Содержание
-
Защита серверовэлектронной почты
-
Защита серверов электронной почты
Этапы развертывания и безопасной настройки серверов электронной почты: Планирование развертывания почтового сервера Выбор местоположения почтового сервера в сети Обеспечение сетевой безопасности почтового сервера Безопасное конфигурирование ОС сервера Безопасная установка и настройка почтового сервера Администрирование почтового сервера
-
Планирование установки и развертывания почтового сервера Для снижения затрат и достижения максимального уровня защищенности необходимо, чтобы требования по безопасности вырабатывались и предъявлялись, начиная с самых ранних этапов построения системы. Гораздо сложнее и дороже обходится обеспечение безопасности почтового сервера, если о безопасности начинают думать, когда сервер уже развернут и работает.
-
Планирование развертывания почтового сервера определить цель (цели) использования почтового сервера: информация каких категорий будет обрабатываться или пересылаться через почтовый сервер; каковы требования к обеспечению безопасности данной информации; какие дополнительные услуги будут предоставляться почтовым сервером (будет ли этот компьютер использоваться только для почтового сервера – наиболее безопасный вариант - или на нем будут развернуты еще какие-то службы); каковы требования к безопасности этих дополнительных служб; где в (какой зоне) сети будет размещаться почтовый сервер. На этапе планирования необходимо:
-
Планирование развертывания почтового сервера определить сетевые службы, которые будут развернуты на почтовом сервере и используемые ими протоколы, например: SMTP POP IMAP На этапе планирования необходимо:
-
Планирование развертывания почтового сервера определить какое серверное и клиентское программное обеспечение будет использоваться на почтовом сервере и других поддерживающих серверах; На этапе планирования необходимо: MS Exchange Server Sendmail, qmail, postfix
-
Планирование развертывания почтового сервера определить пользователей или категории пользователей почтового сервера и других обеспечивающих серверов; На этапе планирования необходимо:
-
Планирование развертывания почтового сервера определить привилегии (права доступа к ресурсам) для каждой категории пользователей на почтовом сервере и на других обеспечивающих серверах; На этапе планирования необходимо:
-
Планирование развертывания почтового сервера решить, будут ли (и если будут, то как) пользователи аутентифицироваться, и как данные аутентификации (имена и пароли) будут защищаться; На этапе планирования необходимо: ID
-
Планирование развертывания почтового сервера определить какими средствами будут реализовываться заданные правила разграничения доступа к информационным ресурсам. На этапе планирования необходимо:
-
Выбор местоположения почтового сервера в сети
-
Что такое межсетевой экран?
Межсетевой экран - это специализированное программное или аппаратное обеспечение, позволяющее разделить сеть на две или более частей с различными требованиями к безопасности и реализовать набор правил, определяющих условия прохождения сетевых пакетов из одной части в другую МЭ Сеть 1 Сеть 2
-
Ограничение доступа к почтовому серверу Межсетевой экран позволяет ограничить доступ к компьютеру с установленным на нем почтовым сервером только разрешенными почтовыми протоколами Это не позволит внешнему злоумышленнику использовать для атаки на сервер неразрешенные сервисы Если для атаки использовалось ПО самого почтового сервера, то после атаки затруднительно будет использовать машину в качестве плацдарма для атаки на внутреннюю сеть
-
E-mail сервер Размещение почтового сервера во внутренней сети Межсетевой экран Внутренняя сеть Варианты размещения почтовых серверов
-
Размещение почтового сервера во внутренней сети Преимущества с точки зрения безопасности: почтовый сервер может быть защищен межсетевым экраном; проще администрировать почтовый сервер. Недостатки: компрометация почтового сервера непосредственно угрожает безопасности всей внутренней сети. Варианты размещения почтовых серверов
-
Размещение почтового сервера во внешней сети Межсетевой экран Внутренняя сеть E-mail сервер Варианты размещения почтовых серверов
-
Размещение почтового сервера во внешней сети Варианты размещения почтовых серверов Преимущества с точки зрения безопасности: компрометация почтового сервера безопасности всей внутренней сети непосредственно не угрожает; DoS атаки на почтовый сервер не влияют (кроме как на почту) на работу узлов внутренней сети. Недостатки: почтовый сервер не может быть защищен межсетевым экраном; почтовый сервер и операционная система его компьютера должны быть очень хорошо настроены для обеспечения безопасности; сложно обеспечить безопасность удаленного администрирования почтового сервера; сложно осуществлять мониторинг входящего и исходящего трафика почтового сервера.
-
К внутренней сети Демилитаризованная зона (ДМЗ) Граничная сеть К внутренней сети Тупиковая сеть
-
Фильтрующий маршрутизатор Межсетевой экран Внутренняя сеть DMZ E-mail сервер WEB сервер DNS сервер Размещение почтового сервера в ДМЗ(вариант 1) Варианты размещения почтовых серверов
-
Размещение почтового сервера в ДМЗ(вариант 2) Межсетевой экран Внутренняя сеть DMZ E-mail сервер WEB сервер DNS сервер Варианты размещения почтовых серверов
-
Размещение почтового сервера в ДМЗ Варианты размещения почтовых серверов Преимущества с точки зрения безопасности: возможна защита почтового сервера и мониторинг всего трафика к нему и от него; компрометация почтового сервера не угрожает непосредственно ресурсам внутренней сети; больше возможностей по управлению безопасностью почтового сервера; проще администрировать почтовый сервер; конфигурацию DMZ можно оптимизировать с позиций производительности сети и защищенности почтового сервера.
-
Размещение почтового сервера в ДМЗ Варианты размещения почтовых серверов Недостатки с точки зрения безопасности : DoS атаки, нацеленные на почтовый сервер, могут сказываться и на трафике внутренней сети; в зависимости от разрешенных видов трафика между DMZ и внутренней сетью, возможно использование почтового сервера для атаки и компрометации узлов внутренней сети. Во втором варианте конфигурации ДМЗМЭ подвергается повышенному риску снижения пропускной способности при осуществлении DoS атак на почтовый сервер.
-
E-mail сервер Фильтрующий маршрутизатор Размещение почтового сервера во внутренней сети с использованием дополнительного почтового шлюза в ДМЗ Межсетевой экран Внутренняя сеть DMZ E-mail шлюз Варианты размещения почтовых серверов
-
Размещение почтового сервера и терминального сервера в ДМЗ Фильтрующий маршрутизатор Межсетевой экран Внутренняя сеть DMZ E-mail сервер Терминальный сервер Варианты размещения почтовых серверов RDP
-
Использование конфигурации с двумя почтовыми серверами Front-end сервер Back-end сервер Такой вариант конфигурации позволяет разделить роли между почтовыми серверами: Front-end сервербудет отвечать за обмен информацией со внешним миром Back-end сервербудет заниматься хранением баз данных и обработкой запросов внутренних пользователей Варианты размещения почтовых серверов
-
Обеспечение сетевой безопасности почтового сервера
-
Обеспечение сетевой безопасности Элементы сетевой инфраструктуры, влияющие на безопасность почтового сервера: межсетевые экраны (firewalls) маршрутизаторы (routers) сетевые коммутаторы (switches) системы обнаружения атак (IDS)
-
Конфигурирование межсетевых экранов
Front-end сервер Внешняя сеть DMZ Внутренняя сеть SMTP RPC Back-end сервер Для варианта конфигурации с двумя почтовыми серверами POP3IMAP
-
Front-end сервер SMTP Back-end сервер Настойка фильтрующего маршрутизатора Отправка почты при помощи SMTP получение почты при помощи SMTP
-
Правила фильтрации Настойка фильтрующего маршрутизатора № Действие Узел- источник Порт Порт Узел- получатель Комментарий 1 Разрешить * 1024- 65535 25 Front-end сервер 2 Разрешить Front-end сервер 25 1024- 65535 * ФлагиТСР Опции IP ТСР ТСР АСК=1 3 Разрешить Front-end сервер 1024- 65535 25 * 4 Разрешить * 25 1024- 65535 Front-end сервер ТСР ТСР АСК=1
-
Front-end сервер RPC Back-end сервер Отправка почты при помощи RPC Настойка межсетевого экрана
-
Правила фильтрации № Действие Узел- источник Порт Порт Узел- получатель Комментарий ФлагиТСР Опции IP Настойка межсетевого экрана 1 Разрешить Back-end сервер 1024- 65535 RPC Front-end сервер 2 Разрешить Front-end сервер RPC 1024- 65535 Back-end сервер ТСР ТСР АСК=1 3 Разрешить Front-end сервер 1024- 65535 RPC Back-end сервер 4 Разрешить Back-end сервер RPC 1024- 65535 Front-end сервер ТСР ТСР АСК=1
-
Клиентский доступ Настойка межсетевого экрана
-
ISA RPC Application Filter Настойка межсетевого экрана Клиент MAPI (Outlook) ISA Server TCP 135 TCP 1260 TCP 135 Exchange 2000 UUID=PORT? UUID=PORT? TCP 1260 TCP 1025 xxxx 1260 1025 GAL? TCP 1025 GAL? GAL GAL
-
ISA RPC Application Filter Настойка межсетевого экрана Не «слушает» на портах RPC Не публикует сервисы RPC Querying Endpoint Mapper Database... RpcMgmtEpEltInqNext:(The remote procedure call failed. ). rpcdump failed after 1 seconds Не подвержен атакам на EndPoint Mapper Аутентификация средствами ОС
-
Применение коммутатора (switch)
при организации демилитаризованной зоны Фильтрующий маршрутизатор Межсетевой экран Внутренняя сеть DMZ E-mail сервер WEB сервер DNS сервер
-
E-mail сервер WEB сервер DNS сервер Switch DMZ Преимущество использования коммутаторов (switch)вместо концентраторов (hub) в сети с точки зрения безопасности состоит в том, что нарушителю становится намного сложнее перехватить (подслушать) трафик между другими компьютерами в том же сегменте сети
-
Безопасное конфигурирование ОС почтового сервера
-
Выбор ОС для почтового сервера минимальная уязвимость и подверженность воздействиям (все операционные системы уязвимы!); ОС должна удовлетворять следующим требованиям:
-
Выбор ОС для почтового сервера возможность назначения административных прав и максимальных полномочий только авторизованным пользователям; возможность запрета доступа к информационным ресурсам сервера, которые не нужны почтовому серверу для работы; возможность запрета ненужных встроенных в ОС сетевых сервисов (служб); возможность регистрации в журналах сервера событий, полезных для обнаружения попыток вторжения. ОС должна удовлетворять следующим требованиям:
-
Безопасное конфигурирование ОС планирование инсталляции и развертывания операционной системы и других необходимых базовых компонент на компьютере для почтового сервера; Для обеспечения базового уровня безопасности ОС необходимо выполнять следующие четыре шага:
-
Безопасное конфигурирование ОС конфигурирование операционной системы компьютера в соответствии с существующими требованиями безопасности; установка необходимых пакетов обновлений и «заплаток» ПО для ОС; Для обеспечения базового уровня безопасности ОС необходимо выполнять следующие четыре шага:
-
Безопасное конфигурирование ОС тестирование операционной системы компьютера для проверки реализации предыдущими действиями адекватного требованиям уровня безопасности. Для обеспечения базового уровня безопасности ОС необходимо выполнять следующие четыре шага: Сканер безопасности
-
Безопасное конфигурирование ОС Другие службы могут быть скомпрометированы и использованы для атак на хост или для ухудшения работы почтовых служб. Безопасность компьютера при наличии на нем отдельной службы можно обеспечить (настроить) гораздо лучше. Уменьшение числа служб приводит к уменьшению числа записей в журналах регистрации событий Удаление или отключение ненужных служб повышает безопасность почтового сервера следующим образом:
-
Безопасное конфигурирование ОС доступ по сети к файлам и принтерам в Windows NetBIOS; сетевые файловые системы в UNIX (NFS); Telnet; SNMP; FTP; трансляторы (компиляторы) и библиотеки; средства разработки и отладки программ; сетевые средства управления и утилиты. Список некоторых сервисов и приложений, которые требуется запретить (не устанавливать):
-
Безопасное конфигурирование ОС Удалить или запретить учетные записи (пользователей) и группы, установленные по умолчанию. Запретить неинтерактивные учетные записи. Создать группы пользователей. Создать учетные записи пользователей. Проверить исполнение требований политики организации относительно паролей (длина, сложность, время действия, повторяемость, аутентификация) Включить блокировку учетных записей после нескольких неудачных попыток входа. Настройка аутентификации пользователей в ОС:
-
Безопасная установка и настройка почтового сервера
-
Безопасная установка почтового сервера устанавливать программное обеспечение сервера на отдельный (выделенный) компьютер (хост); Целесообразно выполнять следующие рекомендации: DMZ E-mail сервер WEB сервер DNS сервер
-
Безопасная установка почтового сервера устанавливать минимум служб (только необходимые службы); Целесообразно выполнять следующие рекомендации: E-mail сервер
-
Безопасная установка почтового сервера применять (устанавливать) патчи и обновления для устранения всех известных уязвимостей; Целесообразно выполнять следующие рекомендации: E-mail сервер
-
Безопасная установка почтового сервера использовать отдельный физический диск или отдельный логический раздел (раздельный с операционной системой и программным обеспечением почтового сервера) для почтовых ящиков пользователей; Целесообразно выполнять следующие рекомендации:
-
Безопасная установка почтового сервера удалять или запрещать работу всех ненужных, но установленных при инсталляции служб почтового сервера (например, Web-доступ к почте, FTP, удаленное администрирование и т.п.); удалять с сервера всю документацию разработчика; применять подходящие настройки средств безопасности почтового сервера; изменять баннеры (выдаваемые при обращении заголовки) служб SMTP, POP, IMAP и других, чтобы по ним нельзя было установить тип и версию используемой операционной системы и почтового сервера. Целесообразно выполнять следующие рекомендации:
-
Установка сервера Exchange 2000
Практическая работа 7 Работа выполняется в паре. Один из узлов пары – контроллер домена с установленной Active Directory (DC-AD), Второй узел – сервер Exchange (ExchSrv). DC-AD Active DirectoryMicrosoft Outlook ExchSrv сервер Exchange Microsoft Outlook 1. Загрузить ОС Windows 2000 Server (с Active Directory) на одном из узлов пары (DC-AD) 2. Загрузить ОС Windows 2000 Server (без Active Directory) на другом узле пары (на нём будет установлен сервер Exchange) TREExx.EDU EXxx
-
Действия на DC-AD: 3. Создать глобальную группу, в которую будут включены администраторы сервера Exchange:Имя: Exchange Admins 4. Создать учётную запись, которая будет использоваться для администрирования сервера ExchangeИмя: Eadmin Пароль: 1111 5. Включить учётную запись в группы: Enterprise Admins, Domain Admins, Schema Admins, Exchange Admins
-
Действия на сервере Exchange (ExchSrv): 6. Войти локальным администратором и включить (проверить) узел ExchSrv в Active Directory на контроллере домена DC-AD Войти с использованием учётной записи Eadmin Запустить процедуру установки с ключом /ForestPrep Запустить процедуру установки с ключом /DomainPrep Выполнить процедуру установки Exchange 2000 обычным образом Установить Service Pack 3 for Exchange 2000 Создать пользователей user## и user##с почтовыми адресами и ящиками (номера ## должны соответствовать номерам компьютеров пары в классе)
-
Вопросы ?
Нет комментариев для данной презентации
Помогите другим пользователям — будьте первым, кто поделится своим мнением об этой презентации.