Имя пользователя:
Пароль:  
Помощь | Регистрация | Забыли пароль?  | Правила  

Компьютерный форум OSzone.net » Информационная безопасность » Защита компьютерных систем » Вопрос - Тех задание – обеспечить безопасность E-mail

Ответить
Настройки темы
Вопрос - Тех задание – обеспечить безопасность E-mail

Новый участник


Сообщения: 19
Благодарности: 0

Профиль | Отправить PM | Цитировать


Здравствуйте уважаемые участники форума OSzone.net
Вкратце, предыстория: d мой отдел поступило задание обеспечить конфиденциальность, а так же безопасность пароля электронной почты, одного серьезного предприятия в нашем городе. Директора не хотят особо заморачиваться технической частью вопроса, поэтому изначально зарегистрировали почту на mail.ru, и просматривали ее с 3-х компьютеров: Ноутбук директора, стационар в офисе, домашний компьютер. В конечном счете почту взломали конкуренты, прочитали конфиденциальную информацию и от лица СВОИХ фирм разослали коммерческое предложения партнерам ТОЙ фирмы. Так узнали об утечке информации с почти, и от куда “ветер дует” . Директор поступил следующим образом – он регистрирует мыло на Rambler.ru, и там активирует новую фишку – “сборщик почты”. Новым партнерам выдает НОВОЕ мыло, и дабы не потерять “старых” – забирает почту “”Сборщиком почты Рамблера”. В феврале, ему позвонили партнеры с вопросом – почему нет ответа на их письма, письма были отосланы на Mail.ru. Он заходит на прямую, на mail – и у него, разумеется не проходит пароль! C боем с админами Mail.ru, ему восстанавливают доступ к ящику.
Теперь, мне нужно ситуацию исправить. Слабые звенья в цепочке, которые вижу я:
1. Компы директора: фаерволов нет (максимум стандартные виндовые), браузеры IE 6-7 включены Cookie, почта просматривалась исключительно браузером. Из плюсов: хотя бы KAV 2009 лицуха со свежими апдейтами.
2. Корпоративная сеть внутри организации – есть свой сисадмин. Но говорят не волочет в КБ вообще! Есть в сети сервак, какие функции выполняет мне не рассказали. Как инет раздается тоже. Суть не в этом. Если замешан админ – простой сниффер, и пароль у конкурентов.
3. Соц. Инженерия - есть секретный вопрос, если пробили секретный ответ – само собой разумеется…
4. Сломали или подкупили – Mail.ru Ну это уже из области фантастки… ИМХО
Теперь хочу описать, как я планирую решить данный вопрос, а Вы со своей стороны критикуйте, советуйте. Ну и есть некоторые вопросы по ходу. Договорились мы на том, что сделаем все это на одном ноутбуке и почта будет проверяться ТОЛЬКО на нем… Теперь по плану:
1. Проверка AVZ, curit на наличие кейлогеров, троянов, SPY.
2. Руководство купит роутер – воткнуть его концом WAN в корпоративную сеть, в гнездо LAN: ноут. Таким образом обеспечить аппаратный фаервол + кучу полезных вещиц в дальнейшем. Роутер – под пароль. Можно на него же и удаленку организовать – по белому IP, или же через DynDNS.
3. Далее установка Opera, отключение Cookies и вход на почту Mail.ru
4. К делу подключается утилитка Portable Double Password. Ссылка http://www.2baksa.net/news/17262/ Соответственно установка на ноут и смена пароля На mail.ru. Тут же смена секретного вопроса и ответа + указание моб. Тел, и доп E-mail. Кстати Double Password не работает в opera… Только в IE…
5. Далее создание фильтра обработки почты. Создаю правило на пересылку почты на ящик Рамблера, и одновременное удаление с сервака. Вкладка безопасности - все галки установлю.
6. Пункты 4,5 повторю на ящике Рамблера. Кроме персылки разумеется…
7. Далее берется программка True Crypt Ссылка http://ru.wikipedia.org/wiki/TrueCrypt С ее помощью создаю шифрованный том с применением 3-х алгоритмов шифрования каскадом.
8. Этот том будет использоваться для установки в него The Bat, и хранения почты соответственно. Сюда ставится Bat, и настраивается ящик рамблера (теперь будет использоваться только почта рамблера). Почему рамблер? Он умеет авторизоваться по протоколу APOP, а значит передача пароля будет идти в зашифрованном виде. Тип соединения – Безопасный STARTTLS. Что исключит перехват сниффером. Так же в самом Бате будет установлен пароль на вход в сам ящик и пароль на авторизацию сервера нужно будет вводить каждый раз в ручную… Опять же не без Double Password. (Защита от кейлогеров).
9. Закрытие портов локально: ну изначально, это блокировка 135,137,138,139,445. Отключение UPNP, NetBios, RPC. Просмотр AntiSpy. Далее фаервол: думаю взять Outpost или ZoneAlarm. Не решил еще… Посоветуйте!? Конфигурирование фаера, изучение открытых портов, блокировка все различного барахла.
10. Еще вот вопрос – хотелось бы шифровать САМИ письма на лету, опять же для обхода админа. Т.к по протоколу APOP идет только шифрованная авторизация, письма же можно перехватить… Вариант с открытым ключом не подойдет, для “юзеров”, слишком много возни, вариант – ввести пароль при получении, думаю тоже… Как бы придумать? Это остается самым слабым звеном… Или будет достаточно соединения STARTTLS + APOP-MD5???
11. Включение Windows Update, установка заплаток, Service Pack, при необходимости…

Пока вроде все… Еще конечно был вариант платного VPN, но это уже на крайний случай…
Выслушаю Ваше мнение. Потом, думаю можно будет прилепить куда ни – будь это в качестве руководства…

Отправлено: 19:46, 02-04-2009

 

Dr. Piligrim


Сообщения: 2443
Благодарности: 519

Профиль | Отправить PM | Цитировать


StayeR, здравствуйте. Если собираетесь и дальше использовать сервера такие как mail.ru, то с остальной безопасностью (роутеры, VPN) можете даже не начинать.
Цитата StayeR:
задание обеспечить конфиденциальность, а так же безопасность пароля электронной почты, одного серьезного предприятия в нашем городе »
Установите свой почтовый сервер, для особо серьезных подключений используйте шифрованное SSL подключение на 995 порт по POP3 и 465 порт по SMTP. Для шифрования самих сообщений поднимите центр сертификации, выдавайте ключи ЭЦП и шифруйте письма.

-------

Virus? Malware? - Начните отсюда
Проблема в вашей теме решена? - Отметьте её решенной в настройках темы
Free Antivirus Software......Полиморфный AVZ

Это сообщение посчитали полезным следующие участники:

Отправлено: 09:49, 03-04-2009 | #2



Для отключения данного рекламного блока вам необходимо зарегистрироваться или войти с учетной записью социальной сети.

Если же вы забыли свой пароль на форуме, то воспользуйтесь данной ссылкой для восстановления пароля.


Аватара для Котяра

Ветеран


Сообщения: 2907
Благодарности: 331

Профиль | Отправить PM | Цитировать


Цитата StayeR:
Компы директора: фаерволов нет (максимум стандартные виндовые), браузеры IE 6-7 включены Cookie, почта просматривалась исключительно браузером. Из плюсов: хотя бы KAV 2009 лицуха со свежими апдейтами. »
Возможно, стоит поставить KIS 2009 - файрвол и KAV в одной программе.

Отправлено: 15:00, 08-04-2009 | #3


Аватара для DJ Mogarych

fascinating rhythm


Moderator


Сообщения: 6484
Благодарности: 1463

Профиль | Отправить PM | Цитировать


Если уж использовать общедоступные серверы, то можно рассмотреть gmail.com со включённой настройкой "использовать SSL всегда" (а не только при аутентификации).

-------
Powershell 7.x | Powershell 5.1 | ffmpeg (docs)

Это сообщение посчитали полезным следующие участники:

Отправлено: 16:38, 08-04-2009 | #4


Новый участник


Сообщения: 19
Благодарности: 0

Профиль | Отправить PM | Цитировать


Спасибо, это единственный форум, где хоть что то толковое советуют...
DJ Mogarych,
Gmail - хороший вариант...

Отправлено: 09:51, 09-04-2009 | #5



Компьютерный форум OSzone.net » Информационная безопасность » Защита компьютерных систем » Вопрос - Тех задание – обеспечить безопасность E-mail

Участник сейчас на форуме Участник сейчас на форуме Участник вне форума Участник вне форума Автор темы Автор темы Шапка темы Сообщение прикреплено

Похожие темы
Название темы Автор Информация о форуме Ответов Последнее сообщение
FAQ - [решено] Как обеспечить безопасность расшаренных дисков Argument Сетевые технологии 13 22-08-2009 22:54
2008 - Нужно тех. задание на сервер (контроллер домена/файл-сервер) decadent Windows Server 2008/2008 R2 0 12-02-2009 22:08
Личный e-mail и его безопасность... Bren74 Хочу все знать 12 10-02-2008 14:55
Обеспечить наилучшее быстродействие(Ajust for best performance) type Автоматическая установка Windows 2000/XP/2003 2 19-03-2005 15:02
Как обеспечить безопасность WinXP. PavelM Сетевые технологии 4 08-04-2004 11:35




 
Переход