Службы сертификации и безопасность почты Windows 2000/2003

ОГЛАВЛЕНИЕ

Можно ли защитить пересылаемые по электронным каналам документы без дополнительных затрат? Что выбрать: PGP или S/MIME? Нужен ли "необязательный" СА? Что ж, попытаемся найти ответы…Мы уже рассматривали некоторые моменты установки и начала работы электронной почты, основанной на почтовом сервере Microsoft Exchange Server 2000 в среде Active Directory домена Windows 2000. Данная же статья посвящена одной из наиболее раздражающих и огорчающих проблем при организации обработки информации — проблеме безопасности при работе с электронной почтой. А точнее: защите почтовых сообщений от несанкционированного использования. В соответствии с принятым набором инструментальных средств, в качестве клиентской операционной среды будем рассматривать Windows 2000/ХР Professional. Почтовые клиенты — Outlook Express и Microsoft Outlook. Почтовый сервер — Microsoft Exchange Server 2000.

Распространенность электронной почты свидетельствует о востребованности продукта и направления. Все современные операционные системы снабжены встроенными почтовыми клиентами. Высокое качество передачи информации, оперативность такой передачи, реализация обмена практически любыми видами данных (аудио, видео, текст, графика и т.п.) — вот далеко не полный перечень возможностей электронной почты, благодаря которым она стала практически незаменимым спутником современного человека. Прибавьте к этому еще и экономичность — всем известно, насколько дешевле e-mail по сравнению с факсимильной связью или традиционной почтой.

Нетерпеливый читатель наверняка задается вопросом: "Да-да-да, все это хорошо. Но где же неизбежная ложка дегтя?". Что ж, недостатки любой вещи чаще всего коренятся в ее же достоинствах.

Электронная почта недорога, удобна, комфортна? Значит, ею пользуются многие. И, следовательно, при помощи e-mail нередко пересылается что-то личное, конфиденциальное и даже интимное — словом, не предназначенное для чужих глаз.
И вот тут-то самое время окатить читателя холодным душем. Электронная почта таит массу возможностей для нарушения безопасной работы с информацией. Она предоставляет широкое поле для передачи через присоединенные файлы программ-вирусов, программ-шпионов, троянов и т.п. Сообщения электронной почты легко перехватить, прочесть, "подредактировать" (понятно, без ведома и позволения отправителя) и, наконец, отправить послание с произвольным текстом любому из ваших абонентов — причем от вашего имени.

Некоторые абоненты просто не осознают угрозы, а многие наивно полагают, что, удаляя письмо, они уничтожают информацию полностью и бесповоротно. Но — увы! — при этом забывают об архивных копиях, хранящихся у почтовых провайдеров.

Надеюсь, теперь вы вполне осознали серьезность потенциальных угроз, и вступительное слово можно заканчивать. Переходим к рассмотрению механизма защиты почтовых сообщений от несанкционированного чтения и редактирования.

 Пути защиты

Прежде чем приступить к изучению механизма защиты, очертим перечень угроз, от которых этот самый механизм должен предохранять. Это:

  • несанкционированное чтение почты;
  • несанкционированная корректировка почтового сообщения;
  • формирование и отправка писем от чужого имени.

Все эти опасности давно известны, потому как в равной мере актуальны и при использовании обычной (бумажной) корреспонденции. Пути защиты также идентичны:

  • аутентификация отправителя при помощи определенного идентификатора, подделка которого максимально затруднительна (для бумажного письма таким идентификатором является подпись автора);
  • шифрование содержимого письма.  

Читайте также:
  • Аутентификация клиентов Linux с помощью Active Directory
    Начиная с Windows 2000, корпорация Майкрософт перешла с NTLM на Active Directory и ее интегрированные службы проверки подлинности Kerberos. Kerberos был значительно защищеннее NTLM, а также лучше масштабировался. К тому же, Kerberos был стандартом отрасли, уже используемым системами Linux и UNIX, чт...
  • Возможности веб кэширования брандмауэра ISA
    Заметка: Если настроить ISA только в качестве сервера кэширования, он потеряет большинство из своих функций брандмауэра, и вам потребуется устанавливать другой брандмауэр для защиты вашей сети.ISA поддерживает прямое кэширование (для исходящих запросов) и обратное кэширование (для входящих запросов)...
  • Защита Microsoft Exchange Server 2007
    Лично я всегда считал, что меры безопасности следует принимать уровень за уровнем. Коррекция группы настроек безопасности принесет мало пользы, если в системе защиты почтовой организации Exchange будут оставаться бреши. С учетом высказанных соображений я решил в данно...
  • Новые атаки против DNS
    WPADПервое уязвимое место связано с протоколом WPAD, с помощью которого браузеры определяют параметры proxy-сервера. В сущности, браузер, совместимый с WPAD, использует DNS для поиска имени wpad и подключения к Web-серверу по возвращенному адресу, чтобы получить ф...
  • Разделение DNS
    Разделение DNS — это метод конфигурации, обеспечивающий корректное разрешение имен (например, имени example.com) для пользователей, находящихся как в локальной сети, так и вне ее. Используется данный метод почти в каждой организации. Но, хотя он и получил широкое расп...