Защищаем корпоративную почту с SecExMail Gate::Журнал СА 10.2006
www.samag.ru
     
Поиск   
              
 www.samag.ru    Web  0 товаров , сумма 0 руб.
E-mail
Пароль  
 Запомнить меня
Регистрация | Забыли пароль?
Журнал "Системный администратор"
Журнал «БИТ»
Подписка
Архив номеров
Где купить
Наука и технологии
Авторам
Рекламодателям
Контакты
   

  Опросы
  Статьи

Дата-центры  

Дата-центры: есть ли опасность утечки данных?

Российские компании уже несколько лет испытывают дефицит вычислительных мощностей. Рост числа проектов,

 Читать далее...

Книжная полка  

Защиты много не бывает

Среди книжных новинок издательства «БХВ» есть несколько изданий, посвященных методам социальной инженерии

 Читать далее...

Событие  

В банке рассола ждет сисадмина с полей фрактал-кукумбер

Читайте впечатления о слете ДСА 2024, рассказанные волонтером и участником слета

 Читать далее...

Организация бесперебойной работы  

Бесперебойная работа ИТ-инфраструктуры в режиме 24/7 Как обеспечить ее в нынешних условиях?

Год назад ИТ-компания «Крок» провела исследование «Ключевые тренды сервисного рынка 2023». Результаты

 Читать далее...

Книжная полка  

Читайте и познавайте мир технологий!

Издательство «БХВ» продолжает радовать выпуском интересных и полезных, к тому же прекрасно

 Читать далее...

СУБД PostgreSQL  

СУБД Postgres Pro

Сертификация по новым требованиям ФСТЭК и роль администратора без доступа к данным

 Читать далее...

Критическая инфраструктура  

КИИ для оператора связи. Готовы ли компании к повышению уровня кибербезопасности?

Похоже, что провайдеры и операторы связи начали забывать о требованиях законодательства

 Читать далее...

Архитектура ПО  

Архитектурные метрики. Качество архитектуры и способность системы к эволюционированию

Обычно соответствие программного продукта требованиям мы проверяем через скоуп вполне себе понятных

 Читать далее...

Как хорошо вы это знаете  

Что вам известно о разработках компании ARinteg?

Компания ARinteg (ООО «АРинтег») – системный интегратор на российском рынке ИБ –

 Читать далее...

Графические редакторы  

Рисование абстрактных гор в стиле Paper Cut

Векторный графический редактор Inkscape – яркий представитель той прослойки open source, с

 Читать далее...

День сисадмина  

Учите матчасть! Или как стать системным администратором

Лето – время не только отпусков, но и хорошая возможность определиться с профессией

 Читать далее...

День сисадмина  

Живой айтишник – это всегда движение. Остановка смерти подобна

Наши авторы рассказывают о своем опыте и дают советы начинающим системным администраторам.

 Читать далее...

Виртуализация  

Рынок решений для виртуализации

По данным «Обзора российского рынка инфраструктурного ПО и перспектив его развития», сделанного

 Читать далее...

Книжная полка  

Как стать креативным и востребованным

Издательский дом «Питер» предлагает новинки компьютерной литературы, а также книги по бизнесу

 Читать далее...

1001 и 1 книга  
19.03.2018г.
Просмотров: 6412
Комментарии: 0
Машинное обучение с использованием библиотеки Н2О

 Читать далее...

12.03.2018г.
Просмотров: 7117
Комментарии: 0
Особенности киберпреступлений в России: инструменты нападения и защита информации

 Читать далее...

12.03.2018г.
Просмотров: 4394
Комментарии: 0
Глубокое обучение с точки зрения практика

 Читать далее...

12.03.2018г.
Просмотров: 3085
Комментарии: 0
Изучаем pandas

 Читать далее...

12.03.2018г.
Просмотров: 3881
Комментарии: 0
Программирование на языке Rust (Цветное издание)

 Читать далее...

19.12.2017г.
Просмотров: 3897
Комментарии: 0
Глубокое обучение

 Читать далее...

19.12.2017г.
Просмотров: 6385
Комментарии: 0
Анализ социальных медиа на Python

 Читать далее...

19.12.2017г.
Просмотров: 3232
Комментарии: 0
Основы блокчейна

 Читать далее...

19.12.2017г.
Просмотров: 3529
Комментарии: 0
Java 9. Полный обзор нововведений

 Читать далее...

16.02.2017г.
Просмотров: 7364
Комментарии: 0
Опоздавших не бывает, или книга о стеке

 Читать далее...

17.05.2016г.
Просмотров: 10724
Комментарии: 0
Теория вычислений для программистов

 Читать далее...

30.03.2015г.
Просмотров: 12444
Комментарии: 0
От математики к обобщенному программированию

 Читать далее...

18.02.2014г.
Просмотров: 14096
Комментарии: 0
Рецензия на книгу «Читаем Тьюринга»

 Читать далее...

13.02.2014г.
Просмотров: 9192
Комментарии: 0
Читайте, размышляйте, действуйте

 Читать далее...

12.02.2014г.
Просмотров: 7141
Комментарии: 0
Рисуем наши мысли

 Читать далее...

10.02.2014г.
Просмотров: 5446
Комментарии: 3
Страна в цифрах

 Читать далее...

18.12.2013г.
Просмотров: 4683
Комментарии: 0
Большие данные меняют нашу жизнь

 Читать далее...

18.12.2013г.
Просмотров: 3495
Комментарии: 0
Компьютерные технологии – корень зла для точки роста

 Читать далее...

04.12.2013г.
Просмотров: 3212
Комментарии: 0
Паутина в облаках

 Читать далее...

03.12.2013г.
Просмотров: 3449
Комментарии: 0
Рецензия на книгу «MongoDB в действии»

 Читать далее...

02.12.2013г.
Просмотров: 3090
Комментарии: 0
Не думай о минутах свысока

 Читать далее...

Друзья сайта  

 Защищаем корпоративную почту с SecExMail Gate

Архив номеров / 2006 / Выпуск №10 (47) / Защищаем корпоративную почту с SecExMail Gate

Рубрика: Безопасность /  Безопасность

Сергей Яремчук СЕРГЕЙ ЯРЕМЧУК, фрилансер. Автор более 800 статей и шести книг. С «СА» с первого номера. Интересы: сетевые технологии, защита информации, свободные ОС

Защищаем корпоративную почту с SecExMail Gate

Сегодня электронная почта – центральное звено в системе обмена информацией благодаря скорости доставки и простоте в использовании. Обеспечить защиту электронной переписки – задача любого администратора.

Не секрет, что электронную почту можно перехватить, – достаточно установить сниффер и затем спокойно читать всю проходящую информацию. Низкий уровень компьютерной грамотности некоторых пользователей только упрощает этот процесс. Можно, конечно, заставить пользователей самостоятельно зашифровывать перед отправкой всю корреспонденцию (большинство почтовых клиентов умеют делать это автоматически), но сразу же станет вопрос об управлении ключами. Кроме того, пользователь должен будет запоминать порядок отправки сообщений различным корреспондентам, возможность напутать здесь все-таки довольно велика. Всегда будет существовать вероятность того, что важная информация будет отправлена незашифрованной.

В журнале уже рассматривался вариант построения защищенной почтовой системы на основе Tiger Envelopes [1], в SecExMail Gate применен аналогичный принцип.

Как работает SecExMail Gate

SecExMail Gate – почтовый прокси-сервер, который подключается между почтовым клиентом и SMTP/POP3-сервером, и в реальном времени шифрует все проходящие через него электронные сообщения, обеспечивая конфиденциальность корпоративной почты, передаваемой по незащищенным сетям. Для шифрования используются исключительно открытые стандарты. На рабочих местах никакого дополнительного программного обеспечения не требуется. При этом SecExMail Gate довольно легко интегрируется в существующую инфраструктуру. После установки сервера на компьютерах клиентов потребуется лишь задать новые параметры, указав в настройках в качестве SMTP/POP3-сервера SecExMail Gate. На самом же SecExMail Gate необходимо прописать данные корпоративного почтового сервера. Хотя в некоторых случаях, чтобы не бегать по этажам, наверное проще на место почтового сервера поставить SecExMail Gate, а старому серверу дать новый адрес (не забыв поменять настройки DNS). Пользователи не заметят этих перестановок и будут работать с почтой как обычно. Но внутри системы многое в работе почты изменилось. Ключ, введенный для конкретного корреспондента, заставит SecExMail Gate автоматически зашифровать сообщение, от пользователя никаких дополнительных указаний не потребуется. Но это еще не все. Анализируя заголовки сообщений, злоумышленник может всегда определить характер письма и тип MIME, все это может оказаться хорошим подспорьем для криптоаналитиков, которые попытаются раскодировать сообщение. Например, если один и тот же текст или файл будет передан разным корреспондентам, можно попытаться реализовать так называемую атаку по открытому тексту (PlainText Attack), когда по известному тексту вычисляется ключ. Поэтому SecExMail Gate шифрует тему сообщений и все заголовки, позволяющие установить характер передаваемой информации, поэтому криптоанализ перехваченного письма очень затруднен. SecExMail Gate использует алгоритм RSA с 2048, 4096 и 8192 ключами, хотя в корпоративной версии возможно использование размера ключей вплоть до 10240. Открытый ключ, ассоциированный с получателем, используется при генерировании сеансового одноразового ключа, который и используется при шифровании сообщения. Два сообщения никогда не шифруются одинаковыми ключами. Индивидуальные сообщения кодируются с использованием 256-битного блочного шифра Twofish, совместно с 64-битным генератором случайных чисел ISAAC.

При шифровании сообщение проходит несколько этапов:

  • Полученное сообщение анализируется, проверяется информация, записанная в SMTP-заголовке письма и тело сообщения. Сервер SecExMail Gate использует эту информацию для получения доступа к почтовому серверу и в случае положительного ответа продолжает дальнейшую обработку полученного сообщения.
  • Сообщение, как правило, содержит часть известной информации, приветствие, визитная карточка отправителя, поэтому во избежание возможности проведения PlainText Attack сообщение сжимается с использованием алгоритма ZLIB.
  • Сжатый поток также имеет информацию, позволяющую криптоаналитикам установить характер сообщения, поэтому первые 64 бита сообщения дополнительно складываются (XOR) со случайным текстом (One-Time Pads), обеспечивая его уникальность.
  • Сжатая информация складывается с 64-битным потоком случайных чисел ISAAC.
  • Полученный поток данных кодируется 256-битным Twofish, в нем используется режим chained block mode, в котором ключ, используемый при шифровании текущего блока текста, зависит от предыдущего блока.
  • Информация преобразуется в тип base64 и передается MTA.

В обычном режиме логин и пароль передаются в открытом виде, что не препятствует их возможному перехвату. Что делать, если пользователь вынужден работать по незащищенному каналу, например из дома. В качестве дополнительных уровней защиты возможна работа по защищенному каналу с использованием SSL (Secure Socket Layer) или TLS (Transport Layer Security).

На сайте проекта можно загрузить полнофункциональную версию продукта, которая без регистрации будет работать в течение 30 дней. Стоимость лицензии зависит от количества пользователей. Так SecEx Mail Corporate для 20 пользователей обойдется в 949 $, а для 500 – 14995 $.

Для работы сервера SecExMail Gate потребуется компьютер, работающий под управлением Windows от 95 до XP, имеющий 5,5 Мб свободного места на жестком диске. Системные требования которого напрямую зависят от количества передаваемых и принимаемых сообщений. В качестве ориентировки лучше посмотреть нагрузку своего почтового сервера.

Установка и создание ключей

Установка SecExMail Gate стандартна для Windows, вы просто запускаете исполняемый файл и нажимаете «Next». На предпоследнем шаге, выбрав «Set service to start boot», разрешите автоматический запуск сервера SecExMail Gate при загрузке системы. После завершения установки первым делом необходимо сгенерировать ключи. В меню «Пуск» выбираем «SecExMail Gate» и «SecEx KeyGenerator», в появившемся окне персональные данные (имя и почтовый адрес), и на следующем этапе размер ключа (рис. 1), внизу будет показано приблизительное время, необходимое для генерирования ключа выбранного размера. Далее вводим пароль, и в следующем окне несколько раз щелкаем мышкой в любом месте белого поля, чтобы утилита сгенерировала случайное число. По окончании генерирования публичного и секретного ключей вас попросят ввести пароль, после чего созданный ключ появится во вкладке «Keys» окна настройки сервера SecExMail Gate. Для создания SSL-сертификатов, подтверждающих подлинность, используется другая утилита Generate SSL Certificate Request, расположенная там же. При создании своего сертификата вам также придется ввести информацию об организации, которая использует сервер SecExMail Gate (название, имя сервера, город, страна) и размер ключа. По окончании создания сертификата будет выдано сообщение, в котором указано имя файла ключа и сертификата (они сохраняются в каталог, в который установлен сервер). Организации, купившие лицензию, могут подписать в Bytefusion Ltd. созданный сертификат, отослав файл по адресу msupport@bytefusion.com.

Рисунок 1. Выбор размера ключа

Рисунок 1. Выбор размера ключа

Теперь все готово для настройки сервера SecExMail Gate.

Настройка и запуск SecExMail Gate

Программа настройки SecExMail Gate проста и понятна, зная все необходимые для работы параметры, весь процесс не займет более 5 минут. Для настройки SMTP-туннеля заходим в одноименную вкладку и устанавливаем флажок «Enable SMTP Relay» (рис. 2). Слева в области «E-Mail Client» изменяем при необходимости номер порта для входящей почты (по умолчанию 25), а справа указываем порт, имя или IP-адрес почтового сервера, которому будут перенаправляться сообщения после зашифровки. Теперь переходим во вкладку «POP3», и аналогичным образом настраиваем параметры транзита входящих сообщений. В настройках почтовых клиентов указываем новые параметры, установив в качестве сервера приема передачи сообщений SecExMail Gate.

Рисунок 2. Настройки параметров SMTP-шлюза

Рисунок 2. Настройки параметров SMTP-шлюза

Защищенные с помощью SSL POP3 и SMTP-соединения настраиваются в других вкладках. Но в начале необходимо указать на файлы сертификатов и ключей, сгенерированных ранее с помощью утилиты Generate SSL Certificate Request. Переходим во вкладку «SSL», в поле «SSL/TSL Tunables» выбираем параметры туннеля (TSL v.1, SSL v.2 или 3), и минимальный размер шифра (Min.Cipher Bits). И, наконец, в «Certificate File» и «Private Key File» указываем созданный сертификат и ключ. После чего потребуется перезапустить сервер. Теперь переходим во вкладку «SMTPS» и прописываем параметры защищенного соединения, указав номер порта, отличный от используемого во вкладках «SMTP» и «POP3» (по умолчанию стоят стандартные 465 и 995). Учтите, что если основной почтовый сервер также использует защищенное соединение, то для работы с ним возможно применение только защищенного варианта работы SecExMail Gate. Иначе сообщение дальше SecExMail Gate не пройдет, почтовый сервер не сможет зарегистрироваться, чтобы передать или принять сообщение. После внесения изменений на вкладке нажимаем «Apply» для записи изменений и перезапуска сервера.

Вкладка «Service» предназначена для управления работой сервиса SecExMail Gate. Здесь можно просмотреть статус работы, остановить и запустить сервер, включить журналирование событий и подключение клиентов. Для получения более подробной информации включите флажок «Verbose». Журнал работы сервера сохраняется в текстовый файл, просмотреть записанную в него информацию можно во вкладке «Events». Для каждого клиента в подкаталоге client-logs создается свой текстовый файл, в который заносятся все связанные с ним события. В имени файла использован IP-адрес, с которого зашел клиент, например 127_0_0_1.txt. Во вкладке «Clients Log» можно просмотреть все эти файлы.

Рисунок 3. Настройка параметров защищенного POP3-соединения

Рисунок 3. Настройка параметров защищенного POP3-соединения

Для хранения ключевых данных в зависимости от назначения используются различные вкладки. Так, во вкладке «Keys» прописываются публичные и закрытые ключи, принадлежащие внутренним пользователям компании. Для создания нового ключа необходимо нажать «New key», после чего появится знакомый SecEx KeyGenerator. Из этого же окна можно экспортировать или импортировать любой ключ.

В SecExMail Gate предусмотрены три вида ключей, что позволяет наиболее оптимально распределять ключевую информацию:

  • Wildcard keys – представляют общий ключ без привязки к определенному почтовому адресу, то есть сообщение, зашифрованное с его помощью, может предназначаться любому пользователю компании, почтовый адрес которого заранее не устанавливается.
  • Personal keys – этот ключ уже привязан к определенному почтовому адресу и предназначен для индивидуального обмена сообщениями.
  • Department keys – ключ ассоциирован с отделом или группой пользователей.

Соответствие между пользовательскими почтовыми адресами и группами задается во вкладке «Groups». Записи, в которой имеют приблизительно такой вид:

info@test.com           administrations

support@test.com        administrations

sales@test.com          sales

fedja@test.com          sales

Для удобства хранения и обработки вся информация хранится в «comma separated values» в файле groupkes.csv. После внесения изменений напрямую в файл необходимо зайти в эту вкладку и нажать кнопку «Re-read groups file», чтобы информация стала доступна SecExMail Gate. Для работы указанной схемы должны быть созданы ключи, соответствующие адресам administrations@test.com и sales@test.com. И наконец публичные ключи всех корреспондентов хранятся во вкладке «Friends».

Для генерирования случайных чисел SecExMail Gate использует информацию, взятую из системных процессов, файлов в системных и временных каталогах. Все возможные настройки доступны на вкладке «Entropy».

SecExMail Gate является простым и в то же время весьма эффективным инструментом, позволяющим быстро наладить обмен зашифрованными почтовыми сообщениями. Для пользователей его применение будет прозрачным, а удобство при работе с ключами заметно упрощает его администрирование.

  1. Яремчук С. Защищенная почтовая система с Tiger Envelopes. //Системный администратор, № 6, 2005 г. – C. 61-63.
  2. Cайт Bytefusion Ltd. – http://www.bytefusion.com.

Комментарии отсутствуют

Добавить комментарий

Комментарии могут оставлять только зарегистрированные пользователи

               Copyright © Системный администратор

Яндекс.Метрика
Tel.: (499) 277-12-45
E-mail: sa@samag.ru