|
|
|
|
| Компьютерный форум OSzone.net » Информационная безопасность » Защита компьютерных систем » Вопрос - Тех задание – обеспечить безопасность E-mail |
|
|
Вопрос - Тех задание – обеспечить безопасность E-mail
|
|
Новый участник Сообщения: 19 |
Здравствуйте уважаемые участники форума OSzone.net
Вкратце, предыстория: d мой отдел поступило задание обеспечить конфиденциальность, а так же безопасность пароля электронной почты, одного серьезного предприятия в нашем городе. Директора не хотят особо заморачиваться технической частью вопроса, поэтому изначально зарегистрировали почту на mail.ru, и просматривали ее с 3-х компьютеров: Ноутбук директора, стационар в офисе, домашний компьютер. В конечном счете почту взломали конкуренты, прочитали конфиденциальную информацию и от лица СВОИХ фирм разослали коммерческое предложения партнерам ТОЙ фирмы. Так узнали об утечке информации с почти, и от куда “ветер дует” . Директор поступил следующим образом – он регистрирует мыло на Rambler.ru, и там активирует новую фишку – “сборщик почты”. Новым партнерам выдает НОВОЕ мыло, и дабы не потерять “старых” – забирает почту “”Сборщиком почты Рамблера”. В феврале, ему позвонили партнеры с вопросом – почему нет ответа на их письма, письма были отосланы на Mail.ru. Он заходит на прямую, на mail – и у него, разумеется не проходит пароль!  C боем с админами Mail.ru, ему восстанавливают доступ к ящику.Теперь, мне нужно ситуацию исправить. Слабые звенья в цепочке, которые вижу я: 1. Компы директора: фаерволов нет (максимум стандартные виндовые), браузеры IE 6-7 включены Cookie, почта просматривалась исключительно браузером. Из плюсов: хотя бы KAV 2009 лицуха со свежими апдейтами. 2. Корпоративная сеть внутри организации – есть свой сисадмин. Но говорят не волочет в КБ вообще! Есть в сети сервак, какие функции выполняет мне не рассказали. Как инет раздается тоже. Суть не в этом. Если замешан админ – простой сниффер, и пароль у конкурентов. 3. Соц. Инженерия - есть секретный вопрос, если пробили секретный ответ – само собой разумеется…  4. Сломали или подкупили – Mail.ru Ну это уже из области фантастки… ИМХОТеперь хочу описать, как я планирую решить данный вопрос, а Вы со своей стороны критикуйте, советуйте. Ну и есть некоторые вопросы по ходу. Договорились мы на том, что сделаем все это на одном ноутбуке и почта будет проверяться ТОЛЬКО на нем… Теперь по плану: 1. Проверка AVZ, curit на наличие кейлогеров, троянов, SPY. 2. Руководство купит роутер – воткнуть его концом WAN в корпоративную сеть, в гнездо LAN: ноут. Таким образом обеспечить аппаратный фаервол + кучу полезных вещиц в дальнейшем. Роутер – под пароль. Можно на него же и удаленку организовать – по белому IP, или же через DynDNS. 3. Далее установка Opera, отключение Cookies и вход на почту Mail.ru 4. К делу подключается утилитка Portable Double Password. Ссылка http://www.2baksa.net/news/17262/ Соответственно установка на ноут и смена пароля На mail.ru. Тут же смена секретного вопроса и ответа + указание моб. Тел, и доп E-mail. Кстати Double Password не работает в opera…  Только в IE…5. Далее создание фильтра обработки почты. Создаю правило на пересылку почты на ящик Рамблера, и одновременное удаление с сервака. Вкладка безопасности - все галки установлю. 6. Пункты 4,5 повторю на ящике Рамблера. Кроме персылки разумеется… 7. Далее берется программка True Crypt Ссылка http://ru.wikipedia.org/wiki/TrueCrypt С ее помощью создаю шифрованный том с применением 3-х алгоритмов шифрования каскадом. 8. Этот том будет использоваться для установки в него The Bat, и хранения почты соответственно. Сюда ставится Bat, и настраивается ящик рамблера (теперь будет использоваться только почта рамблера). Почему рамблер? Он умеет авторизоваться по протоколу APOP, а значит передача пароля будет идти в зашифрованном виде. Тип соединения – Безопасный STARTTLS. Что исключит перехват сниффером. Так же в самом Бате будет установлен пароль на вход в сам ящик и пароль на авторизацию сервера нужно будет вводить каждый раз в ручную… Опять же не без Double Password. (Защита от кейлогеров). 9. Закрытие портов локально: ну изначально, это блокировка 135,137,138,139,445. Отключение UPNP, NetBios, RPC. Просмотр AntiSpy. Далее фаервол: думаю взять Outpost или ZoneAlarm. Не решил еще… Посоветуйте!? Конфигурирование фаера, изучение открытых портов, блокировка все различного барахла. 10. Еще вот вопрос – хотелось бы шифровать САМИ письма на лету, опять же для обхода админа. Т.к по протоколу APOP идет только шифрованная авторизация, письма же можно перехватить… Вариант с открытым ключом не подойдет, для “юзеров”, слишком много возни, вариант – ввести пароль при получении, думаю тоже… Как бы придумать? Это остается самым слабым звеном… Или будет достаточно соединения STARTTLS + APOP-MD5??? 11. Включение Windows Update, установка заплаток, Service Pack, при необходимости… Пока вроде все… Еще конечно был вариант платного VPN, но это уже на крайний случай… Выслушаю Ваше мнение. Потом, думаю можно будет прилепить куда ни – будь это в качестве руководства… |
|
|
Отправлено: 19:46, 02-04-2009 |
|
Dr. Piligrim Сообщения: 2443
|
Профиль | Отправить PM | Цитировать StayeR, здравствуйте. Если собираетесь и дальше использовать сервера такие как mail.ru, то с остальной безопасностью (роутеры, VPN) можете даже не начинать.
Цитата StayeR:
|
|
|
------- Отправлено: 09:49, 03-04-2009 | #2 |
Ветеран Сообщения: 2907
|
Профиль | Отправить PM | Цитировать Цитата StayeR:
|
|
|
Отправлено: 15:00, 08-04-2009 | #3 |
fascinating rhythm
Сообщения: 6604
|
Профиль | Отправить PM | Цитировать Если уж использовать общедоступные серверы, то можно рассмотреть gmail.com со включённой настройкой "использовать SSL всегда" (а не только при аутентификации).
|
|
------- Отправлено: 16:38, 08-04-2009 | #4 |
|
Новый участник Сообщения: 19
|
Профиль | Отправить PM | Цитировать Спасибо, это единственный форум, где хоть что то толковое советуют...
DJ Mogarych, Gmail - хороший вариант... |
|
|
Отправлено: 09:51, 09-04-2009 | #5 |
|
Участник сейчас на форуме |
 |
Участник вне форума |
 |
Автор темы |
 |
Сообщение прикреплено |
| |||||
| Название темы | Автор | Информация о форуме | Ответов | Последнее сообщение | |
| FAQ - [решено] Как обеспечить безопасность расшаренных дисков | Argument | Сетевые технологии | 13 | 22-08-2009 22:54 | |
| 2008 - Нужно тех. задание на сервер (контроллер домена/файл-сервер) | decadent | Windows Server 2008/2008 R2 | 0 | 12-02-2009 22:08 | |
| Личный e-mail и его безопасность... | Bren74 | Хочу все знать | 12 | 10-02-2008 14:55 | |
| Обеспечить наилучшее быстродействие(Ajust for best performance) | type | Автоматическая установка Windows 2000/XP/2003 | 2 | 19-03-2005 15:02 | |
| Как обеспечить безопасность WinXP. | PavelM | Сетевые технологии | 4 | 08-04-2004 11:35 | |
|
|
Время: 14:42. | © OSzone.net 2001-
|
|
Powered by: vBulletin Copyright ©2000 - 2025, Jelsoft Enterprises Ltd. |
