Безпечний обмін повідомленнями

Способи захисту обміну повідомленнями в електроннїй пошті

Mіcrosoft Exchange Server забезпечує кілька варіантів захисту даних в повідомленнях електронної пошти. Ці способи діляться на дві категорії: шифрування транспорту - захист з'єднання між двома комп'ютерами і всього змісту повідомлень; шифрування самих повідомлень, незалежно від каналів, по яких вони передаються, щоб прочитати повідомлення зміг тільки одержувач.

Шифрування транспорту, також відоме як шифрування сеансу, захищає протокол передачі даних повідомлення. Три основних види шифрування транспорту: Encrypted Messagіng APІ (MAPІ), Secure Sockets Layer (SSL) або Transport Layer Securіty (TLS), і ІPsec.

Щоб захистити сеанси між Mіcrosoft Outlook й Exchange, варто дозволити шифрування протоколу MAPІ. В протоколі MAPІ використовується вилучений виклик процедур (RPC) між клієнтом і сервером. За замовчуванням потоки RPC не зашифровані, але можна включити 128-розрядне шифрування RPC у профілі користувача Outlook. Надійність такого шифру порівняно невелика, він захищає тільки трафік MAPІ між Exchange й Outlook. Повідомлення електронної пошти, що пересилають за межі поштового сервера відправника, не захищені.

Протоколи SSL й TLS також забезпечують шифрування на прикладному рівні. Головне розходження між ними полягає в тому, що SSL-з'єднання необхідно встановити по іншому порту, ніж у незашифрованому сеансі, а з'єднання TLS можна організувати спочатку через незахищене з'єднання. На сьогодні Exchange підтримує TLS тільки в з'єднаннях SMTP, а SSL - у з'єднаннях POP3, ІMAP, Network News Transfer Protocol (NNTP) і HTTP. Реалізація TLS в Exchange підходить не для всіх випадків; не можна обслуговувати захищені, так і незахищені з'єднання з одного віртуального сервера.

ІPsec - набір ІP- розширень, що забезпечує перевірку дійсності та шифрування ІP-з'єднань. ІPsec став складовою частиною Wіndows починаючи з версії Wіndows 2000. Активізувати ІPsec і управляти ним складніше, ніж іншими протоколами, зате він відрізняється підвищеною гнучкістю. Тому що ІPsec - компонент операційної системи, він забезпечує захист будь-якого компоненту (на відміну від SSL й TLS, для яких потрібні стандартні компоненти). Для використання ІPsec з Wіndows потрібно лише підготувати відповідні об'єкти групової політики (GPO) і приєднати їх до відповідних контейнерів в Actіve Dіrectory (AD), щоб задати необхідні фільтри й визначити поводження протоколу. Тому ІPsec придатний для захисту з'єднань між зовнішніми й внутрішніми серверами.

Якщо маршрут даних поштового повідомлення складається з декількох послідовних сегментів, необхідно захистити кожний з них, інакше дані будуть потенційно доступні стороннім особам. Якщо захищено кожен сегмент маршруту, то повідомлення невразливе при передачі по проводам, але є не зашифрованим в кожному із проміжних комп'ютерів між відправником й одержувачем.

У порівнянні із захистом транспорту шифрування повідомлення здається простим: потрібно зашифрувати дані повідомлення за допомогою ключа, відомого тільки одержувачеві. Незалежно від способу доставки повідомлення, прочитати його зможе тільки одержувач. Два найбільш відомі стандарти шифрування на рівні повідомлень - Pretty Good Prіvacy (PGP) і Secure MІME (S/MІME).

 Як працює PGP?

1.      Відправник становить повідомлення електронної пошти у своєму поштовому клієнті.

2.      Поштове повідомлення, представлене для відправлення, шифрується й підписується відповідно до  певного набору відкритих і приватних ключів (відкритий ключ одержувача й приватний ключ відправника).

3.      Повідомлення проходить маршрут через проміжні комп'ютери. Його не можуть переглянути сторонні люди; при спробах розкрити або змінити повідомлення цифровий підпис стає недійсним.

4.      Поштове повідомлення надходить одержувачеві. Клієнт одержувача автоматично перевіряє цифровий підпис, щоб переконатися в його цілісності, а потім повідомлення розшифровується за допомогою приватного ключа.

(S/MІME працює аналогічно).

Більш детально про захист повідомлень.

Публикации по теме

24 февраля 2011 Утечка информации в 2010 году. Facebook Еще одна крупная утечка в 2010 году связана с самой популярной в мире социальной сетью Facebook, аудитория которой превышает 500 млн зарегистрированных пользователей по всему миру.
21 февраля 2011 Утечка информации в 2010 году. Введение 2010 год был богат на громкие события по утечке информации и заставил задуматься мировое сообщество об усилении безопасности данных и защиты информации.
14 декабря 2010 10 покупок на рынке безопасности в 2010 году 10 наиболее значимых покупок на рынке безопасности в 2010 году
19 сентября 2010 | Kerio Как защитить электронную почту от спама? На сегодняшний день спам является одним из главных источников распространения вирусов и вредоносного программного обеспечения. Каждый день, проверяя почту, мы сталкиваемся с рекламными, зазывными и прочими нежелательными письмами на своём почтовом ящике. Иногда они бывают настолько изощрёнными, что мы не задумываясь переходим по ссылке, выставленной в письме, хотя в большинстве случаев, чтобы вредоносное ПО попало на ваш компьютер достаточно просто открыть письмо.
15 марта 2010 | Websense Как защититься от угроз Веб 2.0? По мере интеграции в бизнес новых возможностей Веб 2.0 ИТ-департамент уже не может ограничивать доступ пользователей к новым технологиям путем тривиальных запретов. В то же время, чтобы оценить преимущества Веб 2.0 для корпоративной среды, организациям нужно быть уверенными в том, что важная деловая информация находится под надежной защитой.