Rubrik: Produkte/E-Mail-Security

Top Layer: Intelligente und flexible Intrusion Prevention-Lösung für Service Provider

Werbeschrott aus dem Internet macht weltweit ca. 40 Prozent aller E-Mails aus

(23.06.03) - Das Herunterladen und Bearbeiten einer Spam-E-Mail kostet Benutzer täglich Tausende verschwendeter Stunden. Mitarbeiter verbringen täglich schätzungsweise zehn Minuten damit, Spam-E-Mails durchzusehen und zu löschen. Fast jeder Service Provider hat massive Probleme mit Spam. Zu Spitzenzeiten belasten Spam-E-Mails bis zu 60 Prozent des gesamten Datenverkehrs in einem Netzwerk. Dies führt zu Restriktionen und behindert den Transfer von legitimen Daten über das Netzwerk, d.h. Geschäfts- und Privatkunden müssen mit schlechter Performance und langen Verbindungszeiten rechnen. Das Empfangen von Spam-E-Mails kann gelegentlich sogar in Rechnung gestellt werden.

Abgesehen von der Belästigung durch unerbetene E-Mails, ist die Überlastung des Netzwerks das Hauptproblem von Spam. Nicht immer kommen netzwerkkritische Geräte wie Load Balancer oder Firewalls mit einer Volumensteigerung des Datenverkehrs zurecht, sind überlastet und verweigern schlussendlich den Zugriff auf die E-Mail-Server. Sobald die Performance der Netzwerkkomponenten beeinträchtigt ist, kommt es beim legitimen Datenverkehr zu erheblichen Verzögerungen. Fällt dann noch eine Firewall aus, bricht das gesamte Netzwerk zusammen. Da Spam-E-Mails häufig Mittel zum Zweck für die Verbreitung von Viren sind, und somit eine noch größere Bedrohung darstellen, ist es an der Zeit, sie zu stoppen.

"Spam-E-Mails sind für alle Service Provider Netzwerke ein Problem", sagt Andreas Gabelin, Sales Manager Central Europe bei Top Layer. "Kunden wechseln eventuell zu einem neuen Service Provider in der Hoffnung auf die Lösung des Problems."

Aufgrund des ständig wachsenden Anteils an Spam-E-Mails und der zunehmenden Zahl an Netzwerkteilnehmern ist eine zuverlässige Lösung gefragt. Service Provider investierten enorm in den Aufbau von Netzwerkressourcen und die Verbesserung des Netzwerkmanagements, um dem wachsenden Datenverkehr gerecht zu werden, wollen jedoch gleichzeitig diese Kosten so schnell wie möglich wieder senken. Da Spam-E-Mails 60 Prozent des Gesamtdatenverkehrs ausmachen können, muss ein Service Provider sein Netzwerk um mindestens 60 Prozent aufrüsten, um dem Problem zu begegnen und um Verzögerungen beim legitimen Datentransfer zu vermeiden. Eine Erweiterung der Bandbreite ist eine teure Variante, und zum anderen löst es das Problem nicht an der Wurzel. Eine Erweiterung würde zwar Netzwerkgeschwindigkeit und -effektivität verbessern, an dem steigenden Anteil der Spam-E-Mails jedoch verändert sich nichts.

Jetzt ist eine Lösung gefordert, die eine Differenzierung des legitimen Datenverkehrs von Spam erreicht, und damit die Übertragung von Spam-Daten im Netzwerk beschränkt, jedoch den Transfer von legitimen Daten zulässt. Damit ist eine 100%ige Genauigkeit erforderlich, um den Empfang von normalen E-Mails nicht zu behindern. Einfaches IP-Address Filtering hat nicht den gewünschten Effekt, da Spam von einer unendlichen Zahl von IP-Adressen stammen kann. Alternativ können Verbindungen auf den SMTP-Servern beschränkt werden.

Die Entscheidung den Kampf gegen Spam letztendlich zu gewinnen ist mit dem "Attack Mitigator IPS" von Top Layer möglich, da er nach eigenen Angaben alle Anforderungen von Service Providern in Bezug auf Übersichtlichkeit und Flexibilität erfüllt und schnell implementiert werden kann. Der Schlüssel zur Lösung des Spam-Problems liegt in der Priorisierung von gutem Datenverkehr gegenüber schlechtem Datenverkehr, was durch Zuweisen eines Vertrauens-Status an bekannte IP-Adressen erfolgt. Die "Host Range"-Funktionalität des Attack Mitigator IPS begrenzt ausgesuchte SMTP-Verbindungen und stellt somit das Fundament der Lösung zur Spam-Kontrolle dar. IP-Adressen aller bekannten und vertrauenswürdigen Server als E-Mail-Quelle werden in einer Trusted Host Range geführt, die eine unbegrenzte SMTP-Session zulässt. SMTP-Server von Mobilfunkprovidern fallen automatisch in die Trusted Host Range, da E-Mails, die von einem Mobiltelefon generiert werden, nicht für kommerzielle Spam E-Mails geeignet sind. Für Quellen außerhalb des Trusted Host Bereichs wird die Anzahl der SMTP-Verbindungen limitiert, so dass alle Nachrichten unbekannter Herkunft nur einen geringen Prozentsatz des Netzwerks in Anspruch nehmen können. Damit wird sichergestellt, dass eine durch Spam-E-Mails generierte Flut von SMTP-Verbindungen die wichtigen E-Mail-Server nicht überlasten.

"Es geht nicht darum Spam zu eliminieren, sondern darum ihn zu kontrollieren", sagt Gabelin. "Ein Ausrotten der Spam-E-Mails ist bei so vielen ungebetenen Absendern nahezu unmöglich. Der Attack Mitigator IPS untersucht daher den Datenverkehr, priorisiert vertrauenswürdige Quellen und verbannt unglaubwürdige. Dies führt zu einer Verbesserung in der gesamten Kundenbetreuung, da legitime Nachrichten den Kunden stets erreichen und nur ein verschwindend geringer Bruchteil davon Spam-E-Mails sind."

Bei Inbetriebnahme wird der Attack Mitigator IPS auf "Monitor Mode" gesetzt, um die Zeitschwelle für die Verbindungen abzustimmen. Anfänglich werden in diesem Status beispielsweise 300 gleichzeitige SMTP Sessions zugelassen, dann schrittweise auf 50 reduziert, um Spam zu minimieren und "False Positives" zu eliminieren. Sobald alle vertrauenswürdigen Quellen identifiziert wurden, wird der Attack Mitigator IPS auf "Mitigation Mode" gebracht – eine dauerhafte Einstellung, die auf die Anforderungen des Service Providers abgestimmt ist. In Schulungen lernen die Mitarbeiter des Service Providers Feinabstimmungen in der Konfiguration den entsprechenden Anforderungen im Laufe der Zeit anzugleichen. "In einer dynamischen Umgebung, in der neue Spamer wie Pilze aus dem Boden schießen, ist es wichtig, Anpassungen vorzunehmen und das Vertrauen in die E-Mail-Qellen neu zu definieren", sagt Gabelin. "Das ist gerade das Schöne an der Lösung – sie kann überarbeitet werden und stellt daher einen dauerhaften Vorteil für den Kunden dar."

Die Attack Mitigator IPS-Produktreihe besteht aus den folgenden ASIC-basierenden Lösungen für Intrusion Prevention:

·         Attack Mitigator IPS 100: 100-Mbit Lösung für Unternehmensabteilungen

·         Attack Mitigator IPS 1000: 1-Gbit Lösung für Unternehmen

·         Attack Mitigator IPS 2400: 2-Gbit Lösung mit redundanter Konfiguration

·         Attack Mitigator IPS 2800: 2-Gbit Lösung mit aktiv/aktiv Konfiguration für hohe Verfügbarkeit (ma)

Top Layer Networks

Ansprechpartner: Andreas Gabelin

Tel: (02102) 420864, Fax (02102) 42062

E-Mail: agabelin@toplayer.com

Web: www.toplayer.com