PROFESJONALNE USŁUGI BEZPIECZEŃSTWA



Podobne dokumenty
PROFESJONALNE USŁUGI BEZPIECZEŃSTWA

OPIS PRZEDMIOTU ZAMÓWIENIA w odniesieniu do zadania antywirus - dostawa oprogramowania antywirusowego

Sieci komputerowe i bazy danych

Produkty. MKS Produkty

Skuteczne rozpoznanie oraz kontrola aplikacji i użytkowników sieci - rozwiązanie Palo Alto Networks

MODEL WARSTWOWY PROTOKOŁY TCP/IP

Funkcjonalność ochrony antywirusowej w urządzeniach UTM oraz specjalizowanych rozwiązaniach zabezpieczeń AV

Instrukcja konfiguracji funkcji skanowania

PROFESJONALNE SYSTEMY BEZPIECZEŃSTWA

Przewodnik technologii ActivCard

Znak sprawy: KZp

Windows W celu dostępu do i konfiguracji firewall idź do Panelu sterowania -> System i zabezpieczenia -> Zapora systemu Windows.

PROFESJONALNE SYSTEMY BEZPIECZEŃSTWA

Program szkolenia KURS SPD i PD Administrator szkolnej pracowni internetowej Kurs MD1 Kurs MD2 Kurs MD3 (dla szkół ponadgimnazjalnych)

Client-side Hacking - wprowadzenie w tematykę ataków na klienta. Radosław Wal radoslaw.wal@clico.pl

Przewodnik technologii ActivCard

Wymagania techniczne dla programów antywirusowych. Oprogramowanie dla serwerów i stacji roboczych będących w sieci - ilość 450 sztuk:

SPECYFIKACJA TECHNICZNA. LP. Parametry wymagane Parametry oferowane (pełny opis

Produkty. ESET Produkty

PROFESJONALNE USŁUGI BEZPIECZEŃSTWA

Zdalne logowanie do serwerów

PROFESJONALNE SYSTEMY BEZPIECZEŃSTWA

Pełna specyfikacja pakietów Mail Cloud

Pełna specyfikacja pakietów Mail Cloud

Centralne zarządzanie odległych instalacji zabezpieczeń na przykładzie SofaWare Security Management Portal

Jarosław Kuchta Administrowanie Systemami Komputerowymi. Internetowe Usługi Informacyjne

Pełna specyfikacja pakietów Mail Cloud

7. zainstalowane oprogramowanie zarządzane stacje robocze

Autorytatywne serwery DNS w technologii Anycast + IPv6 DNS NOVA. Dlaczego DNS jest tak ważny?

Problemy z bezpieczeństwem w sieci lokalnej

systemów intra- i internetowych Platformy softwarowe dla rozwoju Architektura Internetu (2) Plan prezentacji: Architektura Internetu (1)

Zadanie1: Odszukaj w serwisie internetowym Wikipedii informacje na temat protokołu http.

Obsługa poczty elektronicznej w domenie emeritus.ue.poznan.pl

TCP/IP. Warstwa aplikacji. mgr inż. Krzysztof Szałajko

Microsoft Exchange Server 2013

Serwer SSH. Wprowadzenie do serwera SSH Instalacja i konfiguracja Zarządzanie kluczami

Projektowanie bezpieczeństwa sieci i serwerów

SMB protokół udostępniania plików i drukarek

Bezpieczny system poczty elektronicznej

Bezpieczeństwo poczty elektronicznej

Wstęp... ix. 1 Omówienie systemu Microsoft Windows Small Business Server

Szkolenie autoryzowane. MS Konfigurowanie Windows 8. Strona szkolenia Terminy szkolenia Rejestracja na szkolenie Promocje

Instrukcja konfigurowania poczty Exchange dla klienta pocztowego użytkowanego poza siecią uczelnianą SGH.

Bezpieczeństwo Systemów Komputerowych. Wirtualne Sieci Prywatne (VPN)

MONITOROWANIE WINDOWS Z NETCRUNCHEM 7 P A G E 1

Szkolenie autoryzowane. MS Administracja i obsługa Windows 7. Strona szkolenia Terminy szkolenia Rejestracja na szkolenie Promocje

11. Autoryzacja użytkowników

Wykład 6: Bezpieczeństwo w sieci. A. Kisiel, Bezpieczeństwo w sieci

Kancelaria Prawna.WEB - POMOC

Tomasz Greszata - Koszalin

Pomoc dla r.

12. Wirtualne sieci prywatne (VPN)

Instrukcja zarządzania systemem informatycznym STORK Szymon Małachowski

Sprawozdanie nr 4. Ewa Wojtanowska

Rozdział 6 - Z kim się kontaktować Spis treści. Wszelkie prawa zastrzeżone WiedzaTech sp. z o.o Kopiowanie bez zezwolenia zabronione.

Instrukcja aktywacji tokena w usłudze BPTP

Sieci komputerowe. Wstęp

Instrukcja instalacji usługi Sygnity Service

Konfiguracja poczty IMO w programach Microsoft Outlook oraz Mozilla Thunderbird

WYMAGANE PARAMETRY TECHNICZNE OFEROWANYCH URZĄDZEŃ ZABEZPIECZAJĄCYCH

SIECI KOMPUTEROWE. Podstawowe wiadomości

DESlock+ szybki start

Protokoły sieciowe - TCP/IP

SIŁA PROSTOTY. Business Suite

Internetowy serwis Era mail Aplikacja sieci Web

Funkcjonalność ochrony firewall w urządzeniach UTM oraz specjalizowanych rozwiązaniach zabezpieczeń

PROFESJONALNE SYSTEMY BEZPIECZEŃSTWA

Podstawy bezpieczeństwa

OPIS PRZEDMIOTU ZAMÓWIENIA. Dotyczy postępowania : Zakup licencji na system zabezpieczeń dla Urzędu Miejskiego w Gliwicach.

ArcaVir 2008 System Protection

Konfiguracja programu MS Outlook 2007 dla poczty w hostingu Sprint Data Center

Wykład 5: Najważniejsze usługi sieciowe: DNS, SSH, HTTP, . A. Kisiel,Protokoły DNS, SSH, HTTP,

SERWERY WIRTUALNE Stabilność, szybkość i bezpieczeństwo danych...

System komputerowy. Sprzęt. System komputerowy. Oprogramowanie

Złośliwe oprogramowanie Sandrorat (podszywające się pod oprogramowanie Kaspersky) na platformę Android WYNIKI ANALIZY

Studium przypadku Case Study CCNA2-ROUTING. Warianty projektów

Sieci VPN SSL czy IPSec?

Kurs: ECDL Usługi w sieciach informatycznych poziom podstawowy

ArtPlayer oprogramowanie do odtwarzania plików video sterowane Artnet/DMX V1.0.1

1 Implementowanie i konfigurowanie infrastruktury wdraŝania systemu Windows... 1

Small Business Server 2008 PL : instalacja, migracja i konfiguracja / David Overton. Gliwice, cop Spis treści

BG-II-211/35/ Warszawa, r.

sprawdzonych porad z bezpieczeństwa

Skrócony podręcznik dla partnerów

Certyfikat niekwalifikowany zaufany Certum Silver. Instalacja i użytkowanie pod Windows Vista. wersja 1.0 UNIZETO TECHNOLOGIES SA

Wykład 3 / Wykład 4. Na podstawie CCNA Exploration Moduł 3 streszczenie Dr inż. Robert Banasiak

9. Internet. Konfiguracja połączenia z Internetem

SZYBKI START. Obsługa skrzynki pocztowej systemu GroupWise przy użyciu przeglądarki Web lub urządzenia bezprzewodowego na stronie 5

pasja-informatyki.pl

Audytowane obszary IT

Bezpieczeństwo w M875

Projektowanie Bezpieczeństwa Sieci Łukasz Jopek Projektowanie Bezpieczeństwa Sieci - Laboratorium. Konfiguracja NAP Network Access Protection

Instrukcja instalacji usługi Sygnity Service

4. Podstawowa konfiguracja

Konfiguracja poczty IMO dla urządzeń mobilnych z systemem ios oraz Android.

Dokonaj instalacji IIS opublikuj stronę internetową z pierwszych zajęć. Ukaże się kreator konfigurowania serwera i klikamy przycisk Dalej-->.

Krótka instrukcja instalacji

KURSY I SZKOLENIA REALIZOWANE W RAMACH PROJEKTU:

Transkrypt:

PROFESJONALNE USŁUGI BEZPIECZEŃSTWA Praktyczne metody ochrony poczty elektronicznej Opracował: Mariusz Stawowski Poczta elektroniczna jest w większości instytucji powszechnie wykorzystywaną usługą Internetu, szczególnie w zakresie wymiany informacji z klientami i partnerami handlowymi. Usługa ta stwarza jednak wiele problemów w zakresie bezpieczeństwa, m.in.: serwer poczty może zostać zaatakowany przez hakera, a następnie posłużyć do włamania do sieci prywatnej, serwer poczty może zostać zablokowany za pomocą ataku Denial of Service (DoS), bądź ulec awarii, wiele groźnych aplikacji (np. wirusy, robaki, konie trojańskie) może przedostać się do sieci prywatnej poprzez wiadomości pocztowe, serwer poczty może odebrać wiele niepożądanych przesyłek pocztowych tzw. spamów, serwer poczty może zostać wykorzystany przez hakerów (nazywanych także lamerami) do wysyłania spamów do innych serwerów w Internecie, poufne informacje przesyłane za pomocą poczty mogą zostać odczytane przez osoby nieupoważnione, bądź zmodyfikowane w niepożądany sposób, serwer DNS udostępniający informacje nt. serwera poczty może zostać zablokowany lub ulec awarii. Problemy te zostaną przeanalizowane i dla każdego z nich przedstawione możliwe rozwiązanie. Rozwiązania praktyczne oparto o technologie zabezpieczeń Check Point VPN- 1/FireWall-1 i Trend Micro InterScan VirusWall. VPN-1/FireWall-1 nie wymaga dodatkowego przedstawienia, ponieważ jest to renomowany produkt, od wielu lat na świecie najczęściej stosowany w systemach zabezpieczeń klasy Firewall i VPN (rozwiązanie to w Polsce jest dobrze znane, posiada rozbudowaną sieć dystrybucyjną, pomocy technicznej i szkoleń). Należałyby jednak bliżej przedstawić pakiet sieciowych zabezpieczeń antywirusowych InterScan VirusWall. Produkty firmy Trend Micro mogą być bowiem bardziej znane w konwencjonalnych zastosowaniach (np. skanery dla komputerów PC). InterScan VirusWall składa się z trzech podstawowych komponentów: E-mail VirusWall, Web VirusWall i FTP VirusWall. Komponenty te mogą funkcjonować na tej samej maszynie lub oddzielnie. Typowe miejsce ich instalacji to stacje Internet Gateway i serwery sieciowe. Zakres funkcjonalny VirusWall można rozszerzać poprzez dodatkowe moduły, realizujące specyficzne zadania (np. zarządzanie przepływu poczty elektronicznej, ochrona przed spamami). Do istotnych własności VirusWall można zaliczyć: ochrona sieci prywatnej przed atakiem wirusów, robaków, koni trojańskich i innych groźnych aplikacji, przenikających z Internetu poprzez protokoły SMTP, FTP i HTTP (m.in. ActiveX i Java), obsługa poczty napływającej do sieci prywatnej oraz wysyłanej do Internetu, łącznie z jej dystrybucją na podstawie wpisów DNS (priorytety MX), uzupełnienie konwencjonalnych zabezpieczeń klasy Firewall i Intrusion Detection System (IDS), współdziałanie z systemami zaporowymi Firewall poprzez protokół Content Vectoring Protocol (CVP),

wysyłanie komunikatów i ostrzeżeń do użytkowników (E-mail VirusWall dodaje tekst do treści przesyłki pocztowej, Web VirusWall przesyła kod HTML do przeglądarki, FTP VirusWall wyświetla tekst klientowi FTP), samodzielna (automatyczna) aktualizacja bazy wirusów, także w trybie przyrostowym, zarządzanie lokalne za pomocą GUI oraz zdalne poprzez interfejs Web, bądź też zastosowanie centralnej konsoli zarządzania Trend Micro Virus Control System (VCS). InterScan VirusWall może być instalowany w różnych konfiguracjach w zależności od potrzeb i specyfiki ochranianego systemu. E-mail VirusWall najczęściej funkcjonuje na dedykowanej stacji pomiędzy Firewall i serwerem poczty, obok Firewall (jako serwer CVP), na stacji Internet Gateway, bądź też na samym serwerze poczty. Web VirusWall zwykle instalowany jest na serwerze HTTP Proxy i konfigurowany w taki sposób, aby przeglądarki Web korzystające z Proxy najpierw łączyły się z VirusWall, a także na stacji obok Firewall jako serwer CVP. Typowe miejsce instalacji FTP VirusWall to Internet Gateway, stacja obok Firewall (jako serwer CVP) lub FTP Proxy. Ochrona serwerów poczty przed włamaniami Serwer poczty, podobnie jak inne serwery sieciowe może potencjalnie stać się ofiarą włamania. W przypadku serwerów poczty szczególnie groźne są próby włamań z obszaru Internetu. W razie udanego włamania na serwer poczty internetowej może stać się on dogodnym miejscem do prowadzenia dalszych penetracji sieci prywatnej. W przeszłości zarejestrowano bardzo wiele udanych tego typu włamań (np. z wykorzystaniem błędów programu sendmail). Zastosowanie Check Point FireWall-1 zapewnia nam w tym zakresie praktycznie całkowite zabezpieczenie serwerów poczty zlokalizowanych w sieci prywatnej instytucji. Wymagane jest tylko odpowiednie skonfigurowanie znajdujących się w FireWall-1 mechanizmów zabezpieczeń SMTP Security Server (patrz rysunek 1). Wszystkie połączenia SMTP z Internetu są wtedy odbierane przez SMTP Security Server (MX jest ustawiony na adres FireWall-1), zawartość przesyłek jest poddawana kontroli, a następnie są one zapisywane na dysku maszyny Firewall. Inny proces FireWall-1 odpowiada za odczytanie przesyłek z dysku i przesłanie ich do odpowiedniego serwera w sieci prywatnej. Serwery poczty instytucji nie powinny być w ogóle osiągalne z Internetu (tzn. nie powinno być technicznych możliwości nawiązania z nimi bezpośredniego połączenia nawet w razie wyłączania zabezpieczeń Firewall). Rys 1) Koncepcja ochrony serwerów poczty przez Check Point FireWall-1 2

Ochrona serwerów poczty przed atakami destrukcyjnymi i awariami W przypadku zastosowania zabezpieczeń Check Point FireWall-1 i odpowiedniej ich konfiguracji problem ataków destrukcyjnych na serwery poczty praktycznie nie istnieje. Nie ma bowiem bezpośredniego dostępu do serwerów poczty z Internetu. Zablokowanie FireWall-1 jest znacznie trudniejsze od zablokowania serwera poczty, ponieważ jako system zabezpieczeń Firewall poddaje kontroli pakiety już do 3 warstwy modelu OSI (m.in. datagramy IP poddane fragmentacji są scalane i analizowane, sprawdzana jest poprawność poleceń SMTP oraz format danych aplikacyjnych). Ochrona przed awariami FireWall-1 realizowana jest poprzez tworzenie tzw. konfiguracji High Availability (HA). FireWall-1 może funkcjonować w trzech konfiguracjach HA: hot stand-by konfiguracja składa się z dwóch lub więcej maszyn FireWall-1, wśród których tylko jedna jest aktywna, a pozostałe to maszyny zapasowe uruchamiane w razie awarii aktywnego Firewall (system zaporowy widoczny jest pod jednym adresem IP), load sharing konfiguracja składa się z dwóch lub więcej maszyn FireWall-1, spiętych w klaster, współdzielących ze sobą ruch sieci rozdzielany pomiędzy poszczególne Firewall przez urządzenia zewnętrzne np. rutery (w sieci widoczne są adresy IP poszczególnych maszyn FireWall-1), load balancing konfiguracja składa się z dwóch lub więcej maszyn FireWall-1, spiętych w klaster, dynamicznie równoważących pomiędzy sobą obciążenie sieci (system zaporowy widoczny jest pod jednym adresem IP, wymaga zastosowania modułu StoneBeat FullCluster). Konfigurację HA samych serwerów antywirusowych VirusWall można zbudować za pomocą StoneBeat SecurityCluster. Zabezpieczenie serwerów poczty przed awariami najczęściej odbywa się poprzez tworzenie wielu serwerów SMTP, obsługujących tą samą domenę poczty. Priorytet serwerów ustala się w DNS w definicjach rekordów MX poszczególnych serwerów. W razie niedostępności serwera o najwyższym priorytecie poczta przesyłana jest do serwera o niższym priorytecie. W przypadku stosowania zabezpieczeń FireWall-1 realizowane jest to w inny sposób (FireWall-1 nie odczytuje priorytetów MX). W konfiguracji SMTP Security Server należy podać adresy IP lub nazwy DNS serwerów poczty (patrz rysunek 2). W razie niedostępności jednego serwera, FireWall-1 przesyła pocztę do następnego z listy. Jeżeli okaże się, że wszystkie serwery są niedostępne FireWall-1 przechowuje pocztę do czasu ich naprawy. Rys 2) Konfiguracja zabezpieczeń poczty w Check Point FireWall-1 3

Innym zagrożeniem dla prawidłowego funkcjonowania poczty internetowej jest niedostępność (np. zablokowanie, awaria) serwera DNS, który udziela informacji nt. serwera poczty. Zagrożenie wynika z tego, iż w razie gdy adres IP serwera poczty określonej domeny nie zostanie znaleziony przesyłki pocztowe wysyłane do tej domeny są odrzucane. Jest to bardziej groźne od awarii samego serwera poczty, ponieważ gdy serwer ten jest niedostępny poczta do niego kierowana jest przechowywana przez długi czas na serwerze wysyłającym. W typowej konfiguracji podstawowy serwer DNS (primary server), posiadający lokalną bazę danych dla swojej strefy DNS, instalowany jest w sieci chronionej przez Firewall. Dodatkowy serwer DNS (secondary server), nie posiadający stałej bazy danych, instalowany jest w sieci operatora Internet. Serwer ten dla klientów DNS (tzw. resolves) jest pełnowartościowym źródłem informacji. Dodatkowe serwery DNS odczytują dane nt. swoich stref z innych serwerów DNS (najczęściej serwerów podstawowych) za pomocą operacji DNS Zone Transfer. Serwer udostępniający dane określany jest wtedy jako DNS Master Server. Ochrona przed wirusami i innymi groźnymi aplikacjami Wirusy od wielu lat zajmują najwyższe miejsce na liście zagrożeń systemów komputerowych. W środowisku Internet popularne stały się także inne groźne aplikacje: robaki (programy posiadające zdolności samodzielnego przenoszenia) i konie trojańskie (programy udające inne, legalne aplikacje). Skuteczny system ochrony przed tego typu zagrożeniami powinien opierać się na wielu warstwach zabezpieczeń. Najczęściej stosowana konfiguracja systemu ochrony przeciw wirusowej składa się z dwóch lub trzech warstw, zlokalizowanych na Firewall, serwerach i stacjach użytkowników. Poszczególne warstwy ochrony powinny opierać się na technologiach różnych producentów. Rys 3) Architektura sieciowych zabezpieczeń antywirusowych FireWall-1 i VirusWall 4

Najbardziej typowym wdrożeniem sieciowych zabezpieczeń antywirusowych Trend Micro i Check Point jest instalacja serwera E-mail VirusWall w dedykowanej strefie systemu zaporowego FireWall-1. Systemy FireWall-1 i VirusWall komunikują się za pomocą protokołu CVP (patrz rysunek 3). System DNS jest tak skonfigurowany, aby MX wskazywał na FireWall-1 lub wewnętrzny serwer poczty. Poczta nadchodząca z Internetu jest obsługiwana przez SMTP Security Server i przesyłana do kontroli do VirusWall. Po wykonaniu kontroli VirusWall przesyła z powrotem przesyłki do FireWall-1, który z kolei kieruje je do odpowiedniego serwera poczty w sieci prywatnej. Do celów podwyższenia wydajności i niezawodności kontroli możliwe jest zainstalowanie wielu serwerów VirusWall. FireWall-1 posiada mechanizmy realizujące dynamiczne równoważenie obciążenia serwerów CVP. Możliwe są także inne konfiguracje sieciowych zabezpieczeń antywirusowych Trend Micro. Dla przykładu, E-mail VirusWall zainstalowany na Internet Gateway odbiera wszystkie przesyłki SMTP nadchodzące z Internetu i poddaje je kontroli przed ich dostarczeniem do właściwego serwera poczty (patrz rysunek 4). VirusWall jest wtedy uruchomiony na porcie typowym dla serwera SMTP (tcp/25). Dalsza dystrybucja przesyłek SMTP do odpowiednich serwerów w sieci prywatnej odbywa się na podstawie odczytu DNS (VirusWall odczytuje także priorytety MX). Dużą zaletą tej konfiguracji dla instytucji jest możliwość posiadania wielu serwerów poczty. Konfiguracja ta z reguły nie wymaga rekonfiguracji DNS. Ze względów bezpieczeństwa, a szczególnie wydajności nie jest zalecane instalowanie VirusWall na maszynie systemu zaporowego Firewall. Rys 4) Zabezpieczenia E-mail VirusWall na styku Internetu i sieci prywatnej E-mail VirusWall może również zostać zainstalowany bezpośrednio na maszynie serwera poczty w sieci prywatnej. Wymagana jest wtedy rekonfiguracja serwera poczty, tak aby VirusWall mógł zostać uruchomiony na porcie tcp/25 i nasłuchiwać na napływające przesyłki SMTP. Po wykonaniu kontroli, VirusWall przesyła wiadomości do rzeczywistego serwera (na wybrany w konfiguracji port), skąd trafiają do skrzynek (tzw. mail store), a następnie są udostępniane klientom poczty poprzez POP3 lub IMAP4. 5

Rys 5) E-mail VirusWall na dedykowanym serwerze antywirusowym Dopuszczalne jest także, aby E-Mail VirusWall został zainstalowany na dedykowanym komputerze w sieci prywatnej (patrz rysunek 5). Istotne jest jednak, aby był zlokalizowany na drodze poczty nadchodzącej z Internetu przed docelowym serwerem SMTP. W takiej architekturze zabezpieczeń antywirusowych wymagana jest zmiana adresu IP serwera SMTP i rekonfiguracja klientów poczty lub modyfikacja DNS, tak aby MX wskazywał na adres IP maszyny VirusWall (przesyłki z Internetu muszą najpierw trafiać do VirusWall). Ochrona przed spamami pocztowymi Serwery poczty w Internecie z uwagi na globalny charakter tego środowiska mogą odbierać wiele niepożądanych przesyłek pocztowych. Przesyłki te określane są popularnie jako spamy. Moduł emanager dostępny jako opcja w pakiecie InterScan VirusWall oferuje w tym zakresie znaczące zabezpieczenia. Ich zadaniem jest wykrywanie spamów na podstawie analizy nagłówków wiadomości pocztowych i ich blokowanie jeszcze przed dostarczeniem do serwera poczty. Dużo większym zagrożeniem od odbioru spamów jest wykorzystanie serwera poczty instytucji do wysyłania spamów do innych adresatów. Serwer SMTP z włączoną opcją Mail Relaying może z łatwością zostać wykorzystany przez hakerów do wysyłania spamów. Przede wszystkim może ucierpieć na tym prestiż instytucji i dostępność usługi. Serwer SMTP, z którego wysłano spamy trafia na czarną listę i inne serwery w Internecie nie akceptują od niego wysyłanej poczty. Skutecznym zabezpieczeniem w tym zakresie jest zablokowanie Mail Relaying. W przypadku stosowania zabezpieczeń FireWall-1 można to zrobić w systemie zaporowym, poprzez ustalenie dozwolonych odbiorców poczty dla przesyłek nadchodzących z Internetu (patrz rysunek 6). 6

Rys 6) Inspekcja zawartości poczty w Check Point FireWall-1 Całkowite zablokowanie Mail Relaying uniemożliwia jednak upoważnionym pracownikom instytucji, przebywającym poza terenem instytucji wysyłanie poczty za pomocą swojego serwera SMTP do adresatów z poza instytucji. Jest to bowiem także traktowane jako Mail Relaying. Jeżeli serwer poczty jest bezpośrednio osiągalny z Internetu możliwe jest włączenie na serwerze uwierzytelniania użytkowników dla protokołu SMTP (domyślnie uwierzytelnianie jest wymagane tylko dla POP3 i IMAP4). Nie jest to jednak zalecane ze względu na możliwości ataku na serwer (np. włamanie, DoS) oraz tego, że nie wszystkie serwery i aplikacje klientów poczty potrafią wykonać uwierzytelnianie SMTP. Najczęściej więc dla poczty nadchodzącej z Internetu wprowadza się dwie reguły polityki bezpieczeństwa systemu zaporowego (z rozróżnieniem miejsca nadania poczty), tak aby z zaufanych adresów IP nie blokować Mail Relaying. Ochrona kryptograficzna poczty Poufne informacje przesyłane za pomocą poczty w Internecie mogą potencjalnie zostać odczytane przez osoby nieupoważnione, bądź zmodyfikowane w niepożądany sposób. Skutecznym zabezpieczeniem w tym zakresie jest zastosowanie technik kryptograficznych (np. S/MIME, SSL, PGP, PEM, IPSec/IKE). Wprowadzenie zabezpieczeń kryptograficznych dla poczty elektronicznej w korporacjach sprowadza się do wdrożenia infrastruktury klucza publicznego Public Key Infrastructure (PKI). W mniejszych oraz słabiej zinformatyzowanych instytucjach najczęściej stosowana jest tzw. nie-zarządzana infrastruktura PKI, w której użytkownicy sami generują swoje klucze i certyfikaty, instalują je na stacjach roboczych, dbają o ich ważność i bezpieczeństwo, a po wygaśnięciu ważności sami generują nowe, itd. W tych rozwiązaniach poziom ochrony informacji w znacznej mierze bazuje na jakości posiadanego oprogramowania użytkowego. Dla przykładu, bezpieczeństwo WWW przy stosowaniu nie-zarządzanej PKI zależy głównie od dostępnych w przeglądarce algorytmów kryptograficznych. Warto też wiedzieć, że przeglądarki WWW w ogóle nie sprawdzają list unieważnionych certyfikatów CRL. 7

Problemów tych nie stwarza tzw. zarządzana infrastruktura PKI, która sama dba o klucze i certyfikaty użytkowników przez cały czas ich życia (m.in. odpowiada za ich aktualizację, kontrolę dostępu, Back-up). Zasady funkcjonowania zarządzanej PKI zostaną przedstawione na przykładzie Entrust/PKI. Jest to obecnie najbardziej rozpowszechnione rozwiązanie PKI w systemach finansowo-bankowych (m.in. e-commerce, home banking). Po wdrożeniu w instytucji Urzędu Certyfikacji opartego na technologii Entrust/PKI jedyne co użytkownicy powinni zrobić to zainstalować oprogramowanie Entrust Entelligence i przy pierwszym połączeniu z Urzędem Certyfikacji podać otrzymany numer referencyjny. Entrust Entelligence umożliwia użytkownikom wykorzystanie usług kryptograficznych bez konieczności rozumienia ich złożoności. Użytkownik może praktycznie zapomnieć o certyfikatach i kluczach kryptograficznych, ponieważ wszystko dzieje się w sposób dla niego przezroczysty. Za każdym razem po włączeniu komputera, bądź też po przekroczeniu ustalonego czasu nieaktywności, użytkownik jest poddawany uwierzytelnianiu tożsamości (tzn. podaje swój identyfikator i hasło) i na tej podstawie odbezpieczany jest jego profil kryptograficzny (m.in. klucze szyfrowania i uwierzytelniania). Zarządzana PKI jest więc wygodna dla użytkowników i równocześnie bezpieczna. Jedyną jej wadą jest relatywnie wysoki koszt wdrożenia, który jednak zwraca się w trakcie eksploatacji technologii. Zakres zastosowania PKI to nie tylko poczta elektroniczna. Profil kryptograficzny Entrust może także zostać wykorzystany do innych celów (np. zabezpieczenia plików na dysku, tworzenia kanałów VPN). Entrust Entelligence integruje się ze środowiskiem Windows 95/98/NT i dostarcza usług bezpieczeństwa dla wszystkich aplikacji zgodnych ze specyfikacją Entrust-Ready. W samym pakiecie Entrust dostępne są m.in. następujące aplikacje: Entrust/ICE - zabezpieczanie kryptograficzne plików we wskazanych katalogach, Entrust/TrueDelete - bezpieczne usuwanie plików/danych (zgodnie ze specyfikacjami Departamentu Obrony USA), Entrust/Unity środki bezpieczeństwa zarządzanego PKI dodawane do przeglądarek Microsoft i Netscape, Entrust/Express - środki bezpieczeństwa zarządzanego PKI dodawane do klientów poczty Microsoft Exchange, Microsoft Outlook, QUALCOMM, Eudora Pro Email oraz Lotus Notes, zawierające także wsparcie dla standardu S/MIME. Więcej informacji na temat przedstawionych rozwiązań ochrony poczty elektronicznej oraz produktów zabezpieczeń Check Point, Trend Micro, StoneBeat i Entrust można znaleźć w Internecie na stronach http://www.clico.pl. Rozszerzenie zagadnień bezpieczeństwa poruszonych w artykule czytelnik może znaleźć w publikacjach książkowych autora: Ochrona informacji w sieciach komputerowych i Badanie zabezpieczeń sieci komputerowych. 8

2025 © DocPlayer.pl Polityka prywatności | Warunki świadczenia usług | Zwrotny adres