Exchange und Sicherheit
Die Informationen, die sich in der Datenbank von Exchange befinden, sind durchaus auch für fremde Augen interessant. Daher ist es notwendig, ein Wort zur Sicherheit zu verlieren.
Hierzu zählen mehrere Punkte, an denen ein Angreifer Zugriff erhalten kann:
- Sicherheit des Transportwegs
Ohne Vorkehrungen ist SMTP Klartext und kann daher mehr oder minder einfach abgehört werden. Ebenso können Absender problemlos gefälscht werden. Daher sind Verschlüsselung und Signierung wichtige Aspekte (siehe SMTP und die Sicherheit und Sichere Mails mit PGP und S/Mime). Aber Angriffe können auch den Server selbst lahm legen, überfluten oder als Relay missbrauchen. (Siehe Relay bei Internet Mail und Exchange und Firewalls).
Zum Transportweg zählt auch die Verbindung der Exchange Server untereinander und die Kommunikation mit dem Domain Controllern und Clients. Insofern ist auch ihr gesamtes internes Netzwerk einer Prüfung und Sicherung zu unterziehen. Es muss nicht gleich IPSec sein, aber Sie sollten sich Sicherungsmechanismen und ein gesundes Management überlegen, um das Ausspionieren von Daten und Kennworten zu erschweren. Oft reicht ein einfacher Switch, um Netzwerkmonitor auszusperren. - Sicherheit des Servers
Ein zweiter Aspekt ist die Sicherung des Mailservers selnst. Zwar ist die Datenbank nicht einfach mit einem Texteditor zu lesen oder zu kopieren, aber es gibt Wege an die Inhalte einer Datenbank zu gelangen. Dies kann ein Band der Datensicherung sein, ein nicht ausreichend gesicherter Account des Administrators oder eines Virenscanners oder natürlich der physikalische Zugriff auf den Server. Ein Kennwort auf dem Server ist heute kein Schutz mehr, da diese problemlos mit einer Diskette zurück gesetzt werden kann bzw. über eine zweite NT-Installation, Linux von einer CD oder NTFSDOS mit Diskette ist ein Zugriff auf die Dateien des Servers möglich.
Der Schutz des Servers beginnt an der Tür zum Rack und Rechenzentrum. - Sicherheit des Clients
Die Anwender lesen Mails und legen diese oft auch lokal ab.. Hierbei könnte ein Trojaner oder eine Regel dafür sorgen, dass Informationen wissentlich oder unabsichtlich das unternehmen verlassen.
Dies sind nur drei Hauptpunkte, an denen die Sicherheit verletzt werden kann.
Mögliche Schwachstellen
Ich möchte hier nur einige Punkte aufzählen, wie eine Stelle des Gesamtsystems angegriffen werden kann, so dass entweder die Funktion gestört oder gemindert ist, falsche Daten die Anwender zu falschen Handlungen verleiten oder interne Daten in fremde Hände gelangen.
Die Punkte hier sind bewusst "ungenau" um niemand zum Angriff zu ermuntern, aber es ist sehr einfach und darf daher nicht unterschätzt werden.
- Angriffe auf den IIS
z.B. Nimda, CodeRed um Administratorrechte zu erhalten. - Angriffe auf das Betriebssystem
z.B. Unsichere Kennworte, Zugriff auf C$ und Registrierung - Angriffe auf das Domain, DNS, WINS und andere Dienste
z.B. Registrieren von WINS-Namen, fälschen von DNS-Einträgen bei unsicherer dynamischer Registrierung oder torpedieren der Kerberos, LDAP und GC-Ports - Trojaner auf Clients und Server
z.B. wenn der Administrator auf dem Server ein "unbekanntes" Programm startet. Auch eine unwissentlich eingebaute "Regel" um Nachrichten weiter zu leiten ist eine Gefahr. - Exchange "stören"
z.B.: wenn der SMTP-Dienst 20 gleichzeitige Verbindungen annimmt, dann kann ich eben diesen böswillig "blockieren". vergleichbar wenn ich Ihren Postbriefkasten zustopfe - Zugriff auf Hardware
Auch ein simpler Diebsstahl des Servers oder der Bänder des Backups wird genutzt, um an Daten zu kommen. Zwar ist so offensichtlich, dass die Daten "weg" sind, aber damit haben nur Sie als Eigentümer keinen Zugriff mehr darauf, aber andere interessierte Personen können die Daten auswerten. Wenn ein Service Techniker eine defekte Festplatte wechselt, dann sollte diese auch "richtig" defekt sein. Repariert werden Festplatte nicht.
Und es gibt noch viele andere Wege, Sand in das Getriebe zu streuen.
Abwehr
Um solche und andere Gefahren abzuwehren gibt es wenige Dinge, die Sie tun können und auch sollten:
- Aufbau von Know-How
Sicherheit ist kein fester Begriff sondern ein permanentes Rudern gegen Widerstände, da Sicherheit ein zusätzlicher Aufwand ist. Aber wenn Sie nicht wissen, was Sicherheit bedeutet, dann können Sie auch nicht einschätzen, was die benötigen. Sie wissen alle, dass ihre Haustür ein Schloss als Mindestschutz braucht und dafür auch Geld ausgegeben wird. Auch ein Server ist einfach nur ein Haus - Sicherung des Administrators
Klar, dass der Administrator das System verwalten können muss. Aber hoffentlich sind Sie der einzige, der diesen Zugang kennt. Machen Sie sich auch hier Gedanken darüber, welche Zugänge der Administrator nutzt. Sind diese alle Sicher ?. Zudem könnten Sie den Namen "Administrator" einfach umbenennen. Es gibt sogar extra eine Gruppenrichtlinieneinstellung hierfür. Es versteht sich von selbst, dass das Kennwort lange und Komplex ist und Sie es jederzeit ändern können und regelmäßig auch ändern. Das bedeutet nämlich auch, dass kein anderer Prozess mit diesem Benutzerkonto arbeitet. Es ist übrigens gar nicht so schwer, eine Anmeldung des Administrators im Eventlog zu überwachen und zu melden. - Beschränkungen auf notwendige Funktionen
Wenn ihr Exchange Server nur Mails aus dem Internet annehmen und senden soll und alle Anwender intern arbeiten, dann ist es überflüssig, aus dem Internet auch POP3 oder gar RPC zu erlauben. Auch intern kann der SMTP-Server blockiert als auch POP3/IMAP4-Dienst beendet werden, wenn nur mit Outlook gearbeitet wird. SO verhindern Sie Störungen von innen.
Das gleiche gilt für den Server selbst. Installieren und starten Sie nur die Diente und Anwendungen auf dem Server, die auch wirklich erforderlich sind
Internet Client VPN
http://www.Microsoft.com/technet/treeview/default.asp?URL=/technet/security/bulletin/MS03-010.asp
MS Zitat übersetzt:
"Es ist sinnvoll, alle TCP/IP-Ports zu blocken, die nicht wirklich genutzt
werden. Daher sollte bei den am Internet angeschlossenen Rechnern der Port
135 blockiert sein. RPC über TCP sollte nicht in ungesicherten Umgebungen
wie dem Internet eingesetzt werden."
- Updates und Patches
Software hat Fehler und Fehler werden erkannt und behoben. Sie müssen aber diese Patches und Updates auch installieren, damit nicht andere die nun erkannten Bugs gezielt ausnutzen. - Verschlüsselung und Authentifizierung
Auch VPNs oder IPSEC mit einer Autorisierung am Netzwerk vor dem eigentlichen Zugriff und die Verschlüsselung von Daten per SSL sind zwar etwas aufwändiger einzurichten aber lohnen den Aufwand. - gesonderte Schutzmechanismen
Portfilter und Firewalls sind wirksame Hilfsmittel um Systeme zu schützen. Überlegen Sie immer, welche Netzwerke "vertrauenswürdig" sind und welche nicht. - Kontrolle der Schutzmaßnahmen
Wer hindert Sie selbst einen "Postscan" aus dem Internet auf ihren Server durchzuführen oder als Test einen Virus (EICAR, siehe Virenschutz) zu senden?. Sie sollten dies sogar regelmäßig tun, um auch nach Update, Service Packs etc. die Funktion sicher zu erstellen. Sie können z.B.: auch regelmäßig eine Testmail senden und diese wieder kontrollieren oder die Webseite von OWA mit einem Sollwert vergleichen. - Erkennung von Eindringlingen und Gegenwehr
Es gibt keinen 100% Schutz und viele Störungen kommen von innen. Ein IDS-System und Protokolldateien helfen ihnen bei der Suche nach dem Verursacher.
Siehe auch Kapitel 9 – Überwachung und Erkennung von Eindringversuchen
http://download.Microsoft.com/download/2/e/8/2e87e2e8-4a61-41df-a030-13d801865f4e/09sec-ids.doc
Dies ist nur eine kurze Information über Hilfsmittel und Wege.
Zusammenfassung
Sicherheit ist kein Status Quo, sondern ein fortwährender Prozess aus Analyse, Beobachtung, Anpassung, Sicherung und wieder von vorne. Welchen Aufwand Sie in die Sicherheit stecken ist von ihren Anforderungen und der Sensibilität der Daten. Abwägen müssen Sie.
- Kleine und mittlere Firmen werden den Schutz zuerst am Internet ansetzen, um hier sicher zu sein. Meist sind hier dann schon die Mittel erschöpft um mehr Schutz zu realisieren. Oft ist ein Router mit Portfilter und eine Virussoftware das höchste der Gefühle.
- Größere Firmen oder Firmen mit erhöhten Sicherheitsbedürfnissen werden von alleine mehr in die Sicherheit investieren und nutzen Filter und Firewalls zur Sicherung der Server gegen unerlaubte Zugriffe aus dem Internet und internen Netzwerken. Zudem werden dann auch die Systeme permanent überwacht, z.B. Eventlog, Performancecounter, Netzwerkzugriffe
Letztlich liegt es bei den Verantwortlichen Personen zu entscheiden, wie viel Mittel in die Sicherheit gesteckt werden müssen und können.
Links
- Siehe auch verwandte Links auf dieser Webseite
MSXFAQ - Viren, Spam, Werbung und Müll
MSXFAQ - Spam und UCE
MSXFAQ - Exchange und Firewalls
MSXFAQ - Relay bei Internet Mail - Q319267 HOW TO: Secure Simple Message Transfer Protocol Client Message Delivery in Exchange 2000
- Q319273 HOW TO: Secure Post Office Protocol Client Access in Exchange 2000
- Q319278 HOW TO: Secure Internet Message Access Protocol Client Access in Exchange 2000
- Q229694 HOW TO: Install and use the IIS Security "What If" Tool
- http://www.Microsoft.com/technet/treeview/default.asp?URL=/technet/security/mail/email.asp
- http://www.Microsoft.com/technet/treeview/default.asp?URL=/technet/security/prodtech/mailexch/opsguide/default.asp
-
www.Microsoft.com/security
Microsofts Zugriff auf Patches und Fixes. Hier sollten Sie sich auch in den Newsletter einschreiben, um Informationen über Updates und Fixe per Mail zu erhalten, damit sie ihre Server am Internet schnell aktualisieren können. -
Kapitel 9 – Überwachung und Erkennung von Eindringversuchen
http://download.Microsoft.com/download/2/e/8/2e87e2e8-4a61-41df-a030-13d801865f4e/09sec-ids.doc -
19 smarte Tipps zur Absicherung von Active Directory
http://www.Microsoft.com/germany/technet/technetmag/issues/2006/05/smarttips.mspx
Links zu sicherheitsrelevanten Sites
Die hier veröffentlichten Links sind keine Aufforderung zum Knacken eines Servers aber sollen Aufzeigen, dass dazu nicht unbedingt Spezialwissen notwendig wäre.
- Informationen des BSI
http://www.bsi.bund.de/gstool Grundschutz Tool Software
http://www.bsi.bund.de/gshb/_start.htm Grundschutz Handbuch Startseite
http://www.bsi.bund.de/produkte/cdrom/index.htm Produkte des BSI - Informationen über Fehler und Unsicherheiten
Common Vulnerabilities & Exposures (CVE)
CERT advisories
http://www.cert.dfn.de, http://www.dfn-cert.de
http://www.cert.dfn.de/csir/first.html First Response Team
http://www.Microsoft.com/security Microsoft Security Webseite
http://www.securityfocus.com/cgi-bin/vulns.pl BUGTRAQ Datenbank
Fast alle Dienste bieten auch eine Anmeldung an einer Mailingliste an, die sehr schnell über Fehler informiert. z.B. http://www.securityfocus.com/cgi-bin/subscribe.pl - Tools um Daten über IP-Adressen zu erfahren
http://Tools-on.net Netzwerktools NSLookup, Whois, Dig, Time, NTP alles per HTTP
http://relays.osirusoft.com/cgi-bin/rbcheck.cgi IP Adresse in Relay-Datenbank nachsehen
http://openrbl.org/trace.php IP-Adresse verfolgen, Details über Besitzer - Kennworte von Windows NT Zurücksetzen, NT Recovern etc
http://pogostick.net/~pnh/ntpasswd/
http://www.securiteam.com/tools/6T00D0A35S.html NT Password Recovery CD
http://www.dmzs.com/ftproot/security/password/CreateNTRecoveryBootableCD.sh
http://www.dmzs.com/ftproot/security/password/NTRecovery-DMZS.iso - http://www.trusnet.com/seclinks/nt.html
- Intrusion Detection System (IDS)
www.snort.org Freeware
www.iss.com
www.eeye.com - Erkennen von Schwachstellen
http://www.eeye.com/html/Research/Tools/codered.html CodeRed Scanner
http://www.eeye.com/html/Research/Tools/nimda.html NIMDA-Scanner
http:/www.eeye.com/html/Research/Tools/nmapnt.html NMAP für Windows
http://netgroup-serv.polito.it/winpcap, http://winpcap.polito.it Pakettreiber für NMAP
http://www.gfisoftware.com/languard/lanscan.htm GFI Network Security Scanner
http://www.webattack.com/get/superscan.shtml SuperScan Portscanner
http://www.nessus.org/ Nessus Security Scanner. Weiterentwicklung von Satan - Nagios http://www.nagios.org/ Netzwerk Dienste Monitor
- So sehen Webseiten aus, die "verändert" worden.
http://Alldas.org Inklusive NMAP Information
www.illegalaccess.de - Free Netzwerk Analyser WIN95/NT4/200
http://netgroup-serv.polito.it/analyzer/ - Und viele weitere Links zum reinschnuppern
http://www.netstumbler.com WIFI Cracktools Wireless
http://www.ntop.org Ermitteln der Top User eines Netzwerk
http://packetstormsecurity.nl/ http://packetstormsecurity.nl/assess.html
http://homepage.swissonline.net/mruef/security-guide/windows-sicherheit/5-windows_nt/
http://www.security-guide.ch/dokumente/index.html#die_sicherheit_von_windows