Защищаем корпоративную почту с SecExMail Gate

 СЕРГЕЙ ЯРЕМЧУК, фрилансер. Автор более 800 статей и шести книг. С «СА» с первого номера. Интересы: сетевые технологии, защита информации, свободные ОС

Защищаем корпоративную почту с SecExMail Gate

Сегодня электронная почта – центральное звено в системе обмена информацией благодаря скорости доставки и простоте в использовании. Обеспечить защиту электронной переписки – задача любого администратора.

Не секрет, что электронную почту можно перехватить, – достаточно установить сниффер и затем спокойно читать всю проходящую информацию. Низкий уровень компьютерной грамотности некоторых пользователей только упрощает этот процесс. Можно, конечно, заставить пользователей самостоятельно зашифровывать перед отправкой всю корреспонденцию (большинство почтовых клиентов умеют делать это автоматически), но сразу же станет вопрос об управлении ключами. Кроме того, пользователь должен будет запоминать порядок отправки сообщений различным корреспондентам, возможность напутать здесь все-таки довольно велика. Всегда будет существовать вероятность того, что важная информация будет отправлена незашифрованной.

В журнале уже рассматривался вариант построения защищенной почтовой системы на основе Tiger Envelopes [1], в SecExMail Gate применен аналогичный принцип.

Как работает SecExMail Gate

SecExMail Gate – почтовый прокси-сервер, который подключается между почтовым клиентом и SMTP/POP3-сервером, и в реальном времени шифрует все проходящие через него электронные сообщения, обеспечивая конфиденциальность корпоративной почты, передаваемой по незащищенным сетям. Для шифрования используются исключительно открытые стандарты. На рабочих местах никакого дополнительного программного обеспечения не требуется. При этом SecExMail Gate довольно легко интегрируется в существующую инфраструктуру. После установки сервера на компьютерах клиентов потребуется лишь задать новые параметры, указав в настройках в качестве SMTP/POP3-сервера SecExMail Gate. На самом же SecExMail Gate необходимо прописать данные корпоративного почтового сервера. Хотя в некоторых случаях, чтобы не бегать по этажам, наверное проще на место почтового сервера поставить SecExMail Gate, а старому серверу дать новый адрес (не забыв поменять настройки DNS). Пользователи не заметят этих перестановок и будут работать с почтой как обычно. Но внутри системы многое в работе почты изменилось. Ключ, введенный для конкретного корреспондента, заставит SecExMail Gate автоматически зашифровать сообщение, от пользователя никаких дополнительных указаний не потребуется. Но это еще не все. Анализируя заголовки сообщений, злоумышленник может всегда определить характер письма и тип MIME, все это может оказаться хорошим подспорьем для криптоаналитиков, которые попытаются раскодировать сообщение. Например, если один и тот же текст или файл будет передан разным корреспондентам, можно попытаться реализовать так называемую атаку по открытому тексту (PlainText Attack), когда по известному тексту вычисляется ключ. Поэтому SecExMail Gate шифрует тему сообщений и все заголовки, позволяющие установить характер передаваемой информации, поэтому криптоанализ перехваченного письма очень затруднен. SecExMail Gate использует алгоритм RSA с 2048, 4096 и 8192 ключами, хотя в корпоративной версии возможно использование размера ключей вплоть до 10240. Открытый ключ, ассоциированный с получателем, используется при генерировании сеансового одноразового ключа, который и используется при шифровании сообщения. Два сообщения никогда не шифруются одинаковыми ключами. Индивидуальные сообщения кодируются с использованием 256-битного блочного шифра Twofish, совместно с 64-битным генератором случайных чисел ISAAC.

При шифровании сообщение проходит несколько этапов:

• Полученное сообщение анализируется, проверяется информация, записанная в SMTP-заголовке письма и тело сообщения. Сервер SecExMail Gate использует эту информацию для получения доступа к почтовому серверу и в случае положительного ответа продолжает дальнейшую обработку полученного сообщения.
• Сообщение, как правило, содержит часть известной информации, приветствие, визитная карточка отправителя, поэтому во избежание возможности проведения PlainText Attack сообщение сжимается с использованием алгоритма ZLIB.
• Сжатый поток также имеет информацию, позволяющую криптоаналитикам установить характер сообщения, поэтому первые 64 бита сообщения дополнительно складываются (XOR) со случайным текстом (One-Time Pads), обеспечивая его уникальность.
• Сжатая информация складывается с 64-битным потоком случайных чисел ISAAC.
• Полученный поток данных кодируется 256-битным Twofish, в нем используется режим chained block mode, в котором ключ, используемый при шифровании текущего блока текста, зависит от предыдущего блока.
• Информация преобразуется в тип base64 и передается MTA.

В обычном режиме логин и пароль передаются в открытом виде, что не препятствует их возможному перехвату. Что делать, если пользователь вынужден работать по незащищенному каналу, например из дома. В качестве дополнительных уровней защиты возможна работа по защищенному каналу с использованием SSL (Secure Socket Layer) или TLS (Transport Layer Security).

На сайте проекта можно загрузить полнофункциональную версию продукта, которая без регистрации будет работать в течение 30 дней. Стоимость лицензии зависит от количества пользователей. Так SecEx Mail Corporate для 20 пользователей обойдется в 949 $, а для 500 – 14995 $.

Для работы сервера SecExMail Gate потребуется компьютер, работающий под управлением Windows от 95 до XP, имеющий 5,5 Мб свободного места на жестком диске. Системные требования которого напрямую зависят от количества передаваемых и принимаемых сообщений. В качестве ориентировки лучше посмотреть нагрузку своего почтового сервера.

Установка и создание ключей

Установка SecExMail Gate стандартна для Windows, вы просто запускаете исполняемый файл и нажимаете «Next». На предпоследнем шаге, выбрав «Set service to start boot», разрешите автоматический запуск сервера SecExMail Gate при загрузке системы. После завершения установки первым делом необходимо сгенерировать ключи. В меню «Пуск» выбираем «SecExMail Gate» и «SecEx KeyGenerator», в появившемся окне персональные данные (имя и почтовый адрес), и на следующем этапе размер ключа (рис. 1), внизу будет показано приблизительное время, необходимое для генерирования ключа выбранного размера. Далее вводим пароль, и в следующем окне несколько раз щелкаем мышкой в любом месте белого поля, чтобы утилита сгенерировала случайное число. По окончании генерирования публичного и секретного ключей вас попросят ввести пароль, после чего созданный ключ появится во вкладке «Keys» окна настройки сервера SecExMail Gate. Для создания SSL-сертификатов, подтверждающих подлинность, используется другая утилита Generate SSL Certificate Request, расположенная там же. При создании своего сертификата вам также придется ввести информацию об организации, которая использует сервер SecExMail Gate (название, имя сервера, город, страна) и размер ключа. По окончании создания сертификата будет выдано сообщение, в котором указано имя файла ключа и сертификата (они сохраняются в каталог, в который установлен сервер). Организации, купившие лицензию, могут подписать в Bytefusion Ltd. созданный сертификат, отослав файл по адресу msupport@bytefusion.com.

Рисунок 1. Выбор размера ключа

Теперь все готово для настройки сервера SecExMail Gate.

Настройка и запуск SecExMail Gate

Программа настройки SecExMail Gate проста и понятна, зная все необходимые для работы параметры, весь процесс не займет более 5 минут. Для настройки SMTP-туннеля заходим в одноименную вкладку и устанавливаем флажок «Enable SMTP Relay» (рис. 2). Слева в области «E-Mail Client» изменяем при необходимости номер порта для входящей почты (по умолчанию 25), а справа указываем порт, имя или IP-адрес почтового сервера, которому будут перенаправляться сообщения после зашифровки. Теперь переходим во вкладку «POP3», и аналогичным образом настраиваем параметры транзита входящих сообщений. В настройках почтовых клиентов указываем новые параметры, установив в качестве сервера приема передачи сообщений SecExMail Gate.

Рисунок 2. Настройки параметров SMTP-шлюза

Защищенные с помощью SSL POP3 и SMTP-соединения настраиваются в других вкладках. Но в начале необходимо указать на файлы сертификатов и ключей, сгенерированных ранее с помощью утилиты Generate SSL Certificate Request. Переходим во вкладку «SSL», в поле «SSL/TSL Tunables» выбираем параметры туннеля (TSL v.1, SSL v.2 или 3), и минимальный размер шифра (Min.Cipher Bits). И, наконец, в «Certificate File» и «Private Key File» указываем созданный сертификат и ключ. После чего потребуется перезапустить сервер. Теперь переходим во вкладку «SMTPS» и прописываем параметры защищенного соединения, указав номер порта, отличный от используемого во вкладках «SMTP» и «POP3» (по умолчанию стоят стандартные 465 и 995). Учтите, что если основной почтовый сервер также использует защищенное соединение, то для работы с ним возможно применение только защищенного варианта работы SecExMail Gate. Иначе сообщение дальше SecExMail Gate не пройдет, почтовый сервер не сможет зарегистрироваться, чтобы передать или принять сообщение. После внесения изменений на вкладке нажимаем «Apply» для записи изменений и перезапуска сервера.

Вкладка «Service» предназначена для управления работой сервиса SecExMail Gate. Здесь можно просмотреть статус работы, остановить и запустить сервер, включить журналирование событий и подключение клиентов. Для получения более подробной информации включите флажок «Verbose». Журнал работы сервера сохраняется в текстовый файл, просмотреть записанную в него информацию можно во вкладке «Events». Для каждого клиента в подкаталоге client-logs создается свой текстовый файл, в который заносятся все связанные с ним события. В имени файла использован IP-адрес, с которого зашел клиент, например 127_0_0_1.txt. Во вкладке «Clients Log» можно просмотреть все эти файлы.

Рисунок 3. Настройка параметров защищенного POP3-соединения

Для хранения ключевых данных в зависимости от назначения используются различные вкладки. Так, во вкладке «Keys» прописываются публичные и закрытые ключи, принадлежащие внутренним пользователям компании. Для создания нового ключа необходимо нажать «New key», после чего появится знакомый SecEx KeyGenerator. Из этого же окна можно экспортировать или импортировать любой ключ.

В SecExMail Gate предусмотрены три вида ключей, что позволяет наиболее оптимально распределять ключевую информацию:

• Wildcard keys – представляют общий ключ без привязки к определенному почтовому адресу, то есть сообщение, зашифрованное с его помощью, может предназначаться любому пользователю компании, почтовый адрес которого заранее не устанавливается.
• Personal keys – этот ключ уже привязан к определенному почтовому адресу и предназначен для индивидуального обмена сообщениями.
• Department keys – ключ ассоциирован с отделом или группой пользователей.

Соответствие между пользовательскими почтовыми адресами и группами задается во вкладке «Groups». Записи, в которой имеют приблизительно такой вид:

info@test.com           administrations

support@test.com        administrations

sales@test.com          sales

fedja@test.com          sales

Для удобства хранения и обработки вся информация хранится в «comma separated values» в файле groupkes.csv. После внесения изменений напрямую в файл необходимо зайти в эту вкладку и нажать кнопку «Re-read groups file», чтобы информация стала доступна SecExMail Gate. Для работы указанной схемы должны быть созданы ключи, соответствующие адресам administrations@test.com и sales@test.com. И наконец публичные ключи всех корреспондентов хранятся во вкладке «Friends».

Для генерирования случайных чисел SecExMail Gate использует информацию, взятую из системных процессов, файлов в системных и временных каталогах. Все возможные настройки доступны на вкладке «Entropy».

SecExMail Gate является простым и в то же время весьма эффективным инструментом, позволяющим быстро наладить обмен зашифрованными почтовыми сообщениями. Для пользователей его применение будет прозрачным, а удобство при работе с ключами заметно упрощает его администрирование.

1. Яремчук С. Защищенная почтовая система с Tiger Envelopes. //Системный администратор, № 6, 2005 г. – C. 61-63.
2. Cайт Bytefusion Ltd. – http://www.bytefusion.com.

Комментарии могут оставлять только зарегистрированные пользователи