Tổng quan
IronPort đã và đang là nhà cung cấp các thiết bị hàng đầu về chống spam, chống virus và chống spamware cho các tổ chức xếp hạng từ nhỏ đến Global 2000. Các dòng sản phẩm IronPort về bảo mật email, bảo mật web và quản lý sử dụng hệ thống SenderBase (tổ chức cung cấp dữ liệu tìm kiếm các mối đe dọa lớn nhất thế giới) để phân tích các hành vi tương ứng của email và web trên thế giới, từ đó giúp các thiết bị Iron Port có thể chống đỡ hiệu quả và nhanh chóng trong việc ngăn ngừa các rủi ro gây tác động có hại cho việc hoạt động của các tổ chức.
Mô hình giải pháp
Khách hàng có thể sử dụng IronPort để làm mail gateway cho cả chiều ra và chiều vào của các dữ liệu email.
Đối với chiều vào, khi email được gởi từ ngoài vào thì khi đến IP Public của Router, tại đây sẽ được Router NAT về IronPort theo Port 25 để IronPort kiểm tra Anti Spam hay Anti Virus của những email có file đính kèm rồi sau đó chuyển đến MailServer..
Đối với chiều ra, khi email được gửi từ trong ra ngoài, email sẽ tới máy chủ mail trước, sau đó máy chủ mail sẽ forward email tới IronPort. IronPort sẽ quét nội dụng mail để kiểm tra Anti Spam hay Anti Virus của những email có file đính kèm trước khi gửi ra ngoài Internet..
Các tính năng nổi bật của IronPort
Để Monitor quản lý người dùng trong việc gởi và nhận email trong cùng công ty thông qua hệ thống IronPort, ta có những tính năng sau có thể áp dụng cho users:
- Message Body or Attachments: nội dung mail hoặc tập tin đính kèm
- Message Size: kích thước của email
- Attachment Content: nội dung file đính kèm
- Attachment File Info : thông tin cấu trúc file đính kèm
- Attachment Protected: tập tinh đính kèm có đặt mật khẩu bảo vệ
- Subject Header: tiêu đề của email
- Envelope Sender: người gởi email
- Envelope Recipient: người nhận email
Khi user gặp những điều kiện như bên trên thì mình có thể áp luật xuống cho người dung bằng những hành động sau:
- Xóa mail
- Quaranties email
- Cho phép gởi mail nhưng với thông báo cảnh báo.
- Cắt bỏ tập tin đính kèm ra khỏi email
- Chèn thêm header hay footer vào email
- Thay đổi địa chỉ email của người nhận
- Tự động gởi thông báo ngược về cho người gởi email khi họ vi phạm luật của công ty đề ra
Ironport có thể thiết lập luật chi tiết cho từng user hoặc một nhóm người dùng. Giả sử chúng ta cần theo dõi một người dùng cá nhân hay một phòng ban nào đó trong công ty, thì IronPort hỗ trợ LDAP và AD cho việc truy xuất thông tin của người dùng hay nhóm người dùng. Như vậy khi người dùng hay nhóm người dùng đó bị luật đã được thiết lập trên IronPort thì mỗi khi họ gởi email ra bên ngoài hay nhận email vào thì đều được IronPort “Quaranties” lại bằng một bản sao lưu trên đĩa cứng của IronPort. Người quản trị có thể chấp nhận hay từ chối những email không cần thiết khi được gởi đến hoặc gởi đi từ người dùng hay nhóm người dùng này.
Sau khi có những luật và áp đặt riêng cho người dùng, chúng ta có thể theo dõi thống kê tình trạng email gởi / nhận qua thiết bị IronPort.
Riêng đối với những người gởi email từ hệ thống khác không phải của từ công ty như là Gmail, Yahoo thì IronPort chỉ có thể theo dõi kiểm tra qua phần Header của email bao gồm những thông tin sau: kích thước và định dạng tập tin đính kèm, điểm số của Senderbase, DNS lookup, nội dung tiêu đề, địa chỉ email người gửi/ người nhận…
Mail Tracking
Đây là một tính năng của IronPort nhằm giúp người quản trị truy tìm lại thông tin header của email khi gởi vào hoặc gởi ra khỏi IronPort. Tính năng này sẽ giúp ích rất nhiều trong việc cần biết thông tin vì sao một email không thể gởi ra ngoài hoặc người dùng không thể nhận được email khi email gởi từ bên ngoài vào hệ thống.
IronPort Senderbase Network
SenderBase của Iron Port là mạng lưới theo dõi lưu lượng email lớn nhất thế giới. Với việc thu thập dữ liệu chiếm khoảng 30% của dữ liệu Internet thế giới, mạng lưới SenderBase của IronPort cung cấp sự quan sát theo thời gian thực về các mối đe dọa từ khắp nơi trên thế giới. SenderBase nhận sự đóng góp từ 120.000 mạng lưới trên toàn cầu để đa dạng hóa dữ liệu. Việc này giúp Iron Port có thể hiểu và ngăn chặn những đe dọa mà các đối thủ khác không nhận biết.
IronPort Anti Spam
Để ngăn chặn spam có thể vào hộp mail của người sử dụng cuối, IronPort triển khai sự phòng thủ nhiều lớp kết hợp sử dụng việc lọc người gửi dựa trên danh tiếng (trọng số) ở lớp bên ngoài kết hợp với việc phân tích kỹ nội dung gói dữ liệu ở lớp bên trong. Việc kết hợp này giúp chống spam với độ chính xác cao (98%- 99% với tỉ lệ cho phép sai sót là nhỏ hơn 1/1.000.000) mà không ảnh hưởng tới hiệu suất của thiết bị.
Đại diện cho lớp bên ngoài, bộ lọc danh tiếng Senderbase Reputation sẽ chống Spam dựa trên thông tin của người gửi. SenderBase phân tích địa chỉ người gửi, hoặc địa chỉ IP và gán cho nó một số điểm dựa trên sự phân tích hơn 150 tham số như số lượng emails gửi trên toàn cầu (spammers cần gửi nhiều thư để việc spam có hiệu quả), nguồn gốc của đất nước người gửi, Blacklists IP, domain được đăng kí ở đâu và đã tồn tại bao lâu …)
Số điểm sẽ nằm trong khoảng -10 đến +10 được dùng để điều khiển quản lý emails vào và ra. Nếu một người gửi trông giống là một spammer, thì luật áp dụng càng ngặt.
Có hai lợi ích chính của SenderBase.
IronPort có thể ngăn chặn 90% SPAM trước khi nó vào mạng của khách hàng.
Mail được chặn bằng cách quan sát địa chỉ IP thay vì việc quét toàn bộ emails, nhờ đó giúp cho hiệu suất cao.
Lớp thứ hai của bộ lọc là duy nhất. Không giống như những giải pháp chống Spam truyền thống trước đây là chủ yếu chỉ phân tích nội dung của một email, cơ chế chống Spam của IronPort được thiết kế quan sát 4 điểm dữ liệu chính
Ngoài việc phân tích nội dung của email (có gì bên trong email), kỹ thuật của IronPort cũng phân tích:
HOW: Làm sao email được hình thành (spammers thử tạo ra nhiều email trông giống như chúng được gửi qua bằng Outlook, trong khi thật sự họ có thể đã sử dụng những phần mềm nào đó)
WHO: Ai đang gửi email (vấn đề này dựa trên điểm danh tiếng)
WHERE: Xem địa chỉ URL có nguồn gốc từ đâu, việc này rất giúp ích cho việc chống tấn công dạng PHISHING.
Iron Port Anti Virus
Tương tự với việc phòng chống SPAM, Iron Port cũng sử dụng nhiều lớp để chống virus.
Virus Outbreak Filters tận dụng công nghệ của Senderbase để xác định sự gia tăng bất thường về số lượng của các email có thể có chứa virus. Iron Port sử dụng kỹ thuật này để tạm thời giữ lại các email tiềm ẩn nguy cơ cho đến khi những dấu hiệu nhận dạng virus này được phát hành bởi các hãng Anti Virus tích hợp như McAfee và Sophos. Thời gian trung bình để có thể phát hành dấu hiệu nhận dạng virus (virus signature) trung bình khoảng 13 tiếng. Do đó Iron Port cung cấp sự bảo vệ cho khách hàng trong thời gian các loại virus mới phát triển cho tới khi một dấu hiệu nhận dạng được phát hành.
Chứng Thực Và Mã Hóa
Mỗi email được gởi ra ngoài sẽ được quét bởi hệ thống bộ lọc của IronPort hoặc nội dung lọc. Nếu những email này tương ứng với chính sách luật mã hóa đã được định nghĩa trước thì chúng sẽ được mã hóa – email mã hóa sẽ được gửi tới người nhận trong khi chìa khóa giải mã được chứa tại dịch vụ lưu trữ chìa khóa của Iron Port (Iron Port’s Hosted Keys).
Người nhận: mở email bằng một phần mềm kiểm tra mail thông thường như là MS. Outlook, …, hoặc có thể là web mail.
Người nhận: sẽ được yêu cầu cung cấp một mật khẩu để mở email. Mật khẩu được chứng thực với dịch vụ lưu trữ chìa khóa (Hosted Keys). Nếu thành công, chìa khóa giải mã sẽ được gửi lại cho người sử dụng và email sẽ được hiển thị đúng với nội dung của nó.
Chính sách luật quản lý người dùng
Khách hàng có thể tạo rất nhiều luật trên thiết bị Iron Port để quản lý việc gửi/nhận mail của người dùng.
Async OS – MTA
Hệ điều hành AsyncOS là hệ điều hành do IronPort tự phát triển và đã được tối ưu hóa cao cho việc đảm nhiệm thực thi chức năng bảo vệ email ngay tại cổng ra vào. Nó bảo đảm tính sẵn sàng cho email từ ngoài vào, giảm bớt độ trễ của việc gửi/nhận email, bảo vệ thông tin về email của người dùng không bị đánh cắp, bảo vệ địa chỉ IP được sử dụng để gửi mail được đánh giá tốt, và cung cấp khả năng giám sát hệ thống mail một cách rõ ràng.
Độ mở rộng
Chúng ta có thể sử dụng nhiều thiết bị IronPort và một thiết bị cân bằng tải để chia sẽ tải và cung cấp sự dư thừa để có thể xử lý nhiều email và cung cấp đô tin cậy cao.
Chúng ta có thể mua nhiều giấy phép sử dụng hơn cho người dùng nếu có nhu cầu mở rộng mà hiệu suất của thiết bị IronPort hiện tại vẫn đáp ứng được.