比較中意的對(duì)象。隔一段時(shí)間就會(huì)被他們發(fā)現(xiàn)新的漏洞�。即使是Exchange服務(wù)器沒有漏洞,但是Windows操作系統(tǒng)出現(xiàn)安全漏洞的話�����,也會(huì)影響到Exchange服務(wù)本身的安全�����。為此在使用NIS網(wǎng)絡(luò)檢查系統(tǒng)來發(fā)現(xiàn)漏洞時(shí)����,不僅僅關(guān)注的是Exchange服務(wù)本身,還應(yīng)該涵蓋操作系統(tǒng)的層面���。這是我們?cè)谠O(shè)計(jì)Exchange安全是必須要注意的內(nèi)容���。
NIS網(wǎng)絡(luò)檢查系統(tǒng)是Forefront提供的一個(gè)組件�。通過這個(gè)組件����,可以幫助郵箱管理員發(fā)現(xiàn)操作系統(tǒng)以及郵箱應(yīng)用程序中已知的漏洞。如果結(jié)合Update服務(wù)的話�����,還可以自動(dòng)打上相關(guān)的補(bǔ)丁��,從而保護(hù)企業(yè)網(wǎng)絡(luò)與應(yīng)用服務(wù)器的安全����。注意��,這個(gè)NIS網(wǎng)絡(luò)檢查系統(tǒng)來發(fā)現(xiàn)并管理漏洞時(shí)�,其也是從操作系統(tǒng)與應(yīng)用程序兩個(gè)層面展開的。從這里就可以看出���,微軟安全專家在考慮安全問題時(shí)是將底層的操作系統(tǒng)與上層的應(yīng)用程序放在一起考慮的����。他們是一個(gè)硬幣的兩面,缺一不可����。
二、NIS只會(huì)發(fā)現(xiàn)已知的漏洞��。
從本質(zhì)上說���,NIS網(wǎng)絡(luò)檢查系統(tǒng)是一個(gè)基于協(xié)議解碼的通信檢查系統(tǒng)�。簡而言之�,這個(gè)NIS網(wǎng)絡(luò)檢查系統(tǒng)只能夠發(fā)現(xiàn)操作系統(tǒng)與應(yīng)用程序已知的漏洞。這主要是因?yàn)镹IS只采用已知漏洞的簽名檢測(cè)并可能阻止對(duì)網(wǎng)絡(luò)資源(如Exchange郵箱服務(wù)器)發(fā)起的攻擊�。從廣義上來講,漏洞可以分為已知的漏洞與未知的漏洞��。Windows操作系統(tǒng)或者Exchange郵箱服務(wù)器��,除了已經(jīng)發(fā)現(xiàn)的漏洞之外����,是否就不存在其他漏洞了呢?誰都不敢下這個(gè)保證��。相反,我們可以確性的是��,除了這些已知的漏洞之外�,Windows操作系統(tǒng)與Exchange郵箱服務(wù)器系統(tǒng)肯定還存在著一些未知的漏洞,只是我們還沒有發(fā)現(xiàn)而已���。
從Exchange郵箱服務(wù)器安全角度而言���,我們對(duì)于未知的安全漏洞基本上沒有什么辦法。我們現(xiàn)在可以做的就是�,發(fā)現(xiàn)已知的所有漏洞,并將其堵上����。以后如果發(fā)現(xiàn)新的漏洞了�����,再及時(shí)打補(bǔ)丁即可�。新漏洞的研究與發(fā)現(xiàn)就讓微軟的安全專家與攻擊者去努力好了。
NIS網(wǎng)絡(luò)檢查系統(tǒng)的核心就是已知漏洞的簽名檢測(cè)�。簡單的說,所有已知的漏洞都會(huì)有一個(gè)特征�����。NIS檢查系統(tǒng)通過比對(duì)來發(fā)現(xiàn)操作系統(tǒng)或者Exchange應(yīng)用程序是否存在這個(gè)漏洞(是否已經(jīng)打上了補(bǔ)丁)。如果發(fā)現(xiàn)有的話����,就會(huì)告訴管理員。現(xiàn)在的關(guān)鍵就是���,這個(gè)NIS的后臺(tái)數(shù)據(jù)庫�,即漏洞特征數(shù)據(jù)庫�,至關(guān)重要。如果這個(gè)數(shù)據(jù)不是最新的�����,或者有錯(cuò)誤����,那么就不能夠及時(shí)的發(fā)現(xiàn)操作系統(tǒng)或者應(yīng)用程序的漏洞。從而可能給攻擊者有機(jī)可乘��。
微軟有一個(gè)MMPC機(jī)構(gòu)(微軟惡意軟件防護(hù)中心)��。這個(gè)機(jī)構(gòu)會(huì)按時(shí)的提供相關(guān)的漏洞檢測(cè)代碼�����。NIS網(wǎng)絡(luò)檢查系統(tǒng)就是根據(jù)這些代碼來判斷操作系統(tǒng)或者應(yīng)用程序是否存在著已知的漏洞。現(xiàn)在需要解決的問題是��,NIS網(wǎng)絡(luò)檢查系統(tǒng)需要能夠及時(shí)的從MMPC處更新這些相關(guān)的數(shù)據(jù)�。從技術(shù)上來說,可以通過微軟的Update機(jī)制來分發(fā)動(dòng)態(tài)簽名快照���,以在第一時(shí)間更新漏洞檢查代碼�����,以幫助管理員了解最新的漏洞�。Update的相關(guān)配置各位讀者可以參考相關(guān)的技術(shù)文檔�����,由于篇幅的限制����,不再這里展開討論�。筆者只是強(qiáng)調(diào)一點(diǎn),就是Update與NIS網(wǎng)絡(luò)檢查系統(tǒng)結(jié)合的必要性����。
三����、NIS網(wǎng)絡(luò)檢查系統(tǒng)的局限性���。
NIS網(wǎng)絡(luò)檢查系統(tǒng)并不全能��,其在使用時(shí)有一些局限性���。在實(shí)際工作中,部署NIS系統(tǒng)時(shí)需要注意這方面的局限性���,以免給Exchange安全留下隱患�。具體的來說��,主要存在如下幾個(gè)局限性����。
一是需要注意,NIS網(wǎng)絡(luò)檢查系統(tǒng)可以發(fā)現(xiàn)操作系統(tǒng)或者應(yīng)用程序級(jí)別的漏洞��,也就是說網(wǎng)絡(luò)漏洞��。但是并不能夠發(fā)現(xiàn)文件漏洞。簡單的說��,如果某個(gè)郵件的附件其實(shí)是一個(gè)間諜軟件�����,其偽裝中一個(gè)普通的文件�����。在這種情況下���,即使Exchange不存在任何的漏洞�,這個(gè)文件也會(huì)被傳輸���。因?yàn)镹IS并不能夠發(fā)現(xiàn)文件級(jí)別的漏洞����。如要要預(yù)防垃圾郵件或者帶病毒的附件����,還是需要借助惡意軟件檢查功能來完成��。光靠NIS網(wǎng)路檢查機(jī)制并不能夠識(shí)別文件級(jí)別的漏洞。
二是NIS僅僅支持MMPC創(chuàng)作和驗(yàn)證的簽名?,F(xiàn)在操作系統(tǒng)與Exchange的漏洞簽名,不僅僅MMPC會(huì)提供�����。一些安全廠商����,如瑞星、金山毒霸等等也會(huì)定期的推出最新的安全漏洞代碼����。不過可惜的是,NIS網(wǎng)絡(luò)檢查系統(tǒng)到目前為止僅僅支持MMPC提供的簽名�����。其他安全廠商的簽名機(jī)制NIS并不支持�。所以有時(shí)候這里就會(huì)有沖突。如防火墻發(fā)現(xiàn)服務(wù)器有漏洞��,但是NIS系統(tǒng)卻沒有發(fā)現(xiàn)�。這中間就可能會(huì)有一個(gè)時(shí)間差。為此在實(shí)際工作中����,我們要以NIS的檢查結(jié)果為主�,其他安全軟件的檢查結(jié)果為輔�����。這里特別需要注意的是�,一些安全廠商之間可能會(huì)存在著不正當(dāng)?shù)母?jìng)爭(zhēng)。即A安全廠商的產(chǎn)品認(rèn)為B提供的安全軟件存在漏洞��,從而影響系統(tǒng)正常運(yùn)行等等�����。在這種情況下��,我們也只能夠以MMPC提供的數(shù)據(jù)作為最終評(píng)判的標(biāo)準(zhǔn)��。當(dāng)發(fā)現(xiàn)MMPC沒有說明的漏洞��、而其他安全廠商卻認(rèn)為是漏洞的情況��,我們需要慎重對(duì)待�����。
四、其他需要注意的細(xì)節(jié)問題��。
在使用NIS網(wǎng)絡(luò)檢查系他來識(shí)別操作系統(tǒng)和Exchange應(yīng)用程序級(jí)別的漏洞時(shí)�,還需要明確如下一些細(xì)節(jié)問題�����。
一是需要注意NIS可以使用在本地主機(jī)上�����,也可以應(yīng)用在整個(gè)網(wǎng)絡(luò)上�����。而如果在本地主機(jī)上使用的話���,其檢查的內(nèi)容會(huì)有所限制��。如通常情況下只見查HTTP��、HTTPS和電子郵件協(xié)議����。對(duì)于其他的協(xié)議,如Telnet(遠(yuǎn)程管理Exchange服務(wù)器時(shí)可能需要用到)協(xié)議是否存在漏洞��,就不會(huì)檢查��。為此為了安全起見�����,筆者并不建議將NIS使用在本地主機(jī)上���。
二是需要注意新簽名的有效性����。即NIS服務(wù)器從MMPC微軟安全中心下載最新的漏洞簽名信息時(shí)�����,對(duì)已經(jīng)存在的連接是否有效呢�����?這里需要抱歉的告訴各位���,從MMPC下載新的簽名集時(shí)��,這些簽名集僅僅適用于新連接��。對(duì)已有的連接不起作用��。這也就意味著如果要讓新的簽名集生效的話��,必須中斷原有的連接��,然后重新連接��。一般情況下這不會(huì)出問題���。但是有時(shí)間某些連接需要長期存在,如不同辦事處之間的虛擬專用網(wǎng)絡(luò)連接�����。如果此時(shí)考慮到中斷網(wǎng)絡(luò)的話�,可能需要履行一定的告知義務(wù)。重新連接時(shí)所需要的工作量也會(huì)增加不少����。
總之使用NIS網(wǎng)絡(luò)檢查系統(tǒng)可以幫助油箱管理員及時(shí)的發(fā)現(xiàn)操作系統(tǒng)層面與Exchange應(yīng)用程序?qū)用娴陌踩┒础D軌驗(yàn)楣芾韱T制定安全規(guī)劃提供很好的數(shù)據(jù)支持。筆者在這里是力挺NIS網(wǎng)絡(luò)檢查系統(tǒng)����。