Exchange und Sicherheit

Die Informationen, die sich in der Datenbank von Exchange befinden, sind durchaus auch für fremde Augen interessant. Daher ist es notwendig, ein Wort zur Sicherheit zu verlieren.

Hierzu zählen mehrere Punkte, an denen ein Angreifer Zugriff erhalten kann:

  • Sicherheit des Transportwegs
    Ohne Vorkehrungen ist SMTP Klartext und kann daher mehr oder minder einfach abgehört werden. Ebenso können Absender problemlos gefälscht werden. Daher sind Verschlüsselung und Signierung wichtige Aspekte (siehe SMTP und die Sicherheit und Sichere Mails mit PGP und S/Mime). Aber Angriffe können auch den Server selbst lahm legen, überfluten oder als Relay missbrauchen. (Siehe Relay bei Internet Mail und Exchange und Firewalls).
    Zum Transportweg zählt auch die Verbindung der Exchange Server untereinander und die Kommunikation mit dem Domain Controllern und Clients. Insofern ist auch ihr gesamtes internes Netzwerk einer Prüfung und Sicherung zu unterziehen. Es muss nicht gleich IPSec sein, aber Sie sollten sich Sicherungsmechanismen und ein gesundes Management überlegen, um das Ausspionieren von Daten und Kennworten zu erschweren. Oft reicht ein einfacher Switch, um Netzwerkmonitor auszusperren.
  • Sicherheit des Servers
    Ein zweiter Aspekt ist die Sicherung des Mailservers selnst. Zwar ist die Datenbank nicht einfach mit einem Texteditor zu lesen oder zu kopieren, aber es gibt Wege an die Inhalte einer Datenbank zu gelangen. Dies kann ein Band der Datensicherung sein, ein nicht ausreichend gesicherter Account des Administrators oder eines Virenscanners oder natürlich der physikalische Zugriff auf den Server. Ein Kennwort auf dem Server ist heute kein Schutz mehr, da diese problemlos mit einer Diskette zurück gesetzt werden kann bzw. über eine zweite NT-Installation, Linux von einer CD oder NTFSDOS mit Diskette ist ein Zugriff auf die Dateien des Servers möglich.
    Der Schutz des Servers beginnt an der Tür zum Rack und Rechenzentrum.
  • Sicherheit des Clients
    Die Anwender lesen Mails und legen diese oft auch lokal ab.. Hierbei könnte ein Trojaner oder eine Regel dafür sorgen, dass Informationen wissentlich oder unabsichtlich das unternehmen verlassen.

Dies sind nur drei Hauptpunkte, an denen die Sicherheit verletzt werden kann.

Mögliche Schwachstellen

Ich möchte hier nur einige Punkte aufzählen, wie eine Stelle des Gesamtsystems angegriffen werden kann, so dass entweder die Funktion gestört oder gemindert ist, falsche Daten die Anwender zu falschen Handlungen verleiten oder interne Daten in fremde Hände gelangen.

Die Punkte hier sind bewusst "ungenau" um niemand zum Angriff zu ermuntern, aber es ist sehr einfach und darf daher nicht unterschätzt werden.

  • Angriffe auf den IIS
    z.B. Nimda, CodeRed um Administratorrechte zu erhalten.
  • Angriffe auf das Betriebssystem
    z.B. Unsichere Kennworte, Zugriff auf C$ und Registrierung
  • Angriffe auf das Domain, DNS, WINS und andere Dienste
    z.B. Registrieren von WINS-Namen, fälschen von DNS-Einträgen bei unsicherer dynamischer Registrierung oder torpedieren der Kerberos, LDAP und GC-Ports
  • Trojaner auf Clients und Server
    z.B. wenn der Administrator auf dem Server ein "unbekanntes" Programm startet. Auch eine unwissentlich eingebaute "Regel" um Nachrichten weiter zu leiten ist eine Gefahr.
  • Exchange "stören"
    z.B.: wenn der SMTP-Dienst 20 gleichzeitige Verbindungen annimmt, dann kann ich eben diesen böswillig "blockieren". vergleichbar wenn ich Ihren Postbriefkasten zustopfe
  • Zugriff auf Hardware
    Auch ein simpler Diebsstahl des Servers oder der Bänder des Backups wird genutzt, um an Daten zu kommen. Zwar ist so offensichtlich, dass die Daten "weg" sind, aber damit haben nur Sie als Eigentümer keinen Zugriff mehr darauf, aber andere interessierte Personen können die Daten auswerten. Wenn ein Service Techniker eine defekte Festplatte wechselt, dann sollte diese auch "richtig" defekt sein. Repariert werden Festplatte nicht.

Und es gibt noch viele andere Wege, Sand in das Getriebe zu streuen.

Abwehr

Um solche und andere Gefahren abzuwehren gibt es wenige Dinge, die Sie tun können und auch sollten:

  • Aufbau von Know-How
    Sicherheit ist kein fester Begriff sondern ein permanentes Rudern gegen Widerstände, da Sicherheit ein zusätzlicher Aufwand ist. Aber wenn Sie nicht wissen, was Sicherheit bedeutet, dann können Sie auch nicht einschätzen, was die benötigen. Sie wissen alle, dass ihre Haustür ein Schloss als Mindestschutz braucht und dafür auch Geld ausgegeben wird. Auch ein Server ist einfach nur ein Haus
  • Sicherung des Administrators
    Klar, dass der Administrator das System verwalten können muss. Aber hoffentlich sind Sie der einzige, der diesen Zugang kennt. Machen Sie sich auch hier Gedanken darüber, welche Zugänge der Administrator nutzt. Sind diese alle Sicher ?. Zudem könnten Sie den Namen "Administrator" einfach umbenennen. Es gibt sogar extra eine Gruppenrichtlinieneinstellung hierfür. Es versteht sich von selbst, dass das Kennwort lange und Komplex ist und Sie es jederzeit ändern können und regelmäßig auch ändern. Das bedeutet nämlich auch, dass kein anderer Prozess mit diesem Benutzerkonto arbeitet. Es ist übrigens gar nicht so schwer, eine Anmeldung des Administrators im Eventlog zu überwachen und zu melden.
  • Beschränkungen auf notwendige Funktionen
    Wenn ihr Exchange Server nur Mails aus dem Internet annehmen und senden soll und alle Anwender intern arbeiten, dann ist es überflüssig, aus dem Internet auch POP3 oder gar RPC zu erlauben. Auch intern kann der SMTP-Server blockiert als auch POP3/IMAP4-Dienst beendet werden, wenn nur mit Outlook gearbeitet wird. SO verhindern Sie Störungen von innen.
    Das gleiche gilt für den Server selbst. Installieren und starten Sie nur die Diente und Anwendungen auf dem Server, die auch wirklich erforderlich sind

Internet Client VPN
http://www.Microsoft.com/technet/treeview/default.asp?URL=/technet/security/bulletin/MS03-010.asp

MS Zitat übersetzt:
"Es ist sinnvoll, alle TCP/IP-Ports zu blocken, die nicht wirklich genutzt werden. Daher sollte bei den am Internet angeschlossenen Rechnern der Port 135 blockiert sein. RPC über TCP sollte nicht in ungesicherten Umgebungen wie dem Internet eingesetzt werden."

  • Updates und Patches
    Software hat Fehler und Fehler werden erkannt und behoben. Sie müssen aber diese Patches und Updates auch installieren, damit nicht andere die nun erkannten Bugs gezielt ausnutzen.
  • Verschlüsselung und Authentifizierung
    Auch VPNs oder IPSEC mit einer Autorisierung am Netzwerk vor dem eigentlichen Zugriff und die Verschlüsselung von Daten per SSL sind zwar etwas aufwändiger einzurichten aber lohnen den Aufwand.
  • gesonderte Schutzmechanismen
    Portfilter und Firewalls sind wirksame Hilfsmittel um Systeme zu schützen. Überlegen Sie immer, welche Netzwerke "vertrauenswürdig" sind und welche nicht.
  • Kontrolle der Schutzmaßnahmen
    Wer hindert Sie selbst einen "Postscan" aus dem Internet auf ihren Server durchzuführen oder als Test einen Virus (EICAR, siehe Virenschutz) zu senden?. Sie sollten dies sogar regelmäßig tun, um auch nach Update, Service Packs etc. die Funktion sicher zu erstellen. Sie können z.B.: auch regelmäßig eine Testmail senden und diese wieder kontrollieren oder die Webseite von OWA mit einem Sollwert vergleichen.
  • Erkennung von Eindringlingen und Gegenwehr
    Es gibt keinen 100% Schutz und viele Störungen kommen von innen. Ein IDS-System und Protokolldateien helfen ihnen bei der Suche nach dem Verursacher.
    Siehe auch  Kapitel 9 – Überwachung und Erkennung von Eindringversuchen
    http://download.Microsoft.com/download/2/e/8/2e87e2e8-4a61-41df-a030-13d801865f4e/09sec-ids.doc

Dies ist nur eine kurze Information über Hilfsmittel und Wege.

Zusammenfassung

Sicherheit ist kein Status Quo, sondern ein fortwährender Prozess aus Analyse, Beobachtung, Anpassung, Sicherung und wieder von vorne. Welchen Aufwand Sie in die Sicherheit stecken ist von ihren Anforderungen und der Sensibilität der Daten. Abwägen müssen Sie.

  • Kleine und mittlere Firmen werden den Schutz zuerst am Internet ansetzen, um hier sicher zu sein. Meist sind hier dann schon die Mittel erschöpft um mehr Schutz zu realisieren. Oft ist ein Router mit Portfilter und eine Virussoftware das höchste der Gefühle.
  • Größere Firmen oder Firmen mit erhöhten Sicherheitsbedürfnissen werden von alleine mehr in die Sicherheit investieren und nutzen Filter und Firewalls zur Sicherung der Server gegen unerlaubte Zugriffe aus dem Internet und internen Netzwerken. Zudem werden dann auch die Systeme permanent überwacht, z.B. Eventlog, Performancecounter, Netzwerkzugriffe

Letztlich liegt es bei den Verantwortlichen Personen zu entscheiden, wie viel Mittel in die Sicherheit gesteckt werden müssen und können.

Links

Links zu sicherheitsrelevanten Sites

Die hier veröffentlichten Links sind keine Aufforderung zum Knacken eines Servers aber sollen Aufzeigen, dass dazu nicht unbedingt Spezialwissen notwendig wäre.