NIS網絡檢查系統讓Exchange漏洞無處可藏
眾所周知,企業網絡中的90%以上的攻擊,都是針對服務器或者客戶端現有的漏洞所展開的。也就是說,如果能夠即使的發現漏洞并打上相關的補丁的話,就可能防止九成以上的攻擊。這個原則用在Exchange應用中也有效。Exchange郵箱服務器以及客戶端軟件上也存在著很多漏洞。病毒或者垃圾郵件可以通過這些漏洞對企業的網絡以及其他對象發起攻擊。在郵件安全性性,發現漏洞并更新補丁是比較核心的一項工作。在這篇文章中,筆者給大家介紹一下,如何通過使用Forefront中的NIS網絡檢查系統來發現Exchange郵箱服務器的漏洞,以提高其安全性。
一、Exchange安全漏洞的兩個層面分析。
一臺最簡單的Exchange服務器,也有兩個部分組成,分別是Exchange服務器軟件和Windows操作系統。眾所周知,無論是Exchange服務器軟件還是Windows操作系統都是攻擊者比較中意的對象。隔一段時間就會被他們發現新的漏洞。即使是Exchange服務器沒有漏洞,但是Windows操作系統出現安全漏洞的話,也會影響到Exchange服務本身的安全。為此在使用NIS網絡檢查系統來發現漏洞時,不僅僅關注的是Exchange服務本身,還應該涵蓋操作系統的層面。這是我們在設計Exchange安全是必須要注意的內容。
NIS網絡檢查系統是Forefront提供的一個組件。通過這個組件,可以幫助郵箱管理員發現操作系統以及郵箱應用程序中已知的漏洞。如果結合Update服務的話,還可以自動打上相關的補丁,從而保護企業網絡與應用服務器的安全。注意,這個NIS網絡檢查系統來發現并管理漏洞時,其也是從操作系統與應用程序兩個層面展開的。從這里就可以看出,微軟安全專家在考慮安全問題時是將底層的操作系統與上層的應用程序放在一起考慮的。他們是一個硬幣的兩面,缺一不可。
二、NIS只會發現已知的漏洞。
從本質上說,NIS網絡檢查系統是一個基于協議解碼的通信檢查系統。簡而言之,這個NIS網絡檢查系統只能夠發現操作系統與應用程序已知的漏洞。這主要是因為NIS只采用已知漏洞的簽名檢測并可能阻止對網絡資源(如Exchange郵箱服務器)發起的攻擊。從廣義上來講,漏洞可以分為已知的漏洞與未知的漏洞。Windows操作系統或者Exchange郵箱服務器,除了已經發現的漏洞之外,是否就不存在其他漏洞了呢?誰都不敢下這個保證。相反,我們可以確性的是,除了這些已知的漏洞之外,Windows操作系統與Exchange郵箱服務器系統肯定還存在著一些未知的漏洞,只是我們還沒有發現而已。
從Exchange郵箱服務器安全角度而言,我們對于未知的安全漏洞基本上沒有什么辦法。我們現在可以做的就是,發現已知的所有漏洞,并將其堵上。以后如果發現新的漏洞了,再及時打補丁即可。新漏洞的研究與發現就讓微軟的安全專家與攻擊者去努力好了。
NIS網絡檢查系統的核心就是已知漏洞的簽名檢測。簡單的說,所有已知的漏洞都會有一個特征。NIS檢查系統通過比對來發現操作系統或者Exchange應用程序是否存在這個漏洞(是否已經打上了補丁)。如果發現有的話,就會告訴管理員。現在的關鍵就是,這個NIS的后臺數據庫,即漏洞特征數據庫,至關重要。如果這個數據不是最新的,或者有錯誤,那么就不能夠及時的發現操作系統或者應用程序的漏洞。從而可能給攻擊者有機可乘。
微軟有一個MMPC機構(微軟惡意軟件防護中心)。這個機構會按時的提供相關的漏洞檢測代碼。NIS網絡檢查系統就是根據這些代碼來判斷操作系統或者應用程序是否存在著已知的漏洞。現在需要解決的問題是,NIS網絡檢查系統需要能夠及時的從MMPC處更新這些相關的數據。從技術上來說,可以通過微軟的Update機制來分發動態簽名快照,以在第一時間更新漏洞檢查代碼,以幫助管理員了解最新的漏洞。Update的相關配置各位讀者可以參考相關的技術文檔,由于篇幅的限制,不再這里展開討論。筆者只是強調一點,就是Update與NIS網絡檢查系統結合的必要性。
三、NIS網絡檢查系統的局限性。
NIS網絡檢查系統并不全能,其在使用時有一些局限性。在實際工作中,部署NIS系統時需要注意這方面的局限性,以免給Exchange安全留下隱患。具體的來說,主要存在如下幾個局限性。
一是需要注意,NIS網絡檢查系統可以發現操作系統或者應用程序級別的漏洞,也就是說網絡漏洞。但是并不能夠發現文件漏洞。簡單的說,如果某個郵件的附件其實是一個間諜軟件,其偽裝中一個普通的文件。在這種情況下,即使Exchange不存在任何的漏洞,這個文件也會被傳輸。因為NIS并不能夠發現文件級別的漏洞。如要要預防垃圾郵件或者帶病毒的附件,還是需要借助惡意軟件檢查功能來完成。光靠NIS網路檢查機制并不能夠識別文件級別的漏洞。
二是NIS僅僅支持MMPC創作和驗證的簽名。現在操作系統與Exchange的漏洞簽名,不僅僅MMPC會提供。一些安全廠商,如瑞星、金山毒霸等等也會定期的推出最新的安全漏洞代碼。不過可惜的是,NIS網絡檢查系統到目前為止僅僅支持MMPC提供的簽名。其他安全廠商的簽名機制NIS并不支持。所以有時候這里就會有沖突。如防火墻發現服務器有漏洞,但是NIS系統卻沒有發現。這中間就可能會有一個時間差。為此在實際工作中,我們要以NIS的檢查結果為主,其他安全軟件的檢查結果為輔。這里特別需要注意的是,一些安全廠商之間可能會存在著不正當的競爭。即A安全廠商的產品認為B提供的安全軟件存在漏洞,從而影響系統正常運行等等。在這種情況下,我們也只能夠以MMPC提供的數據作為最終評判的標準。當發現MMPC沒有說明的漏洞、而其他安全廠商卻認為是漏洞的情況,我們需要慎重對待。
四、其他需要注意的細節問題。
在使用NIS網絡檢查系他來識別操作系統和Exchange應用程序級別的漏洞時,還需要明確如下一些細節問題。
一是需要注意NIS可以使用在本地主機上,也可以應用在整個網絡上。而如果在本地主機上使用的話,其檢查的內容會有所限制。如通常情況下只見查HTTP、HTTPS和電子郵件協議。對于其他的協議,如Telnet(遠程管理Exchange服務器時可能需要用到)協議是否存在漏洞,就不會檢查。為此為了安全起見,筆者并不建議將NIS使用在本地主機上。
二是需要注意新簽名的有效性。即NIS服務器從MMPC微軟安全中心下載最新的漏洞簽名信息時,對已經存在的連接是否有效呢?這里需要抱歉的告訴各位,從MMPC下載新的簽名集時,這些簽名集僅僅適用于新連接。對已有的連接不起作用。這也就意味著如果要讓新的簽名集生效的話,必須中斷原有的連接,然后重新連接。一般情況下這不會出問題。但是有時間某些連接需要長期存在,如不同辦事處之間的虛擬專用網絡連接。如果此時考慮到中斷網絡的話,可能需要履行一定的告知義務。重新連接時所需要的工作量也會增加不少。
總之使用NIS網絡檢查系統可以幫助油箱管理員及時的發現操作系統層面與Exchange應用程序層面的安全漏洞。能夠為管理員制定安全規劃提供很好的數據支持。筆者在這里是力挺NIS網絡檢查系統。
【編輯推薦】
