URL: https://www.opennet.me/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID1
Нить номер: 90320
[ Назад ]

Исходное сообщение
"Перехват почты."

Отправлено stakado , 17-Ноя-10 10:23 
Здравствуйте!
Хочу обсудить вопрос перехвата почты с целью предотвращения утечки информации. В моём представлении это выглядит как отправление копий сообщений как входящих, так и исходящих на ящик админу, где их, в дальнейшем, можно посмотреть. Какими средствами это лучше сделать? Либо может я не совсем корректно задачу ставлю?

В текущий момент реализовано следующее:
Для входящей почте на компе админа в Outlook'e (пардон - MS) заведены ящики пользователей (пароли от всех рабочих ящиков известны) и он получает почту, не удаляя её с сервера. На клиентских машинах почтовые клиенты настроены так же, чтобы не удалять почту с сервера, поэтому никакие письма потеряться не должны.
Тут вроде вся почта видна и в дальнейшем её возможно посмотреть.
1. Но как быть с личными почтовыми ящиками, ни адреса, ни пароли которых не известны?

Большинство клиентов пользуются почтовыми клиентами и отправляют почту посредством smtp, весь этот траффик идёт через шлюз. На шлюзе запущены tcpdump'ы на 25й порт каждого клиента (можно запустить и один на всех, но мне так удобнее), дампы от которых собираются каждый час и обрабатывается chaosreader'ом. Он прекрасно выдирает письма из smtp. Так же ещё дополнительно к 1 пункту запущены tcpdump'ы на 110й порт. И вот из pop3 письма chaosreader выдирать почему-то не хочет. Если просмотреть лог, то в нем видны запросы RETR XXX и далее ответ от сервера в виде письма. Но вот в отдельные файлы письма эти chaosreader не складывает (как он это успешно делает с письмами из smtp). Версия chaosreader'a - 0.94, взятая с соурсфорджа.
2. Как заставить chaosreader выдергивать письма из pop3?

Помимо всего этого часть сотрудников вместо всяких аутлуков предпочитает пользоваться веб-почтой (mail.ru, rambler.ru, ...). Как быть с ней? Вижу вариант только лишь запретить доступ ко всем веб-почтам и заставить пользователей гонять почтовые клиенты и передавать/принимать почту по pop3/stmp.
3. Каким образом мониторить веб-почту?

Пока писал придумал решение вопроса №1: поскольку у меня запущены tcpdump'ы на 25 и 110 порты, то в этих дампах со временем появятся логины/пароли от всех личных ящиков, которые используются через pop3/smtp. Но вот как быть с личными ящиками, использующимися через веб-почтовики вопрос остаётся.


Содержание

Сообщения в этом обсуждении
"Перехват почты."
Отправлено EL , 17-Ноя-10 12:52 
Да ты какойто злобный монстр
Предлогаю подумать что еще делать с imap и прочими TLS/SSL портами ?


"Перехват почты."
Отправлено Andrey Mitrofanov , 17-Ноя-10 13:45 
> что еще делать с

...а также со "скрытно носимыми на теле" флэш-, CD-, НЖМД- и прочими носителями, GSM,WiFi,WiMAX и _другими радиоканалами, _оптическим кналом ("в окошко - через дорожку"), ну, и, конечно, условным стуком в стены-двери-землю -- морзянкой! %)

А! Ещё http -- запретить, однозначно. Ну, или "много" записывать придётся... А уж http_s_ -- так вообще ужос-ужос-ужос...


"Перехват почты."
Отправлено stakado , 17-Ноя-10 13:54 
>Да ты какойто злобный монстр

рад, что оценили :)
>Предлогаю подумать что еще делать с imap и прочими TLS/SSL портами ?

Благо пока такого вопроса не стоит. Уже задумывался, так сказать чисто теоретически - ниче путного в голову не пришло. Да и в общем-то как-то прочитать шифрованое содержимое не представляется возможным, иначе нафиг придумали все эти алгоритмы шифрования.
> ...а также со "скрытно носимыми на теле" флэш-, CD-, НЖМД- и прочими
> носителями, GSM,WiFi,WiMAX и _другими радиоканалами, _оптическим кналом ("в окошко - через
> дорожку"), ну, и, конечно, условным стуком в стены-двери-землю -- морзянкой! %)

На клиентских машинах закрыт доступ к usb и cd, дисководы 3.5" не установлены. WiFi существует лишь у определенного круга лиц (которые меня и заставили эти самые письма перехватывать).

> А! Ещё http -- запретить, однозначно. Ну, или "много" записывать придётся... А
> уж http_s_ -- так вообще ужос-ужос-ужос...

Ну и хотелось бы ближе к теме вопроса :)


"Перехват почты."
Отправлено DeadLoco , 17-Ноя-10 14:52 
>>Предлогаю подумать что еще делать с imap и прочими TLS/SSL портами ?
> Уже задумывался, так сказать чисто теоретически - ниче путного в голову не пришло.

Дык, батенька, они для того и придуманы, чтобы потом отдельным личностям в голову ничего не приходило...


"Перехват почты."
Отправлено sTALK_specTrum , 17-Ноя-10 17:44 
> На клиентских машинах закрыт доступ к usb и cd, дисководы 3.5" не
> установлены. WiFi существует лишь у определенного круга лиц (которые меня и
> заставили эти самые письма перехватывать).

Намекни этому узкому кругу ограниченных лиц, что они неправильно ставят задачу и нихрена не смыслят в политиках информационной безопасности. Если обуял острый приступ паранойи, пусть хотя бы подпишут приказ, что вся почта - только через свой домен на своём сервере. Никаких маил.ру. Пользоваться служебной почтой в личных целях запрещено. И никаких "однотрахников" и "собутыльников". И так далее. Работать, негры! Солнце всегда высоко!


"Перехват почты."
Отправлено анонимм , 17-Ноя-10 15:57 
>  то в этих дампах со временем появятся
> логины/пароли от всех личных ящиков, которые используются через pop3/smtp. Но вот
> как быть с личными ящиками, использующимися через веб-почтовики вопрос остаётся.

вы чего там совсем ох..ли?
ты пытаешься защитить контору, нарушив при этом законы писаные и неписаные. если это инициатива руководства, то валить надо в другое место.


"Перехват почты."
Отправлено stakado , 17-Ноя-10 16:10 
> вы чего там совсем ох..ли?
> ты пытаешься защитить контору, нарушив при этом законы писаные и неписаные.

В целом конечно, как вы выразились, ох..ли, но что ж поделать. А если по делу - то личная почта используется дома, на работе нужно пользоваться рабочей почтой, ну или на крайняк личной почтой _в рабочих целях_. Личная корреспонденция пользователей никого не интересует.

Насчёт нарушения законов - видимо так оно и есть. Правда можно было бы, наверное, издать какой-нить приказ о том, что на работе используется только рабочая почта и только в рабочих целях, а так же о том, что вся корреспонденция может быть прочитана службой безопасности. В таком случае не было бы нарушения никаких законов? Сам не силён в юриспруденции.

>если это инициатива руководства, то валить надо в другое место.

Да, это инициатива руководства и я с ним в текущей ситуации вполне согласен. Есть подозрения о сливе важной коммерческой информации непосредственным конкурентам, что не есть хорошо. Моя организация платит мне бабки и не в моих интересах её упадок.


"Перехват почты."
Отправлено rr , 17-Ноя-10 16:53 
>[оверквотинг удален]
> бы, наверное, издать какой-нить приказ о том, что на работе используется
> только рабочая почта и только в рабочих целях, а так же
> о том, что вся корреспонденция может быть прочитана службой безопасности. В
> таком случае не было бы нарушения никаких законов? Сам не силён
> в юриспруденции.
>>если это инициатива руководства, то валить надо в другое место.
> Да, это инициатива руководства и я с ним в текущей ситуации вполне
> согласен. Есть подозрения о сливе важной коммерческой информации непосредственным конкурентам,
> что не есть хорошо. Моя организация платит мне бабки и не
> в моих интересах её упадок.

всем все закрыть.
подключение к внешним ресурсам, по требованию пользователей с заверением у руководства.
при попытке обратится к внешнему ресурсу пользователь получает в браузере сообщение, доступ закрыт по политическим причинам. если доступ к ресурсу необходим по должным обязанностям обратитесь к администратору.
открываешь только после этого.


"Перехват почты."
Отправлено Хацкер , 17-Ноя-10 18:45 
Вообще-то есть текстовый файл, aliases называется.


"Перехват почты."
Отправлено Хацкер , 17-Ноя-10 18:49 
Ну или procmailrc.
> Вообще-то есть текстовый файл, aliases называется.

"Перехват почты."
Отправлено stakado , 18-Ноя-10 08:30 
> Ну или procmailrc.
>> Вообще-то есть текстовый файл, aliases называется.

Почта используется на сторонних почтовых серверах, не на личном почтовом сервере. Если я правильно Вас понял. Алиасы прописываются в случае, когда почта заведена на сервере, который управляется мной. Или не верно понял?


"Перехват почты."
Отправлено Прочитал тут , 18-Ноя-10 11:23 
Почитайте о системах DLP. А перенаправление всех (!) писем на почтовый ящик админа - это круто! Вы прикидывали, сколько у Вас будет уходить времени на перлюстрацию? Как вариант - поставьте свой почтовый сервер, запретите вложения, настройте список блокировки по ключевым словам. Как-то так.
Но начинать-то надо не с технических мер. Утвердиь концепцию безопасности, разработать и утвердить политику безопасности, сздать список объектов защиты с моделями угроз и матрицами доступа и т.д.

"Перехват почты."
Отправлено CIA , 18-Ноя-10 15:08 
> Почитайте о системах DLP. А перенаправление всех (!) писем на почтовый ящик
> админа - это круто! Вы прикидывали, сколько у Вас будет уходить
> времени на перлюстрацию? Как вариант - поставьте свой почтовый сервер, запретите
> вложения, настройте список блокировки по ключевым словам. Как-то так.
> Но начинать-то надо не с технических мер. Утвердиь концепцию безопасности, разработать
> и утвердить политику безопасности, сздать список объектов защиты с моделями угроз
> и матрицами доступа и т.д.

пипец! Тебе конкретную задачу поставили, для которой нужно конкретное решение, а не умные слова с семинаров по безопасности.


"Перехват почты."
Отправлено stakado , 18-Ноя-10 17:17 
> пипец! Тебе конкретную задачу поставили, для которой нужно конкретное решение, а не
> умные слова с семинаров по безопасности.

Мне, как автору темы, некрасиво было бы такое писать. А Вы за меня вот прямо вот в точку сказали, прям как мысли мои прочитали. Премного благодарен.

Но ещё больше был бы благодарен за _дельные_ ответы по теме.


"Перехват почты."
Отправлено Прочитал тут , 19-Ноя-10 00:06 
>> пипец! Тебе конкретную задачу поставили, для которой нужно конкретное решение, а не
>> умные слова с семинаров по безопасности.
> Мне, как автору темы, некрасиво было бы такое писать. А Вы за
> меня вот прямо вот в точку сказали, прям как мысли мои
> прочитали. Премного благодарен.
> Но ещё больше был бы благодарен за _дельные_ ответы по теме.

Вы, насколько я понимаю, из того "сословия" админов, которые считают себя крутыми практиками, которым нужно только сказать, какой порт закрыть, какой протокол "придушить", а все эти "умные слова с семинаров" - для тех, кто делать ничего не умеет =) С таким подходом, боюсь, у Вас мало что может получиться, особенно в области ИБ.


"Перехват почты."
Отправлено stakado , 19-Ноя-10 11:55 
> Вы, насколько я понимаю, из того "сословия" админов, которые считают себя крутыми
> практиками, которым нужно только сказать, какой порт закрыть, какой протокол "придушить",
> а все эти "умные слова с семинаров" - для тех, кто
> делать ничего не умеет =) С таким подходом, боюсь, у Вас
> мало что может получиться, особенно в области ИБ.

Я из тех админов, которые предпочитают на форумах общаться по делу, а не разглогольствовать на различного рода оффтопики.
Про ваши разные умные буковки уже уселся читать, мож и вправду что интересное найду (полезное вот навряд ли, но хотя б интересное - для общего развития тоже надо).

Ну и по-прежнему прошу дать какие-нить дельные советы. Хотя тему уже так засрали, что вряд ли кто-нить её читать станет.


"Перехват почты."
Отправлено Прочитал тут , 21-Ноя-10 00:36 
При повторном прочтении Вашего поста заметил несоответствие.

> Хочу обсудить вопрос перехвата почты с целью предотвращения утечки информации.

Вы неправильно формулируете цель или неправильные методы выбираете. Предотвращение утечек - это недопущение передачи конфиденциальной информации "за периметр", а выбранный Вами метод поможет только установить факт утечки (возможно с адресами отправителя и получателя), но саму утечку это не предотвратить - информация уже ушла. Поэтому я ещё раз Вам советую не пренебрегать теорией, а сделать так, как она советует: определить цели, объекты, методы и т.д.