В следующей версии сервера Exchange появится много новых и давно ожидаемых возможностей для усиления безопасности. Пока мы ожидаем, когда Exchange 2007 перейдет на RTM, в этой серии из четырех статей я расскажу о том, что необходимо сделать для усиления безопасности среды сервера Exchange 2003.
Если вы хотите ознакомиться с остальными частями этой статьи, то, пожалуйста, прочитайте:
- Усиление защиты среды сервера Exchange 2003 Environment (Часть 2)
- Усиление защиты среды сервера Exchange 2003 Environment (Часть 3)
- Усиление защиты среды сервера Exchange 2003 Environment (Часть 4)
Введение
Эта статья рассказывает не только об усилении безопасности на серверах Exchange, но и также о многих других аспектах безопасности, которые позволяют сделать более безопасной всю структуру для обмена сообщениями. Конкретно, я сфокусируюсь на следующих областях:
- Люди
- Серверы
- Клиенты
- Сообщения
Некоторые из моих клиентов просто отказываются устанавливать какие-либо продукты компании Microsoft по периметру своей сети. Некоторые из них даже прописали это в своей политике безопасности. Мое убеждение и вера в то, что приписываемая программному обеспечению компании Microsoft нехватка безопасности, является лишь одним из мифов! Я могу упомянуть пару студий, но это было бы очент некорректно. Поэтому я прошу вас поверить моему опыту работы и утверждению, что хорошо настроенный и хорошо управляемый (а эти два условия очень важны!) сервер Microsoft также безопасен, как и любой другой сервер под управлением операционной системы UNIX или другой OS.
Рекомендации по безопасности, о которых я пишу, нацелены на системы сервера Exchange 2003, хотя некоторые из них являются более общими, и могут использоваться для других версий. В действительности они являются общими и лучшими рекомендациями и могут использоваться в любой информационной инфраструктуре (IT infrastructure).
Последнее слово, перед тем, как я приступлю к описанию этих рекомендаций: при тонкой настройке настроек безопасности всегда есть риск ошибки. Поэтому убедитесь в том, что все ваши тестовые изменения проверены в контролируемом окружении, и что у вас всегда есть резервная копия, чтобы в случае ошибки откатиться на предыдущую рабочую версию.
Основные рекомендации для обеспечения лучшей безопасности
Хотя существует огромное множество различных сложных и современных мер, которые вы можете использовать для усиления безопасности вашей структуры сервера Exchange, вы не должны недооценивать следующие основные предосторожности.
| Элемент | действие |
| сетевая безопасность | - обеспечение безопасности AD - требование сложных паролей - следование принципу минимума привилегий - использование антивирусных решений |
| безопасность сервера | - физически защищать ваши сервера - удалять все ненужные службы - использовать последние обновления |
| - создание списка утвержденных IP адресов и название доменов - включение журнализации и мониторинга ваших серверов - избегать релея SMTP | |
| безопасность данных | - использование специального плана для восстановления поврежденных или потерянных данных |
Таблица 1
Знайте вашу инфраструктуру
Знаете ли вы в действительности вашу инфраструктуру? Знаете ли вы, где располагаются критические места вашей системы по обмену сообщениями? Знаете ли вы, какие вытекают из этого риски и как с ними бороться?
Для усиления безопасности необходимы обширные знания. Первое, что вам необходимо сделать перед определением вашей стратегии безопасности – обновить свои знания о сетевой топологии, конфигурации сервера, конфигурации системы, поведении пользователей и других важных аспектов в вашей организации.
Эффективная стратегия безопасности также описывает порты, которые связаны с каждой службой, используемой вашей организацией Exchange. Для того чтобы снизить поверхность атак, вы должны закрыть доступ к портам, которые вы не используете. В следующей таблице описаны порты сервера Exchange и связанные с ними службы:
| Порт | Служба |
| 25 | SMTP |
| 80 | HTTP (Hypertext Transfer Protocol) |
| 88 | Kerberos authentication protocol |
| 102 | MTA (message transfer agent)—X.400 connector over TCP/IP (Transmission Control Protocol/Internet Protocol) |
| 110 | POP3 |
| 119 | NNTP |
| 135 | Client/server communication RPC (удаленный вызов процедур) |
| 143 | IMAP |
| 389 | LDAP |
| 443 | HTTP (Secure Sockets Layer (SSL)) |
| 465 | SMTP (SSL) |
| 563 | NNTP (SSL) |
| 636 | LDAP (SSL) |
| 993 | IMAP4 (SSL) |
| 995 | POP3 (SSL) |
| 3268, 3269 | Global catalog lookups |
Таблица 2: Порты сервера Exchange
Любое единственное предостережение не сможет гарантировать безопасности структуры вашего сервера Exchange 2003. Вам необходимо понимать риски связанные с безопасностью, для которых уязвимо большинство компаний. С помощью идентификации рисков безопасности и использовании технологий и методов, приводящих к снижению этих методов, вы сможете снизить вероятность атак на вашу систему безопасности.
Следующая таблица описывает основные типы атак на систему безопасности.
| Тип опасности | Характеристики рисков |
| Кража данных | Копирование, изменение или прослушивание данных, которые передаются по сети или хранятся на диске. |
| Подлог | Подмена передаваемых данных. |
| Отказ в обслуживании | Приведение сервера в нерабочее состояния путем загрузки сервера или сети неверными или неполными данными. Это приводит к переполнению буфера или очереди на сервере, что может привести к полной неработоспособности сервера. |
| Трояны | Вредные программы, нарушающие безопасность, которые часто маскируются под игры или какую-нибудь шутку. |
| Вирусы | Программа, которая ищет другие программы и инфицирует их, внедряя в них свои копии. При запуске зараженной программы, внедренный в нее вирус также запускается. Таким образом вирус распространяет сам себя. Обычно вирусы невидимы для пользователя. |
| Имитация соединения | Замена электронного адреса клиента собственным электронным адресом. |
| Подмена писем | Подмена содержимого писем, отправленных на адрес вашей компании, на другие письма, содержание которых отличается от оригинала. |
Таблица 3: Типы опасностей
Административные роли
Существует известная практика для безопасности, которая называется принципом наименьшей привилегии. Этот принцип заявляет, что пользователь, или в нашем случае администратор, должен управлять только той информацией или ресурсами, которые ему необходимы. Цель этого заключается в том, чтобы усилить защиту данных и функциональности от нестандартного поведения.
В нашем случае, в среде Exchange, где у вас есть несколько групп администраторов, может возникнуть ситуация, при которой некоторые администраторы сделают изменения в конфигурации для объектов, для которых они не должны этого делать. Для избежания такой ситуации, необходимо сделать несколько вещей:
- Настроить дополнительные административные группы – административные группы обеспечивают способ группировки объекты вместе (например, серверы (servers), политики (policies), маршрутный группы (routing groups) и общие папки (public folder)) и позволяют определить область разрешения для группы.
- Использовать мастер по передачи администрирования Exchange Administration Delegation Wizard – используйте этот мастер для передачи административных прав пользователю или группе.
- Назначать административные роли –административная роль – это собрание объектов Exchange 2003 для управления и передачи разрешений.
В следующей таблице представлен список административных ролей в Exchange 2003:
| Роль | Права в структуре | Права в административной группе |
| Полный администратор | • права на полный контроль (Full Control) для контейнера MsExchConfiguration • права Deny Receive-As и Send-As для контейнера Organization • права Read (чтение) и Change (изменения) для контейнера Deleted Objects в Configuration naming context (Config NC) | • Права Read, List object и List contents для контейнера MsExchConfiguration • права Read, List object и List для контейнера Organization container • Права Full Control, Deny Send-As и Deny Receive-As для контейнера Administrator Groups • Права Full Control для объекта Connections • Права Read, List object, List contents и Write properties для контейнера Offline Address Lists container |
| Fдминистратор | • Все права для контейнера MsExchConfiguration container. • Права Deny Receive-As и Send-As для контейнера Organization. | • Права Read, List object и List contents permissions для контейнера MsExchConfiguration (только для этого объекта). • права Read, List object и List contents permissions для контейнера Organization. • Все права (за исключением прав Change, Deny Send-As и Deny Receive-As permissions) для контейнера Administrator Group. • Все права (за исключением Change permissions) для контейнера Connections. • права Read, List object, List contents и Write properties permissions для контейнера Offline Address Lists. |
| Exchange View Only Administrator | • Права Read, List object и List contents permissions для контейнера MsExchConfiguration. • Право View Information Store Status permissions для контейнера Organization. | • права Read, List object и List contents permissions для контейнера MsExchConfiguration. • Права Read, List object и List contents permissions для контейнера Organization. • права Read, List object и List contents permissions для контейнера Administrator Groups. • права Read, List object, List contents и View Information Store Status permissions для контейнера Administrator Groups. • права Read, List object и List contents permissions для контейнеров MsExchRecipientsPolicy, Address Lists, Addressing, Global Settings, System Policies. |
Таблица 4: Административные роли на сервере Exchange 2003
В некоторых случаях мастер по передаче административных прав Exchange Administration Delegation Wizard не обеспечивает достаточной детальности при назначении прав безопасности. Поэтому для отдельных объектов внутри Exchange вы можете изменить настройки во вкладке Security.
Возможности по журнализации
Хорошо, мы не будем разговаривать о журналах транзакций Exchange, тех критических компонентах архитектуры базы данных Exchange. Журналы, которые меня интересуют – это те журналы, которые хранят важную информацию о действиях совершенных в вашей среде. С точки зрения безопасности не только важно, чтобы у вас были такие журналы, но и чтобы вы регулярно просматривали их, а не только после того, когда что-то уже произошло.
Существует несколько возможностей по журнализации в Exchange 2003, например, журнализация диагностики (diagnostic logging), отслеживание сообщений (message tracking), журнализация активности (activity logging), а также журнал аудита (audit logging). Объем данных, который могут формировать эти журналы за день, может быть огромным, поэтому в случае, если вы займете все свободное пространство, то Exchange очистит их.
В качестве наилучшей рекомендации я посоветую вам создать план аудита до применения политики аудита:
- Рассмотреть ресурсы, которые вы хотите использовать для сбора и просмотра в журнале аудита (audit log).
- Решить, какой тип информации вы хотите получить от собранных для аудита событий.
- Собирать и упаковывать журналы для безопасности (security logs) во всей вашей организации.
Если вы будете следовать этим основным принципам, то в случает вторжения или появления дыр в безопасности, то у вас будут все инструменты для проведения правильного расследования.
Хотя существует огромное количество возможностей по журнализации на сервере Exchange, ниже представлен список самых важных журналов для среды Exchange:
- Системный журнал безопасности Event Viewer system security log
- Журналы виртуального сервера SMTP Virtual Server logs
- Журналы HTTP logs
- Журналы отслеживания событий (Message tracking logs)
Резюме
Вот и всё на этот раз. Во второй части я расскажу об инфраструктуре среды сервера Exchange, о том, как усилить безопасность ваших серверов, и о том, какие меры необходимо предпринять для дальнейшей вашей защиты от атак на безопасность.
Если вы хотите ознакомиться с остальными частями этой статьи, то, пожалуйста, прочитайте:
- Усиление защиты среды сервера Exchange 2003 Environment (Часть 2)
Если вы хотите ознакомиться с остальными частями этой статьи, то, пожалуйста, прочитайте:
- Усиление защиты среды сервера Exchange 2003 Environment (Часть 2)
- Усиление защиты среды сервера Exchange 2003 Environment (Часть 3)
- Усиление защиты среды сервера Exchange 2003 Environment (Часть 4)
