Безопасность Exchange Server

Компьютерные вирусы

В данном разделе мы в общих чертах обсудим компьютерные вирусы и некоторые вопросы, связанные с действием вирусов на сервере Exchange Server 2003.

Что такое вирус

Вирус - это фрагмент программного кода, присоединяющий сам себя к другим программам или файлам. При выполнении таких файлов код инициируется и начинает сам себя реплицировать. Репликация осуществляется через сеть. В настоящее время вирусы могут использовать уязвимости практически на всех платформах.

Некоторые вирусы остаются в памяти после закрытия исходной программы. При выполнении других программ вирус присоединяет себя к этим новым программам, пока компьютер не будет перезагружен или отключен. Некоторые вирусы имеют фазу бездействия, то есть они проявляются только при выполнении определенных действий.

Существует множество типов вирусов. Некоторые перезаписывают собой имеющийся программный код или данные, другие могут определить, инфицирован ли уже тот или иной исполняемый файл. Самораспознавание необходимо в том случае, если вирус должен предотвратить многократное заражение одного и того же исполняемого файла, что может привести к стремительному росту размера инфицированных файлов и, соответственно, объема данных в хранилище, посредством чего вирус может быть обнаружен.

Резидентные вирусы устанавливают себя как часть операционной системы при выполнении инфицированной программы-носителя. Вирус остается резидентно в памяти, пока система не будет отключена. После установки в памяти резидентный вирус будет заражать все подходящие программы, к которым имеется доступ.

Вирус-невидимка - это резидентный вирус, осуществляющий попытки предотвратить обнаружение посредством сокрытия своего присутствия в инфицированных файлах. Такой вирус может удалять код вируса из исполняемого файла при его считывании (но не выполнении), чтобы антивирусная программа не обнаружила ничего подозрительного.

Компьютерные вирусы обычно распространяются через электронную почту и, как правило, содержатся во вложениях. Если вирус проникнет в поток сообщений, он будет использовать возможности клиента по отправке и получению электронной почты для быстрой репликации самого себя и наискорейшего нанесения ущерба системе.

Существенным аспектом защиты системы обмена сообщениями от вирусов является обучение пользователей. Пользователей системы следует научить тому, какие вложения можно открывать, а какие нельзя. Политики информационной безопасности организации должны выделять типы электронной почты и вложений, разрешаемых к открытию пользователями. Например, нужно запретить открывать вложения в двух случаях: если получения вложения не ожидалось, и если вложение поступило от неизвестного пользователя.

"Троянские кони"

"Троянский конь" - это вредоносная программа, вложенная внутрь обычной программы, которая на первый взгляд кажется безопасной. Разница между вирусом и "троянским конем" заключается в том, что "троянский конь" содержится в программе, а вирус просто присоединяется к файлу или исполняемой программе.

При выполнении обычной программы выполняется вредоносный код, который может вызвать повреждение или похищение важной информации. Примером "троянского коня" является текстовый процессор, который позволяет пользователю работать с документом, а в это время в фоновом режиме, параллельно выполняется вредоносный код, удаляющий файлы или выводящий из строя другие программы.

"Троянские кони", как правило, распространяются через электронную почту или червей, которые представляют собой самовыполняющиеся программы. Ущерб, наносимый "троянскими конями", аналогичен ущербу от вируса; этот тип вредоносных программ бывает как безобидным, так и крайне разрушительным. "Троянские кони" вызывают серьезные опасения, так как в большинстве случаев пользователи не знают о том, что в данный момент времени системе наносится вред. Работа вредоносного кода замаскирована "троянским" эффектом программы.

Черви

Как уже только что было сказано, черви - это программы, выполняющие сами себя. Они не включаются и не присоединяются к другим программам, и это также не требуется для осуществления репликации. Черви передаются от компьютера к компьютеру через сетевые соединения и являются самореплицирующимися. На множестве разных компьютеров могут функционировать части программы-червя, либо один червь может выполняться на одном компьютере. Как правило, черви не изменяют другие программы, хотя могут содержать в себе другой код, который выполняет такие действия.

Первые сетевые черви были предназначены для выполнения полезных функций, связанных с управлением сетью, посредством использования свойств операционной системы. Вредоносные черви используют системные уязвимости в своих собственных целях. Они, как правило, быстро проявляют себя через вредоносное действие, приводящее к выходу из строя целых сетей.

Ущерб, причиняемый червями, варьируется от чисто номинального до критического. Тип и степень ущерба определяется для каждого червя по отдельности. Вместе с тем черви могут устанавливать вирусы и "троянских коней", которые затем выполнят свой собственный код.

Атака, в которой комбинируется червь, "троянский конь" и/или вирус, бывает очень трудной для устранения и предотвращения ущерба. Не следует недооценивать вред, который могут нанести системе обмена сообщениями и компьютерной сети вирусы, "троянские кони" и черви. Так как указанные вредоносные программы используют электронную почту для эксплуатации системных уязвимостей, установки одного лишь антивирусного программного обеспечения недостаточно. Необходимо приложить все усилия, чтобы все известные уязвимости во всех операционных системах были устранены. Не сосредотачивайтесь только на своих серверах. Каждое устройство должно быть как можно скорее обновлено с использованием самых последних сервис-пакетов и надстроек, выпускаемых соответствующим производителем. В большей части организаций согласно политике безопасности требуется тестировать эти обновления перед установкой. По окончании тестирования их обязательно следует установить.

Нежелательная почта

Нежелательная почта - очень серьезная проблема. Один из клиентов, с которым автор книги недавно работал, установил свою первую программу фильтрации электронной почты и обнаружил, что в его почтовый ящик стало поступать на 46 процентов меньше сообщений электронной почты. Exchange 2003 имеет новые возможности работы с организациями, ведущими "черные списки", для удаления электронной почты, поступающей от известных или подозрительных узлов, потенциально являющихся источниками нежелательной электронной почты. Этот процесс называется фильтрацией получателей и отправителей. В Exchange 2003 можно блокировать нежелательную почту по IP-адресам, отправителям и получателям электронной почты (т.е. по их адресам), либо по доменам электронной почты. Кроме того, можно осуществлять фильтрацию электронной почты, отправляемой пользователям, не включенным в Active Directory, или почты, отправители которой не имеют разрешения на отправку электронной почты данному получателю. Фильтрация сообщений обсуждается в гл. 20.

Заключение

В данной лекции мы обсуждали то, как действуют хакеры, как защитить входящую почту SMTP, а также как обеспечить безопасность доступа администратора к серверу Exchange. Мы обсудили различия между вирусом, "троянским конем" и червем, рассказали о методе защиты входящего SMTP-трафика. Кроме того, мы привели ссылки на две другие лекции этой книги, в которых обсуждаются фильтрация и обеспечение безопасности OWA. Следующая лекция посвящена обсуждению защиты сообщений электронной почты при помощи фильтрации и сертификатов.