Praktyczne metody ochrony poczty elektronicznej

Mariusz Stawowski
CLICO Sp. z o.o.

 

Poczta elektroniczna jest w większości instytucji powszechnie wykorzystywaną usługą Internetu, szczególnie w zakresie wymiany informacji z klientami i partnerami handlowymi. Usługa ta stwarza jednak wiele problemów w zakresie bezpieczeństwa, m.in.:

- serwer poczty może zostać zaatakowany przez hakera, a następnie posłużyć do włamania do sieci prywatnej,
- serwer poczty może zostać zablokowany za pomocą ataku Denial of Service (DoS), bądź ulec awarii,
- wiele groźnych aplikacji (np. wirusy, robaki, konie trojańskie) może przedostać się do sieci prywatnej poprzez wiadomości pocztowe,
- serwer poczty może odebrać wiele niepożądanych przesyłek pocztowych tzw. spamów,
- serwer poczty może zostać wykorzystany przez hakerów (nazywanych także lamerami) do wysyłania spamów do innych serwerów w Internecie,
- poufne informacje przesyłane za pomocą poczty mogą zostać odczytane przez osoby nieupoważnione, bądź zmodyfikowane w niepożądany sposób,
- serwer DNS udostępniający informacje nt. serwera poczty może zostać zablokowany lub ulec awarii.

Problemy te zostaną przeanalizowane i dla każdego z nich przedstawione możliwe rozwiązanie. Rozwiązania praktyczne oparto o technologie zabezpieczeń Check Point VPN-1/FireWall-1 i Trend Micro InterScan VirusWall. VPN-1/FireWall-1 nie wymaga dodatkowego przedstawienia, ponieważ jest to renomowany produkt, od wielu lat na świecie najczęściej stosowany w systemach zabezpieczeń klasy Firewall i VPN (rozwiązanie to w Polsce jest dobrze znane, posiada rozbudowaną sieć dystrybucyjną, pomocy technicznej i szkoleń). Należałyby jednak bliżej przedstawić pakiet sieciowych zabezpieczeń antywirusowych InterScan VirusWall. Produkty firmy Trend Micro mogą być bowiem bardziej znane w konwencjonalnych zastosowaniach (np. skanery dla komputerów PC).
InterScan VirusWall składa się z trzech podstawowych komponentów: E-mail VirusWall, Web VirusWall i FTP VirusWall.
Komponenty te mogą funkcjonować na tej samej maszynie lub oddzielnie. Typowe miejsce ich instalacji to stacje Internet Gateway i serwery sieciowe. Zakres funkcjonalny VirusWall można rozszerzać poprzez dodatkowe moduły, realizujące specyficzne zadania (np. zarządzanie przepływu poczty elektronicznej, ochrona przed spamami). Do istotnych własności VirusWall można zaliczyć:

- ochrona sieci prywatnej przed atakiem wirusów, robaków, koni trojańskich i innych groźnych aplikacji, przenikających z Internetu poprzez protokoły SMTP, FTP i HTTP (m.in. ActiveX i Java),
- obsługa poczty napływającej do sieci prywatnej oraz wysyłanej do Internetu, łącznie z jej dystrybucją na podstawie wpisów DNS (priorytety MX),
- uzupełnienie konwencjonalnych zabezpieczeń klasy Firewall i Intrusion Detection System (IDS),
- współdziałanie z systemami zaporowymi Firewall poprzez protokół Content Vectoring Protocol (CVP),
- wysyłanie komunikatów i ostrzeżeń do użytkowników (E-mail VirusWall dodaje tekst do treści przesyłki pocztowej, Web VirusWall przesyła kod HTML do przeglądarki, FTP VirusWall wyświetla tekst klientowi FTP),
- samodzielna (automatyczna) aktualizacja bazy wirusów, także w trybie przyrostowym,
- zarządzanie lokalne za pomocą GUI oraz zdalne poprzez interfejs Web, bądź też zastosowanie centralnej konsoli zarządzania Trend Micro Virus Control System (VCS).

InterScan VirusWall może być instalowany w różnych konfiguracjach w zależności od potrzeb i pecyfiki ochranianego systemu. E-mail VirusWall najczęściej funkcjonuje na dedykowanej stacji pomiędzy Firewall i serwerem poczty, obok Firewall (jako serwer CVP), na stacji Internet Gateway, bądź też na samym serwerze poczty. Web VirusWall zwykle instalowany jest na serwerze HTTP Proxy i konfigurowany w taki sposób, aby przeglądarki Web korzystające z Proxy najpierw łączyły się z VirusWall, a także na stacji obok Firewall jako serwer CVP. Typowe miejsce instalacji FTP VirusWall to Internet Gateway, stacja obok Firewall (jako serwer CVP) lub FTP Proxy.

Ochrona serwerów poczty przed włamaniami

Serwer poczty, podobnie jak inne serwery sieciowe może potencjalnie stać się ofiarą włamania.
W przypadku serwerów poczty szczególnie groźne są próby włamań z obszaru Internetu. W razie udanego włamania na serwer poczty internetowej może stać się on dogodnym miejscem do prowadzenia dalszych penetracji sieci prywatnej. W przeszłości zarejestrowano bardzo wiele udanych tego typu włamań (np. z wykorzystaniem błędów programu sendmail).
Zastosowanie Check Point FireWall-1 zapewnia nam w tym zakresie praktycznie całkowite zabezpieczenie serwerów poczty zlokalizowanych w sieci prywatnej instytucji.
Wymagane jest tylko odpowiednie skonfigurowanie znajdujących się w FireWall-1 mechanizmów zabezpieczeń SMTP Security Server (patrz rysunek 1).
Wszystkie połączenia SMTP z Internetu są wtedy odbierane przez SMTP Security Server (MX jest ustawiony na adres FireWall-1), zawartość przesyłek jest poddawana kontroli, a następnie są one zapisywane na dysku maszyny Firewall. Inny proces FireWall-1 odpowiada za odczytanie przesyłek z dysku i przesłanie ich do odpowiedniego serwera w sieci prywatnej.
Serwery poczty instytucji nie powinny być w ogóle osiągalne z Internetu (tzn. nie powinno być technicznych możliwości nawiązania z nimi bezpośredniego połączenia nawet w razie wyłączania zabezpieczeń Firewall).



Rys 1) Koncepcja ochrony serwerów poczty przez Check Point FireWall-1


Ochrona serwerów poczty przed atakami destrukcyjnymi i awariami

W przypadku zastosowania zabezpieczeń Check Point FireWall-1 i odpowiedniej ich konfiguracji problem ataków destrukcyjnych na serwery poczty praktycznie nie istnieje. Nie ma bowiem bezpośredniego dostępu do serwerów poczty z Internetu. Zablokowanie FireWall-1 jest znacznie trudniejsze od zablokowania serwera poczty, ponieważ jako system zabezpieczeń Firewall poddaje kontroli pakiety już do 3 warstwy modelu OSI (m.in. datagramy IP poddane fragmentacji są scalane i analizowane, sprawdzana jest poprawność poleceń SMTP oraz format danych aplikacyjnych).
Ochrona przed awariami FireWall-1 realizowana jest poprzez tworzenie tzw. konfiguracji High Availability (HA). FireWall-1 może funkcjonować w trzech konfiguracjach HA:

- hot stand-by – konfiguracja składa się z dwóch lub więcej maszyn FireWall-1, wśród których tylko jedna jest aktywna, a pozostałe to maszyny zapasowe uruchamiane w razie awarii aktywnego Firewall (system zaporowy widoczny jest pod jednym adresem IP),
- load sharing – konfiguracja składa się z dwóch lub więcej maszyn FireWall-1, spiętych w klaster, współdzielących ze sobą ruch sieci rozdzielany pomiędzy poszczególne Firewall przez urządzenia zewnętrzne np. rutery (w sieci widoczne są adresy IP poszczególnych maszyn FireWall-1),
- load balancing – konfiguracja składa się z dwóch lub więcej maszyn FireWall-1, spiętych w klaster, dynamicznie równoważących pomiędzy sobą obciążenie sieci (system zaporowy widoczny jest pod jednym adresem IP, wymaga zastosowania modułu StoneBeat FullCluster).

Konfigurację HA samych serwerów antywirusowych VirusWall można zbudować za pomocą StoneBeat SecurityCluster. Zabezpieczenie serwerów poczty przed awariami najczęściej odbywa się poprzez tworzenie wielu serwerów SMTP, obsługujących tą samą domenę poczty. Priorytet serwerów ustala się w DNS w definicjach rekordów MX poszczególnych serwerów. W razie niedostępności serwera o najwyższym priorytecie poczta przesyłana jest do serwera o niższym priorytecie. W przypadku stosowania zabezpieczeń FireWall-1 realizowane jest to w inny sposób (FireWall-1 nie odczytuje priorytetów MX).
W konfiguracji SMTP Security Server należy podać adresy IP lub nazwy DNS serwerów poczty (patrz rysunek 2).
W razie niedostępności jednego serwera, FireWall-1 przesyła pocztę do następnego z listy. Jeżeli okaże się, że wszystkie serwery są niedostępne FireWall-1 przechowuje pocztę do czasu ich naprawy.



Rys 2) Konfiguracja zabezpieczeń poczty w Check Point FireWall-1


Innym zagrożeniem dla prawidłowego funkcjonowania poczty internetowej jest niedostępność (np. zablokowanie, awaria) serwera DNS, który udziela informacji nt. serwera poczty.
Zagrożenie wynika z tego, iż w razie gdy adres IP serwera poczty określonej domeny nie zostanie znaleziony przesyłki pocztowe wysyłane do tej domeny są odrzucane. Jest to bardziej groźne od awarii samego serwera poczty, ponieważ gdy serwer ten jest niedostępny poczta do niego kierowana jest przechowywana przez długi czas na serwerze wysyłającym.
W typowej konfiguracji podstawowy serwer DNS (primary server), posiadający lokalną bazę danych dla swojej strefy DNS, instalowany jest w sieci chronionej przez Firewall. Dodatkowy serwer DNS (secondary server), nie posiadający stałej bazy danych, instalowany jest w sieci operatora Internet. Serwer ten dla klientów DNS (tzw. resolves) jest pełnowartościowym źródłem informacji. Dodatkowe serwery DNS odczytują dane nt. swoich stref z innych serwerów DNS (najczęściej serwerów podstawowych) za pomocą operacji DNS Zone Transfer. Serwer udostępniający dane określany jest wtedy jako DNS Master Server.

Ochrona przed wirusami i innymi groźnymi aplikacjami

Wirusy od wielu lat zajmują najwyższe miejsce na liście zagrożeń systemów komputerowych.
W środowisku Internet popularne stały się także inne groźne aplikacje: robaki (programy posiadające zdolności samodzielnego przenoszenia) i konie trojańskie (programy udające inne, legalne aplikacje). Skuteczny system ochrony przed tego typu zagrożeniami powinien opierać się na wielu warstwach zabezpieczeń. Najczęściej stosowana konfiguracja systemu ochrony przeciw wirusowej składa się z dwóch lub trzech warstw, zlokalizowanych na Firewall, serwerach i stacjach użytkowników.
Poszczególne warstwy ochrony powinny opierać się na technologiach różnych producentów.



Rys 3) Architektura sieciowych zabezpieczeń antywirusowych FireWall-1 i VirusWall


Najbardziej typowym wdrożeniem sieciowych zabezpieczeń antywirusowych Trend Micro i Check Point jest instalacja serwera E-mail VirusWall w dedykowanej strefie systemu zaporowego FireWall-1. Systemy FireWall-1 i VirusWall komunikują się za pomocą protokołu CVP (patrz rysunek 3).
System DNS jest tak skonfigurowany, aby MX wskazywał na FireWall-1 lub wewnętrzny serwer poczty. Poczta nadchodząca z Internetu jest obsługiwana przez SMTP Security Server i przesyłana do kontroli do VirusWall. Po wykonaniu kontroli VirusWall przesyła z powrotem przesyłki do FireWall-1, który z kolei kieruje je do odpowiedniego serwera poczty w sieci prywatnej. Do celów podwyższenia wydajności i niezawodności kontroli możliwe jest zainstalowanie wielu serwerów VirusWall. FireWall-1 posiada mechanizmy realizujące dynamiczne równoważenie obciążenia serwerów CVP.

Możliwe są także inne konfiguracje sieciowych zabezpieczeń antywirusowych Trend Micro.
Dla przykładu, E-mail VirusWall zainstalowany na Internet Gateway odbiera wszystkie przesyłki SMTP nadchodzące z Internetu i poddaje je kontroli przed ich dostarczeniem do właściwego serwera poczty (patrz rysunek 4). VirusWall jest wtedy uruchomiony na porcie typowym dla serwera SMTP (tcp/25). Dalsza dystrybucja przesyłek SMTP do odpowiednich serwerów w sieci prywatnej odbywa się na podstawie odczytu DNS (VirusWall odczytuje także priorytety MX).
Dużą zaletą tej konfiguracji dla instytucji jest możliwość posiadania wielu serwerów poczty. Konfiguracja ta z reguły nie wymaga rekonfiguracji DNS.
Ze względów bezpieczeństwa, a szczególnie wydajności nie jest zalecane instalowanie VirusWall na maszynie systemu zaporowego Firewall.



Rys 4) Zabezpieczenia E-mail VirusWall na styku Internetu i sieci prywatnej


E-mail VirusWall może również zostać zainstalowany bezpośrednio na maszynie serwera poczty w sieci prywatnej. Wymagana jest wtedy rekonfiguracja serwera poczty, tak aby VirusWall mógł zostać uruchomiony na porcie tcp/25 i nasłuchiwać na napływające przesyłki SMTP. Po wykonaniu kontroli, VirusWall przesyła wiadomości do rzeczywistego serwera (na wybrany w konfiguracji port), skąd trafiają do „skrzynek” (tzw. mail store), a następnie są udostępniane klientom poczty poprzez POP3 lub IMAP4.



Rys 5) E-mail VirusWall na dedykowanym serwerze antywirusowym


Dopuszczalne jest także, aby E-Mail VirusWall został zainstalowany na dedykowanym komputerze w sieci prywatnej (patrz rysunek 5). Istotne jest jednak, aby był zlokalizowany na drodze poczty nadchodzącej z Internetu przed docelowym serwerem SMTP. W takiej architekturze zabezpieczeń antywirusowych wymagana jest zmiana adresu IP serwera SMTP i rekonfiguracja klientów poczty lub modyfikacja DNS, tak aby MX wskazywał na adres IP maszyny VirusWall (przesyłki z Internetu muszą najpierw trafiać do VirusWall).

Ochrona przed spamami pocztowymi

Serwery poczty w Internecie z uwagi na globalny charakter tego środowiska mogą odbierać wiele niepożądanych przesyłek pocztowych. Przesyłki te określane są popularnie jako spamy. Moduł eManager dostępny jako opcja w pakiecie InterScan VirusWall oferuje w tym zakresie znaczące zabezpieczenia.
Ich zadaniem jest wykrywanie spamów na podstawie analizy nagłówków wiadomości pocztowych i ich blokowanie jeszcze przed dostarczeniem do serwera poczty.
Dużo większym zagrożeniem od odbioru spamów jest wykorzystanie serwera poczty instytucji do wysyłania spamów do innych adresatów. Serwer SMTP z włączoną opcją Mail Relaying może z łatwością zostać wykorzystany przez hakerów do wysyłania spamów. Przede wszystkim może ucierpieć na tym prestiż instytucji i dostępność usługi. Serwer SMTP, z którego wysłano spamy trafia na „czarną listę” i inne serwery w Internecie nie akceptują od niego wysyłanej poczty. Skutecznym zabezpieczeniem w tym zakresie jest zablokowanie Mail Relaying. W przypadku stosowania zabezpieczeń FireWall-1 można to zrobić w systemie zaporowym, poprzez ustalenie dozwolonych odbiorców poczty dla przesyłek nadchodzących z Internetu (patrz rysunek 6).



Rys 6) Inspekcja zawartości poczty w Check Point FireWall-1


Całkowite zablokowanie Mail Relaying uniemożliwia jednak upoważnionym pracownikom instytucji, przebywającym poza terenem instytucji wysyłanie poczty za pomocą swojego serwera SMTP do adresatów z poza instytucji. Jest to bowiem także traktowane jako Mail Relaying. Jeżeli serwer poczty jest bezpośrednio osiągalny z Internetu możliwe jest włączenie na serwerze uwierzytelniania użytkowników dla protokołu SMTP (domyślnie uwierzytelnianie jest wymagane tylko dla POP3 i IMAP4).
Nie jest to jednak zalecane ze względu na możliwości ataku na serwer (np. włamanie, DoS) oraz tego, że nie wszystkie serwery i aplikacje klientów poczty potrafią wykonać uwierzytelnianie SMTP. Najczęściej więc dla poczty nadchodzącej z Internetu wprowadza się dwie reguły polityki bezpieczeństwa systemu zaporowego (z rozróżnieniem miejsca nadania poczty), tak aby z zaufanych adresów IP nie blokować Mail Relaying.

Ochrona kryptograficzna poczty

Poufne informacje przesyłane za pomocą poczty w Internecie mogą potencjalnie zostać odczytane przez osoby nieupoważnione, bądź zmodyfikowane w niepożądany sposób. Skutecznym zabezpieczeniem w tym zakresie jest zastosowanie technik kryptograficznych (np. S/MIME, SSL, PGP, PEM, IPSec/IKE). Wprowadzenie zabezpieczeń kryptograficznych dla poczty elektronicznej w korporacjach sprowadza się do wdrożenia infrastruktury klucza publicznego Public Key Infrastructure (PKI). W mniejszych oraz słabiej zinformatyzowanych instytucjach najczęściej stosowana jest tzw. nie-zarządzana infrastruktura PKI, w której użytkownicy sami generują swoje klucze i certyfikaty, instalują je na stacjach roboczych, dbają o ich ważność i bezpieczeństwo, a po wygaśnięciu ważności sami generują nowe, itd.
W tych rozwiązaniach poziom ochrony informacji w znacznej mierze bazuje na jakości posiadanego oprogramowania użytkowego. Dla przykładu, bezpieczeństwo WWW przy stosowaniu nie-zarządzanej PKI zależy głównie od dostępnych w przeglądarce algorytmów kryptograficznych. Warto też wiedzieć, że przeglądarki WWW w ogóle nie sprawdzają list unieważnionych certyfikatów CRL.

Problemów tych nie stwarza tzw. zarządzana infrastruktura PKI, która „sama dba” o klucze i certyfikaty użytkowników przez cały czas ich życia (m.in. odpowiada za ich aktualizację, kontrolę dostępu, Back-up). Zasady funkcjonowania zarządzanej PKI zostaną przedstawione na przykładzie Entrust/PKI.
Jest to obecnie najbardziej rozpowszechnione rozwiązanie PKI w systemach finansowo-bankowych (m.in. e-commerce, home banking). Po wdrożeniu w instytucji Urzędu Certyfikacji opartego na technologii Entrust/PKI jedyne co użytkownicy powinni zrobić to zainstalować oprogramowanie Entrust Entelligence i przy pierwszym połączeniu z Urzędem Certyfikacji podać otrzymany numer referencyjny. Entrust Entelligence umożliwia użytkownikom wykorzystanie usług kryptograficznych bez konieczności rozumienia ich złożoności. Użytkownik może praktycznie zapomnieć o certyfikatach i kluczach kryptograficznych, ponieważ wszystko dzieje się w sposób dla niego przezroczysty.
Za każdym razem po włączeniu komputera, bądź też po przekroczeniu ustalonego czasu nieaktywności, użytkownik jest poddawany uwierzytelnianiu tożsamości (tzn. podaje swój identyfikator i hasło) i na tej podstawie „odbezpieczany” jest jego profil kryptograficzny (m.in. klucze szyfrowania i uwierzytelniania). Zarządzana PKI jest więc wygodna dla użytkowników i równocześnie bezpieczna. Jedyną jej wadą jest relatywnie wysoki koszt wdrożenia, który jednak zwraca się w trakcie eksploatacji technologii.

Zakres zastosowania PKI to nie tylko poczta elektroniczna. Profil kryptograficzny Entrust może także zostać wykorzystany do innych celów (np. zabezpieczenia plików na dysku, tworzenia kanałów VPN). Entrust Entelligence integruje się ze środowiskiem Windows 95/98/NT i dostarcza usług bezpieczeństwa dla wszystkich aplikacji zgodnych ze specyfikacją Entrust-Ready. W samym pakiecie Entrust dostępne są m.in. następujące aplikacje:

- Entrust/ICE - zabezpieczanie kryptograficzne plików we wskazanych katalogach,
- Entrust/TrueDelete - bezpieczne usuwanie plików/danych (zgodnie ze specyfikacjami Departamentu Obrony USA),
- Entrust/Unity – środki bezpieczeństwa zarządzanego PKI dodawane do przeglądarek Microsoft i Netscape,
- Entrust/Express - środki bezpieczeństwa zarządzanego PKI dodawane do klientów poczty Microsoft Exchange, Microsoft Outlook, QUALCOMM, Eudora Pro Email oraz Lotus Notes, zawierające także wsparcie dla standardu S/MIME.

Więcej informacji na temat przedstawionych rozwiązań ochrony poczty elektronicznej oraz produktów zabezpieczeń Check Point, Trend Micro, StoneBeat i Entrust można znaleźć w Internecie na stronach http://www.clico.pl. Rozszerzenie zagadnień bezpieczeństwa poruszonych w artykule czytelnik może znaleźć w publikacjach książkowych autora: „Ochrona informacji w sieciach komputerowych” i „Badanie zabezpieczeń sieci komputerowych”.