Опубликован: 08.12.2008 | Доступ: свободный | Студентов: 578 / 49 | Оценка: 4.63 / 4.37 | Длительность: 14:08:00
Лекция 4:

Безопасность Exchange Server

< Лекция 3 || Лекция 4: 1234 || Лекция 5 >

Безопасность SMTP

По умолчанию сервер SMTP предпринимает попытку установить ТСР-соединение через порт 25 с сервером Exchange через анонимное соединение. "Анонимное" не означает, что пользовательская учетная запись, настроенная в Active Directory, выступает в роли посредника при обработке запроса на соединение, как в случае с анонимной учетной записью (IIS Anonymous) с именем IUSR_<имя_компъютера>.Когда речь идет о протоколе SMTP, термин "анонимное" означает, что для создания соединения через порт 25 удаленной службе SMTP не требуется имя пользователя и пароль. Следовательно, любой SMTP-сервер в интернете по умолчанию может создать соединение через порт 25 с сервером Exchange Server.

Чтобы сделать SMTP более защищенным, затребуйте базовую (Basic) или интегрированную аутентификацию Windows (Integrated Windows Authentication) перед тем, как виртуальный сервер SMTP (VS) примет входящее подключение. Однако такая настройка неприменима к интернету, так как нельзя предсказать, кто будет подключаться к серверу Exchange, и поэтому нельзя думать, что у любого пользователя есть аутентификационные данные для создания соединения. Немногие администраторы систем обмена сообщениями заинтересованы в применении такой меры безопасности. По этой причине, даже если анонимное соединение через порт 25 на сервере Exchange представляет собой уязвимость, ее можно контролировать другим способом.

Как защитить информационную систему от атак? Следует начать с применения межсетевых экранов. Топология с двумя межсетевыми экранами позволяет защитить внутренние серверы Exchange, осуществлять фильтрацию входящей электронной почты на предмет обнаружения потенциальных атак. Область между двумя межсетевыми экранами называется периметровой сетью (широко распространен термин DMZ - демилитаризованная зона).Смысл этой топологии заключается в том, что вокруг уязвимых объектов создается линия обороны, противостоящая потенциальным атакам. Следовательно, в данном случае можно пожертвовать серверами Exchange в периметровой сети, а серверы Exchange во внутренней сети останутся нетронутыми. Так как серверы Exchange в периметровой сети не содержат важной информации (ни почтовых ящиков, ни общих папок), ими можно пожертвовать в момент атаки, после чего легко привести в должное состояние. Поскольку эти серверы выступают только в роли коммутационных серверов, их можно использ овать для проверки входящей электронной почты, поступающей через порт 25.

Рассмотрим рис. 4.8. В периметровой сети расположены три сервера; на внешнем межсетевом экране открыт порт 25. Почта сначала направляется на сервер сканирования содержимого Content Scanning (CS), а затем на сервер антивирусного сканирования Anti-Virus (AV). Следует принять во внимание два момента. Во-первых, все внешние записи MX указывают на сервер CS. Следовательно, любой входящий трафик SMTP будет в обязательном порядке направлен на сервер CS. Во-вторых, сканирование содержимого происходит по причине соотношения периодичности распространения новых вирусов и обновления имеющихся баз данных антивирусной программы. Вспомните несколько известных вирусов, появившихся в последние годы, которые распространились по миру в считанные часы. Считается практически невозможным обнаружение, изучение и создание признаков производителем антивирусных программ до момента появления вируса. Однако можно настроить сервер CS на блокировку или удаление любых сообщений, содержащих определ енные типы вложений, и блокировать новые вирусы, выявляя их по содержимому, а не сравнивая с файлом признаков вирусов.

Несмотря на блокировку сервером определенного набора сообщений электронной почты, рекомендуется сканировать электронную почту с использованием сервера антивирусного сканирования. После сканирования электронная почта отправляется на сервер сертификатов и шифрования Certificates and Encryption (CE).

Три сервера Exchange в периметровой сети

Рис. 4.8. Три сервера Exchange в периметровой сети
Примечание.Следует иметь в виду два момента, связанных с сервером антивирусного сканирования. Во-первых, многие продукты, предлагаемые основными антивирусными серверами, выполняют сканирование содержимого одновременно с антивирусным сканированием на одном и том же виртуальном сервере посредством одного и того же программного обеспечения. При сканировании электронной почты здесь нет никаких проблем. Однако необходимо различать сканирование содержимого и антивирусное сканирование, чтобы помнить о необходимости выполнения обоих типов сканирования в периметровой сети. Во-вторых, мы понимаем, что не каждый может позволить себе приобрести три отдельных сервера и лицензии Exchange для работы в периметровой сети. Опять-таки, эти соображения призваны выделить обсуждаемые нами концепции. Все три функции (сканирование содержимого, антивирусное сканирование и шифрование сообщений) могут выполняться на трех отдельных виртуальных серверах на одном физическом сервере Exchange, или даже ра ботать с применением другой, менее дорогой, платформы SMTP, на менее дорогостоящем оборудовании.

Третьим сервером, через который передается электронная почта, является сервер коммутации Exchange. Этот сервер пересылает зашифрованную и подписанную электронную почту на внутренний сервер Exchange 2003 Server. Внутренний сервер Exchange 2003 Server должен быть настроен на прием входящей электронной почты только с третьего сервера Exchange 2003 Server, находящегося в периметровой сети. Так как порт 25 на внутреннем межсетевом экране закрыт, два сервера Exchange соединены через другой порт. На внутреннем сервере Exchange должно работать его собственное программное обеспечение AV/CS, причем предпочтительнее использовать программы от поставщика, отличного от производителя аналогичных программ, установленных на серверах в периметровой сети. Главной целью такой модели является обеспечение максимально возможного уровня безопасности трафика, проходящего через порт 25.

Между третьим сервером Exchange 2003 периметровой сети и внутренним сервером Exchange необходимо настроить сертификаты и шифрование, а также изменить методы коммутации виртуальных серверов. На сервере Exchange периметровой сети настройка виртуального сервера SMTP осуществляется следующим образом.

  • На вкладке Outbound Security (Безопасность исходящей почты) выберите опцию Integrated Windows Authentication (Интегрированная аутентификация Windows), введите имя пользователя, созданное в Active Directory специально для этой цели, и отметьте опцию TLS Encryption (Шифрование TLS) (см. рис. 4.9). (TLS - это сокращение от Transport Layer Security [Безопасность транспортного уровня]).
    Настройка безопасности исходящей почты для виртуального сервера на сервере СЕ Exchange Server периметровой сети

    Рис. 4.9. Настройка безопасности исходящей почты для виртуального сервера на сервере СЕ Exchange Server периметровой сети

    На вкладке Outbound Connections (Исходящие соединения) укажите исходящий TCP-порт, номер которого сложно угадать (см. рис. 4.10). Этот порт необходимо открыть на внутреннем межсетевом экране для прохождения исходящего трафика.

    Настройка уникального номера порта для исходящего SMTP-трафика на сервере СЕ Exchange Server периметровой сети

    Рис. 4.10. Настройка уникального номера порта для исходящего SMTP-трафика на сервере СЕ Exchange Server периметровой сети

    На вкладке Advanced Delivery (Дополнительные параметры доставки) настройте IP-адрес для внутреннего сервера Exchange Server, чтобы он являлся смарт-узлом для данного виртуального сервера. При этом вся электронная почта будет перенаправляться на внутренний сервер (см. рис. 4.11).

    Настройка внутреннего сервера Exchange на выполнение функций смарт-узла для сервера СЕ Exchange Server периметровой сети

    Рис. 4.11. Настройка внутреннего сервера Exchange на выполнение функций смарт-узла для сервера СЕ Exchange Server периметровой сети

    На виртуальном сервере внутреннего сервера Exchange Server необходимо создать второй виртуальный сервер для входящего трафика и модифицировать его следующим образом.

  • На странице Authentication (Аутентификация) настройте оба метода аутентификации - Basic (Базовая) и IWA (Интегрированная), а также затребуйте шифрование TLS. На вкладке Users (Пользователи) укажите, что только пользовательская учетная запись, настроенная на исходящем виртуальном сервере сервера СЕ Exchange в периметровой сети, может отправлять электронную почту в данный входящий виртуальный сервер (см. рис. 4.12).
    Настройка аутентификации входа на виртуальном сервере входящих сообщений внутреннего сервера Exchange

    Рис. 4.12. Настройка аутентификации входа на виртуальном сервере входящих сообщений внутреннего сервера Exchange
  • На странице Connection (Соединение) укажите IP-адрес сервера СЕ Exchange в периметровой сети как единственного сервера, которому разрешен доступ к виртуальному серверу входящих сообщений (см. рис. 4.13).
    Настройка входящего IP-адреса на виртуальном сервере входящих сообщений внутреннего сервера Exchange

    Рис. 4.13. Настройка входящего IP-адреса на виртуальном сервере входящих сообщений внутреннего сервера Exchange
  • Используйте внутреннее бюро сертификации (СА) для создания сертификатов для обоих серверов Exchange, чтобы использовать эти сертификаты в процессе TLS-процедуры при передаче сообщения.

Ни одна система не является абсолютно надежной, но топология с двумя межсетевыми экранами имеет несколько преимуществ. Во-первых, посредством прохождения электронной почты через эффективное средство сканирования содержимого осуществляется фильтрация кода, не выявляемого сканерами вирусов.

Во-вторых, при прохождении электронной почты через сканер вирусов устраняется максимальное число известных вирусов. Если электронная почта не проходит через обновленный сканер вирусов после прохождения сканера содержимого, это не совсем благоразумно, поскольку сканер содержимого может не выявить старые вирусы.

В-третьих, при прохождении электронной почты через сервер Exchange 2003, который шифрует сообщения и ставит на них цифровую подпись перед отправкой на внутренний сервер Exchange 2003 Server, реализуются несколько типов защиты. IP-адрес внутреннего сервера Exchange 2003 не должен публиковаться в общедоступных записях DNS. В этом случае злоумышленник, пытающийся установить с сервером сеанс связи Telnet, не сможет достигнуть сервера напрямую. Кроме того, если настроить внутренний сервер Exchange 2003 на прием электронной почты только от шифрующего сервера Exchange через порт с номером выше 1024, любые попытки установить соединение с внутренним сервером Exchange с любого другого IP-адреса через порт 25 будут безуспешными. Наконец, чтобы выдавать себя за третий сервер Exchange в периметровой сети, злоумышленник должен выяснить IP-адрес, захватить сертификат и взломать пароль учетной записи пользователя, настроенной между двумя серверами. IP-адрес можно выяснить довольно просто, за исключением случая, когда вну тренний сервер Exchange 2003 Server тоже запрашивает цифровой сертификат (сертификат, выпущенный доверенным бюро сертификатов на внутреннем сервере сертификатов Windows 2000 Certificate Server) перед принятием соединения. Следовательно, необходимо не только выяснить IP-адрес, но и получить действительный сертификат с внутреннего сервера сертификатов. Получение сертификата - дело сложное, особенно если персонал организации хорошо осведомлен в области сетевой безопасности. Здесь подойдут только методы социального инжиниринга. Однако даже в том случае, если хакер получит сертификат и выяснит IP-адрес, ему понадобится выяснить имя пользователя общей учетной записи и взломать его пароль. Хотя это все теоретически возможно, подобные трудности заставят злоумышленника отступить.

Если хакер решит вывести из строя серверы периметровой сети, вы ничего не потеряете, разве что время, которое будет затрачено на восстановление серверов. Организация понесет некоторые финансовые потери из-за невозможности связи через электронную почту, однако утраты данных не произойдет. Это очень важный момент. Сервер, на котором находятся данные, является наиболее защищенным. Соответственно, серверы, наиболее подверженные потенциальным проявлениям угроз, не должны содержать важной информации. Если они будут выведены из строя, то, по крайней мере, данные, необходимые для ведения бизнеса, сохранятся на внутреннем сервере Exchange 2003 Server. Во многих компаниях это считается приемлемым уровнем риска.

Как уже говорилось в этой лекции, не существует идеального решения для обеспечения безопасности, в нем всегда найдется несколько недостатков, например, отсутствие защиты от сообщений, отправляемых на сервер Exchange через Outlook Web Access. Порт 25 хорошо защищен, однако сервер Exchange абсолютно открыт для доступа через порт 80. Если хотите узнать, как обеспечить безопасность OWA, обратитесь к гл. 19.

В данной модели есть еще один недостаток, который нельзя исправить: сообщения продолжают передаваться через все три сервера на внутренний сервер Exchange. До тех пор пока хакер сможет доставить пакет на внутренний сервер Exchange, он сможет нанести ущерб. Поэтому следует помнить, что оговоренное нами во введении правило гласит, что защитить данные можно только на 80 процентов. Однако пусть это не обескураживает вас и не убавляет стремления к применению стратегий защиты.

< Лекция 3 || Лекция 4: 1234 || Лекция 5 >