PRAKTYCZNE PODEJŚCIE DO PRZETWARZANIA POCZTY W CHMURZE I NA BRZEGU SIECI Jarosław Ulczok Jaroslaw.Ulczok@clico.pl CLICO 2013, Sp. CLICO z o.o., SP. 2010 Z O.O.
O CZYM TU DZIŚ Rozwiązań ochrony poczty - czy ciągle ich potrzebujemy? Jak to działa, no właśnie jak? Jak przekonać (się) do ochrony poczty w chmurze Uwagi praktyczne do wdrażania rozwiązań ochrony poczty o czym warto pamiętać Podsumowanie i Q&A
ROZWIĄZANIA OCHRONY POCZTY - CZY CIĄGLE ICH POTRZEBUJEMY?
POCZTA INTERNETOWA, EMAIL 1. Najpowszechniejszy kanał komunikacyjny A.D. 2013 i nie ma symptomów aby to miało ulec zmianie Prawie jak IM Twoja tożsamość to Twój email! 2. Ciągle najpopularniejszy wektor infekcji SPAM -> Phising -> Spear Phising -> Ice Phising 3. Często niezabezpieczona i niezaszyfrowana
PODZIAŁ 1. Usługi reputacyjne RBL, RBL+, DRBL, ERS, itp.. integrowane z posidanym systemem pocztowym lub zaporą 2. Rozwiązania brzegowe (relay gateway) dedykowane rozwiązanie ochrony poczty (reputacja, antyspam, antymalware, kontrola zawartości, DLP, szyfrowanie, archiwizacja, ) 3. Ochrona poczty jako usługa w chmurze Subskrybowane rozwiązania z p.2 w modelu SaaS, minimalne inwestycja po stronie użytkownika w infrastrukturę, 4. Rozwiązanie hybrydowe łączy cechy 2 & 3, z konsolidacją logów, centralnym zarządzenie i kwarantanna
JAK TO DZIAŁA, NO WŁAŚNIE JAK?
OCHRONA POCZTY NA BRZEGU From: user@a.net To: user1@ Subject: user@a.net a.net poczta. user1@ user2@ > Serwer: solaris.clico.krakow.pl Address: 193.193.74.130 MX preference = 20, mail exchanger = poczta. nameserver = ns1. nameserver = info.cyf-kr.edu.pl
OCHRONA POCZTY W CHMURZE From: user@a.net To: user1@ Subject: centrum przetwarzania in.mxcentrum.eu user@a.net a.net poczta. user1@ user2@ > Serwer: solaris.clico.krakow.pl Address: 193.193.74.130 MX preference = 10, mail exchanger = in.mx.centrum.eu nameserver = ns. nameserver = info.cyf-kr.edu.pl
HYBRYDOWA OCHRONA POCZTY From: user@a.net To: user1@ Subject: centrum przetwarzania in.mx.centrum.eu user@a.net a.net poczta. user1@ user2@ > Serwer: solaris.clico.krakow.pl Address: 193.193.74.130 MX preference = 10, mail exchanger = in.mx.centrum.eu nameserver = ns. nameserver = info.cyf-kr.edu.pl
JAK PRZEKONAĆ (SIĘ) DO OCHRONY POCZTY W CHMURZE?
WĄTPLIWOŚĆ #1 Moja poczta będzie przechodzić przez firmę zewnętrzną (obce, niezaufane ręce). Czy w chwili obecnej przechodzi przez zaufane ośrodki? poczta internetowa (SMTP) jest z natury nie szyfrowana i łatwa do podsłuchania. Dostawca usługi powinien być firmą o kilkuletnich tradycjach w oferowaniu tego typu usług, wysokiej reputacji, podlegać prawu Unii Europejskiej (dyrektywy 95/46/EC i 97/66/EC) Bezpieczeństwo danych - lokalizacja usługi w centrum przetwarzania danych o bardzo wysokim poziomie zabezpieczeń. Dodatkowo, dzięki możliwości wymuszenia komunikacji szyfrowanej (TLS) pomiędzy centrum przetwarzania a serwerem klienta CAŁA komunikacja pocztowa do klienta jest szyfrowana. Daje to dodatkowy poziom bezpieczeństwa takiej poczty nie można podsłuchać. Pamiętajmy: wiadomości poufne należy szyfrować niezależnie (S/MIME, PGP, ). Edward S.!
WĄTPLIWOŚĆ #2 Obawiam się konfiguracji, nie znam się na tym Interfejs jest prosty i intuicyjny zobacz sam i się przekonaj: https://emailsec.trendmicro.eu/ http://antyspam.net/ https://admin.mymailwall.com/ https://www.mailcontrol.com/login/login_form.mhtml Pomoc techniczna jest (może być!) w języku polskim (Twoja usługa?!) Praktyka pokazuje, że system ustawiony raz nie wymaga późniejszego strojenia, klienci często o nim po prostu zapominają...
WĄTPLIWOŚĆ #3 Co zrobię gdy jakiś mail zostanie zatrzymany (np. jako spam)? Gdzie szukać pomocy? Usługa ochrony poczty w chmurze posiada bardzo niski współczynnik fałszywych rozpoznań małe jest prawdopodobieństwo zaliczenia dobrej wiadomości jako spam. Producenci uzyskują to dzięki ciągłemu dozorowaniu systemu i jego strojeniu. A nawet gdy... to centrum przetwarzania przechowuje wiadomości klienta poddane kwarantannie przez jakiś czas. W tym czasie istnieje możliwość ponownej wysyłki danej wiadomości do twojego serwera. Codziennie dostajesz krótki raport (digest) tego co zostało zatrzymane. Użytkownicy mają dostęp do własnej kwarantanny. Jest czas aby zareagować. Pomoc techniczna jest (może być!) w języku polskim (Twoja usługa?!)
WĄTPLIWOŚĆ #4 No co by tu jeszcze zmarudzić? Czyli bariera psychologiczna. Przetestuj nic cię to nie kosztuje. Inni już korzystają, poważne instytucje i inne firmy także z Polski. Jeżeli dalej masz obawy, skorzystaj z rozwiązania hybrydowego gdy będziesz gotowy po prostu włącz Filtr w Chmurze. Z doświadczenia innych: wielu klientów, którzy testują zamawia serwis!!!
WDRAŻANIE ROZWIĄZAŃ OCHRONY POCZTY W CHMURZE - UWAGI PRAKTYCZNE
UWAGI PRAKTYCZNE #1 Rekord MX jego niepoprawna zmiana ma opłakane konsekwencje! Zachować, Zmienić, Zweryfikować i poczekać na propagację zmian w DNS (nawet do 48h) Nie wykonuj zmiany w piątek, przed dniem wolnym lub świętami! Stosujmy się do zaleceń producenta danego rozwiązania Pozostawienie starych definicji rekordu MX ale z niższym priorytetem może powodować w dalszym ciągu otrzymywanie niechcianej poczty. > Serwer: solaris.clico.krakow.pl Address: 193.193.74.130 MX preference = 10, mail exchanger = in.mx.centrum.eu MX preference = 20, mail exchanger = mx. MX preference = 100, mail exchanger = solaris. nameserver = ns. nameserver = info.cyf-kr.edu.pl
UWAGI PRAKTYCZNE #2 Uwaga na już posiadane rozwiązanie brzegowe: antyspam, inteligentne zapory lub systemy IDS/IPS Zmienia się profil wchodzącego ruchu SMTP: wiele nadających IP -> jeden/kilka nadających IP Należy znieczulić: profilery, ograniczniki, czujniki poziomu, itp. Przy okazji: można wzmocnić ochronę poprzez zawężenie polityki na zaporze do odbierania poczty jedynie z centrum przetwarzania (odrzucamy spam bezpośredni). centrum przetwarzania poczta.
UWAGI PRAKTYCZNE #3 Poczta wychodząca Pamiętaj aby ruch wewnętrzny zamknąć w ramach własnej domeny/serwera Rekord SPF (Sender Policy Framework) stwórz jeżeli brak i uzupełnij o IP/FQDN centrum przetwarzania. Nadawaj tylko w imieniu zarejestrowanej domeny... w przeciwnym wypadku centrum przetwarzania potraktuje twój ruch jak ruch obcy (z domeny nie zarejestrowanej w usłudze). Czy ten IP (tu: IP centrum przetwarzania) może nadawać w imieniu? > Serwer: solaris.clico.krakow.pl Address: 193.193.74.130 text = v=spf1 mx ip4:216.104.20.0/24 ip4:150.70.149.32/27 ip4:150.70.224.0/20 ip4:150.70.160.0/20 ip4:150.70.176.0/20 -all" centrum przetwarzania MX preference = 10, mail exchanger = in.mx.centrum.eu nameserver = ns. nameserver = info.cyf-kr.edu.pl poczta. a.net From: user@ To: userx@a.net... Subject:
NA CO WARTO ZWRÓCIĆ UWAGĘ
WYBIERAJĄC SYSTEM OCHRONY POCZTY? Wybierz wśród najlepszych marek na rynku, False positive a nie spam detection rate, Kwarantanna zarządzana przez użytkowników, DKIM, szyfrowanie, archiwizacja, DLP, Uwzględnij urządzenia mobilne. Przeprowadź testy.
PODSUMOWANIE Ochrona poczty internetowej jest ciągle bardzo istotnym elementem w kontekście bezpieczeństwa firmy, ochrony działalności biznesowej i zasobów firmy w tym własności intelektualnej. Zainwestuje w dobre rozwiązanie, nie bój się chmury dostrzeż zalety Szyfruj wiadomości poufne i wrażliwe. (Edward S.!) Stosuj i weryfikuj DKIM to nie zatrzyma spamu ale utrudni oszustwa i podszywanie sie. Edukuj pracowników, stwórz politykę korzystania z poczty w firmie.
DZIĘKUJĘ! Do zobaczenia na mailach Jaroslaw.Ulczok@clico.pl CLICO 2013, Sp. CLICO z o.o., SP. 2010 Z O.O.
KONTAKT Z NAMI Skontaktuj się z nami: sales@clico.pl pytania handlowe psk@clico.pl pytania techniczne szklenia@clico.pl pytania odnośnie szkoleń http://www.clico.pl/adres.html Zobacz: http://www.clico.pl/rozwiazania/ 23