Securityinfo
  • Strona główna
  • Publikacje
  • Zespół
  • Współpraca
  • Kontakt
Szukaj w Securityinfo
Nawigacja: Strona główna » Publikacje » Bezpieczeństwo Microsoft Exchange (część pierwsza — zabezpieczenia po stronie klienta)

Bezpieczeństwo Microsoft Exchange (część pierwsza — zabezpieczenia po stronie klienta)

1. Wstęp

Microsoft Exchange to serwer pocztowy, który w wielu firmach odgrywa dzisiaj kluczową rolę. Jego bezpieczeństwo jest sprawą pierwszoplanową dla wielu administratorów. Zasada, że każda aplikacja jest tak bezpieczna jak system operacyjny na którym pracuje, obowiązuje i w tym przypadku i od niej należałoby zacząć, jednak zabezpieczenie systemów operacyjnych z rodziny Microsoft Windows to zupełnie inna historia i skupię się tylko na samym serwerze oraz aplikacjach z nim współpracujących.

Jeżeli chodzi o bezpieczeństwo po stronie klienta, to aplikacja zawiera między innymi:

  • wsparcie metod uwierzytelniania jak Kerberos i NTLM,
  • wsparcie MAPI (RPC) w HTTP lub HTTPS oraz możliwość użycia uwierzytelniania SSL lub NTLM,
  • nowe zabezpieczenia antyspamowe i bardziej rozbudowany mechanizm filtrowania,
  • blokowanie potencjalnie niebezpiecznych załączników,
  • mechanizmy zarządzania prawami użytkowników.

Faktem jest, że niektóre z mechanizmów zabezpieczeń nie są zbyt rozbudowane i koniecznie będzie korzystanie z aplikacji firm trzecich.

2. Microsoft Outlook

Klientem stworzonym do współpracy z Exchangem jest Microsoft Outlook 2003 i obie aplikacje są ze sobą sciśle powiązane. W celu bezpiecznego dostępu do serwera z Internetu wprowadzono mechanizm logowania z wykorzystaniem HTTPS proxy, którym zastąpiono stosunkowo bezpieczne połączenia typu VPN. W celu uaktywnienia tego typu połączenia należy w Outlooku, we właściwościach kont zaznaczyć odpowiednie opcje na zakładce Ustawienia Proxy (rys. 1.). Jeżeli opcja SSL nie jest zaznaczona, wówczas połączenie wykonywane są za pomocą protokołu HTTP.

Okno Exchange Proxy Settings

Możliwe jest również uwierzytelnianie przy pomocy protokołu NTLM. Na rysunku widoczna jest opcja Mutually authenticate, której zaznaczenie powoduje że zarówno serwer jak i klient sprawdzają nawzajem swoją tożsamość zanim nastąpi jakakolwiek wymiana informacji.

Jako klient MAPI Outlook do komunikacji z serwerem, używa mechanizmu RPC. Mechanizm ten w trakcie transferu danych może wykorzystywać szyfrowanie, jednak nie jest to jego ustawienie domyślne i zadaniem administratora jest aktywacja tej funkcji. Opcja dostępna jest w ustawieniach kont pocztowych MS Outlook 2003, w zakładce bezpieczeństwo (rys. 2.). RPC w HTTPS jest metodą komunikacji klienta znajdującego się w sieci publicznej, na przykład Internecie.

Okno Microsoft Exchange Server, zakładka Security

Jedną z opcji widocznych powyżej jest możliwość ustawienia klienta tak, aby pytał o hasło i nazwę użytkownika przy próbie dostępu do skrzynki pocztowej. Zapobiec to ma sytuacji gdy komputer pozostawiony zostanie bez nadzoru i osoby trzecie mogą pozyskać dostęp do wiadomości poprzez otworzenie MS Outlooka.

Kolejnym elementem zwiększającym bezpieczeństwo jest zmiana w sposobie uwierzytelniania użytkowników. Standardowo, aby uzyskać dostęp do skrzynki pocztowej, wykorzystywane są dane zalogowanego do systemu użytkownika. Zmiana tego ustawienia tak, aby wykorzystywane było tylko uwierzytelnianie Kerberos, spowoduje szyfrowanie danych w trakcie logowania do domeny.

W Outlooku nie zabrakło też tak podstawowej funkcji jak blokowanie załączników. Jednak w swym domyślnym ustawieniu funkcja ta ma lukę która blokuje tylko załączniki z rozszerzeniami plików wykonywalnych jak .exe, .bat, itp. natomiast pozwala otwierać pliki pakietu Microsoft Office, jak .doc, .xls, które również mogą zawierać wirusy.

Kolejną opcją zwiększającą bezpieczeństwo wysyłanych wiadomości jest możliwość ich szyfrowania i cyfrowego podpisywania za pomocą S/MIME. Format obecnie używanego certyfikatu przez S/MIME jest definiowany przez najpopularniejszy dzisiaj standard X.509. W celu uaktywnienia możliwość cyfrowego podpisywania wiadomości należy w opcjach wybrać zakładkę bezpieczeństwo i przycisk Ustawienia, gdzie znajdują się ustawienia formatów i algorytmów szyfrujących (rys. 3.). Oczywiście wymagane jest wcześniejsze posiadanie klucza szyfrującego.

Okno Change Security Settings

Teraz aby wysłać podpisaną lub szyfrowaną wiadomość należy ją utworzyć i w opcjach na zakładce ustawienia bezpieczeństwa zaznaczyć odpowiednie pola (rys. 4.).

Okno Security Properties

3. Zwalczanie spamu i wirusów na poziomie hosta

Niechciane wiadomości są problemem wielu administratorów, dlatego rzeczą jak najbardziej logiczną było wyposażenie klientów pocztowych w mechanizmy pozwalające z tym walczyć. Outlook oferuje cztery poziomy zabezpieczeń antyspamowych:

  • Brak ochrony — filtrowane są tylko wiadomości pochodzące z czarnych list użytkownika. Sposób nieskuteczny, jako że źródła spamu często się zmieniają.

  • Niski poziom — klient pocztowy sprawdza czarne i białe listy oraz szuka charakterystycznych słów w temacie i treści wiadomości.

  • Wysoki — używane są metody jak powyżej, jednak w bardziej agresywny sposób.

  • Tylko białe listy — dopuszczane są tylko wiadomości z zaufanych źródeł.

Standardowym ustawieniem Outlooka 2003 jest na najniższy poziom zabezpieczeń (rys. 5.)

Okno Junk E-mail Options

Outlook został wyposażony również w funkcję zabezpieczającą przed tzw. Web Beaconing, jedną z metod działania spamerów. Polega ona na umieszczeniu w e-mailu przesłanym w formacie HTML małego obrazka, który musi zostać pobrany z zewnętrznego serwera. Pobierając go, klient pocztowy potwierdza otworzenie e-maila przez użytkownika, a poprawność adresu oraz udostępnia inne informacje, takie jak adres IP adresata e-maila, datę i czas przeczytania listu, rodzaj przeglądarki. Outlook automatycznie ostrzega przed niebezpieczeństwem kradzieży danych.

Microsoft co prawda ulepszył kontrolę niechcianych maili w swoim produkcie, jednak wciąż pozostawia ona wiele do życzenia. Dlatego skorzystanie z produktów firm trzecich jak na przykład Spheriq czy SpamAssasian będzie prawdopodobnie niezbędne. Niechciane maile zawierają też wirusy, konie trojańskie, programy typu malware czy spyware, które są plagą systemów Microsoft i przed którymi zabezpieczyć może dobre oprogramowanie antywirusowe, które nabyć trzeba również od firm trzecich jak na przykład Sybari, czy F-Secure i zainstalować na komputerach użytkowników.

4. Bezpieczeństwo OWA

Outlook Web Access to interfejs serwera pocztowego, z którego korzysta się za pomocą przeglądarki internetowej. Tutaj również pojawiły sie ulepszenia zabezpieczeń w porównaniu do wersji poprzednich i dostępne są wbudowane opcje:

  • Wsparcie S/MIME — Exchange 2003 OWA umożliwia podpis i szyfrowanie wiadomości za pomocą kontrolek ActiveX, które mogą zostać pobrane z serwera pocztowego. Najłatwiejszą metodą nawiązania bezpiecznej korespondencji z osobą znajdującą się poza organizacją jest wysłanie takiemu użytkownikowi wiadomości podpisanej cyfrowo, następnie odbiorca dodaje użytkownika i certyfikat do swojego katalogu kontaktów. Odczytanie zaszyfrowanej wiadomości wymaga podania jedynie hasła.

  • Blokowanie potencjalnie niebezpiecznych wiadomości — możliwe dzięki ustawieniom sposobu wyświetlania wiadomości. Do wyboru jest HTML (standardowo), rich text i plain text. Użycie plain text zabezpiecza przed niebezpiecznym kodem zawartym w wiadomościach, jednak kosztem wyglądu interfejsu.

  • Blokowanie załączników — ta opcja została ukryta i uzyskanie dostępu do niej wymaga modyfikacji rejestru. W kluczu:

    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\MSExchangeWeb\OWA

    Należy dodać wartość typu DWORD: DisableAttachments i może ona przybierać następujące wartości:

    • 0 — zezwalaj na wszystkie załączniki
    • 1 — blokuj wszystkie załączniki
    • 2 — zezwalaj tylko na załączniki z serwera back-end

  • Rozłączanie nieaktywnej sesji po upływie określonego czasu.

  • Wsparcie IPSec i Kerberos.

  • Używanie plików cookie do uwierzytelniania.

  • Czarne i białe listy antyspamowe — wszystkie opcje służące do zarządzania listami znajdują się w ustawieniach OWA.

OWA stworzone było z myślą o Internet Explorerze, jednak działa również z innymi przeglądarkami jak Opera czy Mozilla (czasem tylko w wersji Basic) i których użycie jest uzasadnione ze względu na liczne luki w bezpieczeństwie Internet Explorera.

5. Podsumowanie

Po stronie klienta pocztowego zaimplementowano pewne mechanizmy podnoszące poziom bezpieczeństwa, jednak w dzisiejszym Internecie są one niewystarczające i dlatego główne mechanizmy ochrony znajdują się na samym serwerze pocztowym lub konieczne jest użycie innego oprogramowania, jak filtry antyspamowe, aplikacje służące do monitoringu czy zwalczania wirusów, malware, spyware, itp. Oczywiście należy też pamiętać o czynnościach tak podstawowych jak bieżąca aktualizacja oprogramowania.

Spis treści

  • 1. Wstęp
  • 2. Microsoft Outlook
  • 3. Zwalczanie spamu i wirusów na poziomie hosta
  • 4. Bezpieczeństwo OWA
  • 5. Podsumowanie

Autor

Grzegorz Prusinowski

Od 5 lat zajmuje się sieciami i systemami komputerowymi głównie Windows i różnymi dystrybucjami Linuksa. Obecnie pracuje na stanowisku administratora Windows i konsultanta MS Exchange. Zwolennik systemów Open Source.

Kontakt: g.prusinowski@securityinfo.pl

Zobacz również

  • Implementing and Managing Exchange Server 2003 Exam Cram™ [en]
Reklama
Exchange 2000.NET Server. Czarna księga - Philip G. Schein et al. Windows Server 2003. Bezpieczeństwo. Biblia - Blair Rampling Windows Server 2003. Podręcznik administratora - Nelson Ruest, Danielle Ruest

Narzędzia

  • Publikacja: 31 marca 2006
  • Aktualizacja: 22 września 2010
  • Wersja do wydruku
  • Trackback
  • RSS
ISSA Polska Wrocław
O serwisie Polityka prywatności Mapa serwisu Kontakt Copyright © 2005-2008 Securityinfo