Презентация на тему Защита серверов электронной почты

серверов электронной почты
Планирование развертывания почтового сервера

Выбор местоположения

почты
Для снижения затрат и достижения максимального уровня защищенности необходимо,

почтового сервера:
информация каких категорий будет обрабатываться или

На этапе планирования необходимо:

будут развернуты на почтовом сервере и используемые ими протоколы,

На этапе планирования необходимо:

клиентское программное обеспечение будет использоваться на

На этапе планирования необходимо:

MS Exchange Server

Sendmail, qmail, postfix

пользователей почтового сервера и других обеспечивающих

На этапе планирования необходимо:

к ресурсам) для каждой категории пользователей

На этапе планирования необходимо:

будут, то как) пользователи аутентифицироваться, и

На этапе планирования необходимо:

реализовываться заданные правила разграничения доступа к

На этапе планирования необходимо:

или аппаратное
обеспечение, позволяющее разделить сеть на две или

МЭ

Сеть 1

Сеть 2

доступ к компьютеру с установленным на нем почтовым сервером

Это не позволит внешнему злоумышленнику использовать для атаки на сервер неразрешенные сервисы

Если для атаки использовалось ПО самого почтового сервера, то после атаки затруднительно будет использовать машину в качестве плацдарма для атаки на внутреннюю сеть

сеть

Варианты размещения почтовых серверов

зрения безопасности:
почтовый сервер может быть защищен межсетевым

Варианты размещения почтовых серверов

сервер
Варианты размещения почтовых серверов

серверов
Преимущества с точки зрения безопасности:
компрометация почтового сервера безопасности

сервера в ДМЗ (вариант 1)
Варианты размещения почтовых серверов

сервер
WEB сервер
DNS сервер
Варианты размещения почтовых серверов

с точки зрения безопасности:
  возможна защита почтового сервера и

с точки зрения безопасности :
  DoS атаки, нацеленные на

Во втором варианте конфигурации ДМЗ МЭ подвергается повышенному риску снижения пропускной способности при осуществлении DoS атак на почтовый сервер.

с использованием дополнительного почтового шлюза в ДМЗ
Межсетевой экран
Внутренняя сеть


DMZ
E-mail

Варианты размещения почтовых серверов

маршрутизатор
Межсетевой экран
Внутренняя сеть


DMZ
E-mail сервер
Терминальный сервер
Варианты размещения почтовых серверов

RDP

конфигурации позволяет разделить роли между почтовыми серверами:
Front-end сервер будет

Back-end сервер будет заниматься хранением баз данных и обработкой запросов внутренних пользователей

Варианты размещения почтовых серверов

почтового сервера:
межсетевые экраны (firewalls)
  маршрутизаторы (routers)
сетевые

двумя
почтовыми серверами

POP3 IMAP
Конфигурирование межсетевых экранов

SMTP
получение почты при помощи SMTP

сервер
1024-
65535
25

*


4
Разрешить
*
25
1024-
65535
Front-end
сервер

ТСР
ТСР
АСК=1

экрана

сервер
1024-
65535
RPC

Back-end
сервер


4
Разрешить
Back-end
сервер
RPC
1024-
65535
Front-end
сервер

ТСР
ТСР
АСК=1

Server
TCP 135
TCP 1260
TCP 135
Exchange 2000
xxxx 1260

TCP 1025

на EndPoint Mapper
Аутентификация средствами ОС

сеть


DMZ
E-mail сервер
WEB сервер
DNS сервер

(switch) вместо концентраторов (hub) в сети с точки зрения

подверженность воздействиям (все операционные системы уязвимы!);  
ОС

прав и максимальных полномочий только авторизованным

ОС должна удовлетворять следующим требованиям:

операционной системы и других необходимых базовых компонент на компьютере

Для обеспечения базового уровня безопасности ОС необходимо выполнять следующие четыре шага:

в соответствии с существующими требованиями

Для обеспечения базового уровня безопасности ОС необходимо выполнять следующие четыре шага:

для проверки реализации предыдущими действиями

Для обеспечения базового уровня безопасности ОС необходимо выполнять следующие четыре шага:

Сканер
безопасности

скомпрометированы и использованы для атак на

Удаление или отключение ненужных служб повышает безопасность почтового сервера следующим образом:

файлам и принтерам в Windows NetBIOS;
 

Список некоторых сервисов и приложений, которые требуется запретить (не устанавливать):

записи (пользователей) и группы, установленные по

Настройка аутентификации пользователей в ОС:

сервера на отдельный (выделенный) компьютер (хост);
Целесообразно

DMZ

E-mail сервер

WEB сервер

DNS сервер

(только необходимые службы);  
Целесообразно выполнять следующие рекомендации:
E-mail

и обновления для устранения всех известных

Целесообразно выполнять следующие рекомендации:

E-mail сервер

диск или отдельный логический раздел (раздельный

Целесообразно выполнять следующие рекомендации:

работу всех ненужных, но установленных при

Целесообразно выполнять следующие рекомендации:

паре. Один из узлов пары – контроллер домена с

DC-AD
Active Directory Microsoft Outlook

ExchSrv
сервер Exchange Microsoft Outlook

1. Загрузить ОС Windows 2000 Server (с Active Directory) на одном из узлов пары (DC-AD)

2. Загрузить ОС Windows 2000 Server (без Active Directory) на другом узле пары (на нём будет установлен сервер Exchange)

TREExx.EDU

EXxx

будут включены администраторы сервера Exchange: Имя: Exchange Admins
4. Создать учётную

Установка сервера Exchange 2000

и включить (проверить) узел ExchSrv в Active Directory на

Установка сервера Exchange 2000