Защита серверов электронной почты
Этапы развертывания и безопасной настройки серверов электронной почты: Защита серверов электронной почты Планирование развертывания почтового сервера Выбор местоположения почтового сервера в сети Обеспечение сетевой безопасности почтового сервера Безопасное конфигурирование ОС сервера Безопасная установка и настройка почтового сервера Администрирование почтового сервера
Планирование установки и развертывания почтового сервера Защита серверов электронной почты Для снижения затрат и достижения максимального уровня защищенности необходимо, чтобы требования по безопасности вырабатывались и предъявлялись, начиная с самых ранних этапов построения системы. Гораздо сложнее и дороже обходится обеспечение безопасности почтового сервера, если о безопасности начинают думать, когда сервер уже развернут и работает.
Планирование развертывания почтового сервера определить цель (цели) использования почтового сервера: информация каких категорий будет обрабатываться или пересылаться через почтовый сервер; каковы требования к обеспечению безопасности данной информации; какие дополнительные услуги будут предоставляться почтовым сервером (будет ли этот компьютер использоваться только для почтового сервера – наиболее безопасный вариант - или на нем будут развернуты еще какие-то службы); каковы требования к безопасности этих дополнительных служб; где в (какой зоне) сети будет размещаться почтовый сервер. На этапе планирования необходимо:
Планирование развертывания почтового сервера определить сетевые службы, которые будут развернуты на почтовом сервере и используемые ими протоколы, например: SMTP POP IMAP На этапе планирования необходимо:
Планирование развертывания почтового сервера определить какое серверное и клиентское программное обеспечение будет использоваться на почтовом сервере и других поддерживающих серверах; На этапе планирования необходимо: MS Exchange Server Sendmail, qmail, postfix
Планирование развертывания почтового сервера определить пользователей или категории пользователей почтового сервера и других обеспечивающих серверов; На этапе планирования необходимо:
Планирование развертывания почтового сервера определить привилегии (права доступа к ресурсам) для каждой категории пользователей на почтовом сервере и на других обеспечивающих серверах; На этапе планирования необходимо:
Планирование развертывания почтового сервера решить, будут ли (и если будут, то как) пользователи аутентифицироваться, и как данные аутентификации (имена и пароли) будут защищаться; На этапе планирования необходимо: ID
Планирование развертывания почтового сервера определить какими средствами будут реализовываться заданные правила разграничения доступа к информационным ресурсам. На этапе планирования необходимо:
Выбор местоположения почтового сервера в сети
Межсетевой экран - Что такое межсетевой экран? это специализированное программное или аппаратное обеспечение, позволяющее разделить сеть на две или более частей с различными требованиями к безопасности и реализовать набор правил, определяющих условия прохождения сетевых пакетов из одной части в другую МЭ Сеть 1 Сеть 2
Ограничение доступа к почтовому серверу Межсетевой экран позволяет ограничить доступ к компьютеру с установленным на нем почтовым сервером только разрешенными почтовыми протоколами Это не позволит внешнему злоумышленнику использовать для атаки на сервер неразрешенные сервисы Если для атаки использовалось ПО самого почтового сервера, то после атаки затруднительно будет использовать машину в качестве плацдарма для атаки на внутреннюю сеть
сервер Размещение почтового сервера во внутренней сети Межсетевой экран Внутренняя сеть Варианты размещения почтовых серверов
Размещение почтового сервера во внутренней сети Преимущества с точки зрения безопасности: почтовый сервер может быть защищен межсетевым экраном; проще администрировать почтовый сервер. Недостатки: компрометация почтового сервера непосредственно угрожает безопасности всей внутренней сети. Варианты размещения почтовых серверов
Размещение почтового сервера во внешней сети Межсетевой экран Внутренняя сеть сервер Варианты размещения почтовых серверов
Размещение почтового сервера во внешней сети Варианты размещения почтовых серверов Преимущества с точки зрения безопасности: компрометация почтового сервера безопасности всей внутренней сети непосредственно не угрожает; DoS атаки на почтовый сервер не влияют (кроме как на почту) на работу узлов внутренней сети. Недостатки: почтовый сервер не может быть защищен межсетевым экраном; почтовый сервер и операционная система его компьютера должны быть очень хорошо настроены для обеспечения безопасности; сложно обеспечить безопасность удаленного администрирования почтового сервера; сложно осуществлять мониторинг входящего и исходящего трафика почтового сервера.
К внутренней сети Демилитаризованная зона (ДМЗ) Граничная сеть К внутренней сети Тупиковая сеть
Фильтрующий маршрутизатор Межсетевой экран Внутренняя сеть DMZ сервер WEB сервер DNS сервер Размещение почтового сервера в ДМЗ (вариант 1) Варианты размещения почтовых серверов
Размещение почтового сервера в ДМЗ (вариант 2) Межсетевой экран Внутренняя сеть DMZ сервер WEB сервер DNS сервер Варианты размещения почтовых серверов
Размещение почтового сервера в ДМЗ Варианты размещения почтовых серверов Преимущества с точки зрения безопасности: возможна защита почтового сервера и мониторинг всего трафика к нему и от него; компрометация почтового сервера не угрожает непосредственно ресурсам внутренней сети; больше возможностей по управлению безопасностью почтового сервера; проще администрировать почтовый сервер; конфигурацию DMZ можно оптимизировать с позиций производительности сети и защищенности почтового сервера.
Размещение почтового сервера в ДМЗ Варианты размещения почтовых серверов Недостатки с точки зрения безопасности : DoS атаки, нацеленные на почтовый сервер, могут сказываться и на трафике внутренней сети; в зависимости от разрешенных видов трафика между DMZ и внутренней сетью, возможно использование почтового сервера для атаки и компрометации узлов внутренней сети. Во втором варианте конфигурации ДМЗ МЭ подвергается повышенному риску снижения пропускной способности при осуществлении DoS атак на почтовый сервер.
сервер Фильтрующий маршрутизатор Размещение почтового сервера во внутренней сети с использованием дополнительного почтового шлюза в ДМЗ Межсетевой экран Внутренняя сеть DMZ шлюз Варианты размещения почтовых серверов
Размещение почтового сервера и терминального сервера в ДМЗ Фильтрующий маршрутизатор Межсетевой экран Внутренняя сеть DMZ сервер Терминальный сервер Варианты размещения почтовых серверов RDP
Использование конфигурации с двумя почтовыми серверами Front-end сервер Back-end сервер Такой вариант конфигурации позволяет разделить роли между почтовыми серверами: Front-end сервер будет отвечать за обмен информацией со внешним миром Back-end сервер будет заниматься хранением баз данных и обработкой запросов внутренних пользователей Варианты размещения почтовых серверов
Обеспечение сетевой безопасности почтового сервера
Обеспечение сетевой безопасности Элементы сетевой инфраструктуры, влияющие на безопасность почтового сервера: межсетевые экраны (firewalls) маршрутизаторы (routers) сетевые коммутаторы (switches) системы обнаружения атак (IDS)
Front-end сервер Внешняя сеть DMZ Внутренняя сеть SMTP RPC Back-end сервер Для варианта конфигурации с двумя почтовыми серверами POP3 IMAP Конфигурирование межсетевых экранов
Front-end сервер SMTP Back-end сервер Настойка фильтрующего маршрутизатора Отправка почты при помощи SMTP получение почты при помощи SMTP
Правила фильтрации Настойка фильтрующего маршрутизатора Действие Узел- источник Порт Узел- получатель Комментарий 1Разрешить* Front-end сервер 2Разрешить Front-end сервер * Флаги ТСР Опции IP ТСР АСК=1 3Разрешить Front-end сервер * 4Разрешить* Front-end сервер ТСР АСК=1
Front-end сервер RPC Back-end сервер Отправка почты при помощи RPC Настойка межсетевого экрана
Правила фильтрации Действие Узел- источник Порт Узел- получатель Комментарий Флаги ТСР Опции IP Настойка межсетевого экрана 1Разрешить Back-end сервер RPC Front-end сервер 2Разрешить Front-end сервер RPC Back-end сервер ТСР АСК=1 3Разрешить Front-end сервер RPC Back-end сервер 4Разрешить Back-end сервер RPC Front-end сервер ТСР АСК=1
Клиентский доступ Настойка межсетевого экрана
ISA RPC Application Filter Настойка межсетевого экрана Клиент MAPI (Outlook) ISA Server TCP 135 TCP 1260 TCP 135 Exchange 2000 UUID=PORT? TCP 1260TCP 1025 UUID PortIntPortExt xxxx GAL? TCP 1025 GAL? GAL
ISA RPC Application Filter Настойка межсетевого экрана Не «слушает» на портах RPC Не публикует сервисы RPC Querying Endpoint Mapper Database... RpcMgmtEpEltInqNext:(The remote procedure call failed. ). rpcdump failed after 1 seconds Не подвержен атакам на EndPoint Mapper Аутентификация средствами ОС
при организации демилитаризованной зоны Применение коммутатора (switch) Фильтрующий маршрутизатор Межсетевой экран Внутренняя сеть DMZ сервер WEB сервер DNS сервер
сервер WEB сервер DNS сервер Применение коммутатора (switch) Switch DMZ Преимущество использования коммутаторов (switch) вместо концентраторов (hub) в сети с точки зрения безопасности состоит в том, что нарушителю становится намного сложнее перехватить (подслушать) трафик между другими компьютерами в том же сегменте сети
Безопасное конфигурирование ОС почтового сервера
Выбор ОС для почтового сервера минимальная уязвимость и подверженность воздействиям (все операционные системы уязвимы!); ОС должна удовлетворять следующим требованиям:
Выбор ОС для почтового сервера возможность назначения административных прав и максимальных полномочий только авторизованным пользователям; возможность запрета доступа к информационным ресурсам сервера, которые не нужны почтовому серверу для работы; возможность запрета ненужных встроенных в ОС сетевых сервисов (служб); возможность регистрации в журналах сервера событий, полезных для обнаружения попыток вторжения. ОС должна удовлетворять следующим требованиям:
Безопасное конфигурирование ОС 1. планирование инсталляции и развертывания операционной системы и других необходимых базовых компонент на компьютере для почтового сервера; Для обеспечения базового уровня безопасности ОС необходимо выполнять следующие четыре шага:
Безопасное конфигурирование ОС 2. конфигурирование операционной системы компьютера в соответствии с существующими требованиями безопасности; 3. установка необходимых пакетов обновлений и «заплаток» ПО для ОС; Для обеспечения базового уровня безопасности ОС необходимо выполнять следующие четыре шага:
Безопасное конфигурирование ОС 4. тестирование операционной системы компьютера для проверки реализации предыдущими действиями адекватного требованиям уровня безопасности. Для обеспечения базового уровня безопасности ОС необходимо выполнять следующие четыре шага: Сканербезопасности
Безопасное конфигурирование ОС Другие службы могут быть скомпрометированы и использованы для атак на хост или для ухудшения работы почтовых служб. Безопасность компьютера при наличии на нем отдельной службы можно обеспечить (настроить) гораздо лучше. Уменьшение числа служб приводит к уменьшению числа записей в журналах регистрации событий Удаление или отключение ненужных служб повышает безопасность почтового сервера следующим образом:
Безопасное конфигурирование ОС доступ по сети к файлам и принтерам в Windows NetBIOS; сетевые файловые системы в UNIX (NFS); Telnet; SNMP; FTP; трансляторы (компиляторы) и библиотеки; средства разработки и отладки программ; сетевые средства управления и утилиты. Список некоторых сервисов и приложений, которые требуется запретить (не устанавливать):
Безопасное конфигурирование ОС Удалить или запретить учетные записи (пользователей) и группы, установленные по умолчанию. Запретить неинтерактивные учетные записи. Создать группы пользователей. Создать учетные записи пользователей. Проверить исполнение требований политики организации относительно паролей (длина, сложность, время действия, повторяемость, аутентификация) Включить блокировку учетных записей после нескольких неудачных попыток входа. Настройка аутентификации пользователей в ОС:
Безопасная установка и настройка почтового сервера
Безопасная установка почтового сервера устанавливать программное обеспечение сервера на отдельный (выделенный) компьютер (хост); Целесообразно выполнять следующие рекомендации: DMZ сервер WEB сервер DNS сервер
Безопасная установка почтового сервера устанавливать минимум служб (только необходимые службы); Целесообразно выполнять следующие рекомендации: сервер
Безопасная установка почтового сервера применять (устанавливать) патчи и обновления для устранения всех известных уязвимостей; Целесообразно выполнять следующие рекомендации: сервер
Безопасная установка почтового сервера использовать отдельный физический диск или отдельный логический раздел (раздельный с операционной системой и программным обеспечением почтового сервера) для почтовых ящиков пользователей; Целесообразно выполнять следующие рекомендации:
Безопасная установка почтового сервера удалять или запрещать работу всех ненужных, но установленных при инсталляции служб почтового сервера (например, Web-доступ к почте, FTP, удаленное администрирование и т.п.); удалять с сервера всю документацию разработчика; применять подходящие настройки средств безопасности почтового сервера; изменять баннеры (выдаваемые при обращении заголовки) служб SMTP, POP, IMAP и других, чтобы по ним нельзя было установить тип и версию используемой операционной системы и почтового сервера. Целесообразно выполнять следующие рекомендации:
Практическая работа 7 Установка сервера Exchange 2000 Работа выполняется в паре. Один из узлов пары – контроллер домена с установленной Active Directory (DC-AD), Второй узел – сервер Exchange (ExchSrv). DC-AD Active Directory Microsoft Outlook ExchSrv сервер Exchange Microsoft Outlook 1. Загрузить ОС Windows 2000 Server (с Active Directory) на одном из узлов пары (DC-AD) 2. Загрузить ОС Windows 2000 Server (без Active Directory) на другом узле пары (на нём будет установлен сервер Exchange) TREExx.EDU EXxx
Действия на DC-AD: 3. Создать глобальную группу, в которую будут включены администраторы сервера Exchange: Имя: Exchange Admins 4. Создать учётную запись, которая будет использоваться для администрирования сервера Exchange Имя: Eadmin Пароль: Включить учётную запись в группы: Enterprise Admins, Domain Admins, Schema Admins, Exchange Admins Установка сервера Exchange 2000
Действия на сервере Exchange (ExchSrv): 6. Войти локальным администратором и включить (проверить) узел ExchSrv в Active Directory на контроллере домена DC-AD Войти с использованием учётной записи Eadmin Запустить процедуру установки с ключом /ForestPrep Запустить процедуру установки с ключом /DomainPrep Выполнить процедуру установки Exchange 2000 обычным образом Установить Service Pack 3 for Exchange 2000 Создать пользователей user## и user## с почтовыми адресами и ящиками (номера ## должны соответствовать номерам компьютеров пары в классе) Установка сервера Exchange 2000
Вопросы ?