The OpenNET Project / Index page

[ новости /+++ | форум | wiki | теги | ]

форумы  помощь  поиск  регистрация  майллист  вход/выход  слежка  RSS
"Перехват почты."
Вариант для распечатки  
Пред. тема | След. тема 
Форум Открытые системы на сервере (Почта / Linux)
Изначальное сообщение [ Отслеживать ]

"Перехват почты."  +/
Сообщение от stakado email(ok) on 17-Ноя-10, 10:23 
Здравствуйте!
Хочу обсудить вопрос перехвата почты с целью предотвращения утечки информации. В моём представлении это выглядит как отправление копий сообщений как входящих, так и исходящих на ящик админу, где их, в дальнейшем, можно посмотреть. Какими средствами это лучше сделать? Либо может я не совсем корректно задачу ставлю?

В текущий момент реализовано следующее:
Для входящей почте на компе админа в Outlook'e (пардон - MS) заведены ящики пользователей (пароли от всех рабочих ящиков известны) и он получает почту, не удаляя её с сервера. На клиентских машинах почтовые клиенты настроены так же, чтобы не удалять почту с сервера, поэтому никакие письма потеряться не должны.
Тут вроде вся почта видна и в дальнейшем её возможно посмотреть.
1. Но как быть с личными почтовыми ящиками, ни адреса, ни пароли которых не известны?

Большинство клиентов пользуются почтовыми клиентами и отправляют почту посредством smtp, весь этот траффик идёт через шлюз. На шлюзе запущены tcpdump'ы на 25й порт каждого клиента (можно запустить и один на всех, но мне так удобнее), дампы от которых собираются каждый час и обрабатывается chaosreader'ом. Он прекрасно выдирает письма из smtp. Так же ещё дополнительно к 1 пункту запущены tcpdump'ы на 110й порт. И вот из pop3 письма chaosreader выдирать почему-то не хочет. Если просмотреть лог, то в нем видны запросы RETR XXX и далее ответ от сервера в виде письма. Но вот в отдельные файлы письма эти chaosreader не складывает (как он это успешно делает с письмами из smtp). Версия chaosreader'a - 0.94, взятая с соурсфорджа.
2. Как заставить chaosreader выдергивать письма из pop3?

Помимо всего этого часть сотрудников вместо всяких аутлуков предпочитает пользоваться веб-почтой (mail.ru, rambler.ru, ...). Как быть с ней? Вижу вариант только лишь запретить доступ ко всем веб-почтам и заставить пользователей гонять почтовые клиенты и передавать/принимать почту по pop3/stmp.
3. Каким образом мониторить веб-почту?

Пока писал придумал решение вопроса №1: поскольку у меня запущены tcpdump'ы на 25 и 110 порты, то в этих дампах со временем появятся логины/пароли от всех личных ящиков, которые используются через pop3/smtp. Но вот как быть с личными ящиками, использующимися через веб-почтовики вопрос остаётся.

Ответить | Правка | Cообщить модератору

Оглавление

Сообщения по теме [Сортировка по времени | RSS]


1. "Перехват почты."  +/
Сообщение от EL (??) on 17-Ноя-10, 12:52 
Да ты какойто злобный монстр
Предлогаю подумать что еще делать с imap и прочими TLS/SSL портами ?

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

2. "Перехват почты."  +/
Сообщение от Andrey Mitrofanov on 17-Ноя-10, 13:45 
> что еще делать с

...а также со "скрытно носимыми на теле" флэш-, CD-, НЖМД- и прочими носителями, GSM,WiFi,WiMAX и _другими радиоканалами, _оптическим кналом ("в окошко - через дорожку"), ну, и, конечно, условным стуком в стены-двери-землю -- морзянкой! %)

А! Ещё http -- запретить, однозначно. Ну, или "много" записывать придётся... А уж http_s_ -- так вообще ужос-ужос-ужос...

Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

3. "Перехват почты."  +/
Сообщение от stakado email(ok) on 17-Ноя-10, 13:54 
>Да ты какойто злобный монстр

рад, что оценили :)
>Предлогаю подумать что еще делать с imap и прочими TLS/SSL портами ?

Благо пока такого вопроса не стоит. Уже задумывался, так сказать чисто теоретически - ниче путного в голову не пришло. Да и в общем-то как-то прочитать шифрованое содержимое не представляется возможным, иначе нафиг придумали все эти алгоритмы шифрования.
> ...а также со "скрытно носимыми на теле" флэш-, CD-, НЖМД- и прочими
> носителями, GSM,WiFi,WiMAX и _другими радиоканалами, _оптическим кналом ("в окошко - через
> дорожку"), ну, и, конечно, условным стуком в стены-двери-землю -- морзянкой! %)

На клиентских машинах закрыт доступ к usb и cd, дисководы 3.5" не установлены. WiFi существует лишь у определенного круга лиц (которые меня и заставили эти самые письма перехватывать).

> А! Ещё http -- запретить, однозначно. Ну, или "много" записывать придётся... А
> уж http_s_ -- так вообще ужос-ужос-ужос...

Ну и хотелось бы ближе к теме вопроса :)

Ответить | Правка | ^ к родителю #2 | Наверх | Cообщить модератору

4. "Перехват почты."  +/
Сообщение от DeadLoco (ok) on 17-Ноя-10, 14:52 
>>Предлогаю подумать что еще делать с imap и прочими TLS/SSL портами ?
> Уже задумывался, так сказать чисто теоретически - ниче путного в голову не пришло.

Дык, батенька, они для того и придуманы, чтобы потом отдельным личностям в голову ничего не приходило...

Ответить | Правка | ^ к родителю #3 | Наверх | Cообщить модератору

8. "Перехват почты."  +/
Сообщение от sTALK_specTrum on 17-Ноя-10, 17:44 
> На клиентских машинах закрыт доступ к usb и cd, дисководы 3.5" не
> установлены. WiFi существует лишь у определенного круга лиц (которые меня и
> заставили эти самые письма перехватывать).

Намекни этому узкому кругу ограниченных лиц, что они неправильно ставят задачу и нихрена не смыслят в политиках информационной безопасности. Если обуял острый приступ паранойи, пусть хотя бы подпишут приказ, что вся почта - только через свой домен на своём сервере. Никаких маил.ру. Пользоваться служебной почтой в личных целях запрещено. И никаких "однотрахников" и "собутыльников". И так далее. Работать, негры! Солнце всегда высоко!

Ответить | Правка | ^ к родителю #3 | Наверх | Cообщить модератору

5. "Перехват почты."  +1 +/
Сообщение от анонимм on 17-Ноя-10, 15:57 
>  то в этих дампах со временем появятся
> логины/пароли от всех личных ящиков, которые используются через pop3/smtp. Но вот
> как быть с личными ящиками, использующимися через веб-почтовики вопрос остаётся.

вы чего там совсем ох..ли?
ты пытаешься защитить контору, нарушив при этом законы писаные и неписаные. если это инициатива руководства, то валить надо в другое место.

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

6. "Перехват почты."  +/
Сообщение от stakado email(ok) on 17-Ноя-10, 16:10 
> вы чего там совсем ох..ли?
> ты пытаешься защитить контору, нарушив при этом законы писаные и неписаные.

В целом конечно, как вы выразились, ох..ли, но что ж поделать. А если по делу - то личная почта используется дома, на работе нужно пользоваться рабочей почтой, ну или на крайняк личной почтой _в рабочих целях_. Личная корреспонденция пользователей никого не интересует.

Насчёт нарушения законов - видимо так оно и есть. Правда можно было бы, наверное, издать какой-нить приказ о том, что на работе используется только рабочая почта и только в рабочих целях, а так же о том, что вся корреспонденция может быть прочитана службой безопасности. В таком случае не было бы нарушения никаких законов? Сам не силён в юриспруденции.

>если это инициатива руководства, то валить надо в другое место.

Да, это инициатива руководства и я с ним в текущей ситуации вполне согласен. Есть подозрения о сливе важной коммерческой информации непосредственным конкурентам, что не есть хорошо. Моя организация платит мне бабки и не в моих интересах её упадок.

Ответить | Правка | ^ к родителю #5 | Наверх | Cообщить модератору

7. "Перехват почты."  +/
Сообщение от rr (ok) on 17-Ноя-10, 16:53 
>[оверквотинг удален]
> бы, наверное, издать какой-нить приказ о том, что на работе используется
> только рабочая почта и только в рабочих целях, а так же
> о том, что вся корреспонденция может быть прочитана службой безопасности. В
> таком случае не было бы нарушения никаких законов? Сам не силён
> в юриспруденции.
>>если это инициатива руководства, то валить надо в другое место.
> Да, это инициатива руководства и я с ним в текущей ситуации вполне
> согласен. Есть подозрения о сливе важной коммерческой информации непосредственным конкурентам,
> что не есть хорошо. Моя организация платит мне бабки и не
> в моих интересах её упадок.

всем все закрыть.
подключение к внешним ресурсам, по требованию пользователей с заверением у руководства.
при попытке обратится к внешнему ресурсу пользователь получает в браузере сообщение, доступ закрыт по политическим причинам. если доступ к ресурсу необходим по должным обязанностям обратитесь к администратору.
открываешь только после этого.

Ответить | Правка | ^ к родителю #6 | Наверх | Cообщить модератору

9. "Перехват почты."  +/
Сообщение от Хацкер on 17-Ноя-10, 18:45 
Вообще-то есть текстовый файл, aliases называется.

Ответить | Правка | ^ к родителю #7 | Наверх | Cообщить модератору

10. "Перехват почты."  +/
Сообщение от Хацкер on 17-Ноя-10, 18:49 
Ну или procmailrc.
> Вообще-то есть текстовый файл, aliases называется.
Ответить | Правка | ^ к родителю #9 | Наверх | Cообщить модератору

11. "Перехват почты."  +/
Сообщение от stakado email(ok) on 18-Ноя-10, 08:30 
> Ну или procmailrc.
>> Вообще-то есть текстовый файл, aliases называется.

Почта используется на сторонних почтовых серверах, не на личном почтовом сервере. Если я правильно Вас понял. Алиасы прописываются в случае, когда почта заведена на сервере, который управляется мной. Или не верно понял?

Ответить | Правка | ^ к родителю #10 | Наверх | Cообщить модератору

12. "Перехват почты."  +/
Сообщение от Прочитал тут on 18-Ноя-10, 11:23 
Почитайте о системах DLP. А перенаправление всех (!) писем на почтовый ящик админа - это круто! Вы прикидывали, сколько у Вас будет уходить времени на перлюстрацию? Как вариант - поставьте свой почтовый сервер, запретите вложения, настройте список блокировки по ключевым словам. Как-то так.
Но начинать-то надо не с технических мер. Утвердиь концепцию безопасности, разработать и утвердить политику безопасности, сздать список объектов защиты с моделями угроз и матрицами доступа и т.д.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

13. "Перехват почты."  +/
Сообщение от CIA on 18-Ноя-10, 15:08 
> Почитайте о системах DLP. А перенаправление всех (!) писем на почтовый ящик
> админа - это круто! Вы прикидывали, сколько у Вас будет уходить
> времени на перлюстрацию? Как вариант - поставьте свой почтовый сервер, запретите
> вложения, настройте список блокировки по ключевым словам. Как-то так.
> Но начинать-то надо не с технических мер. Утвердиь концепцию безопасности, разработать
> и утвердить политику безопасности, сздать список объектов защиты с моделями угроз
> и матрицами доступа и т.д.

пипец! Тебе конкретную задачу поставили, для которой нужно конкретное решение, а не умные слова с семинаров по безопасности.

Ответить | Правка | ^ к родителю #12 | Наверх | Cообщить модератору

14. "Перехват почты."  +/
Сообщение от stakado email(ok) on 18-Ноя-10, 17:17 
> пипец! Тебе конкретную задачу поставили, для которой нужно конкретное решение, а не
> умные слова с семинаров по безопасности.

Мне, как автору темы, некрасиво было бы такое писать. А Вы за меня вот прямо вот в точку сказали, прям как мысли мои прочитали. Премного благодарен.

Но ещё больше был бы благодарен за _дельные_ ответы по теме.

Ответить | Правка | ^ к родителю #13 | Наверх | Cообщить модератору

15. "Перехват почты."  +1 +/
Сообщение от Прочитал тут on 19-Ноя-10, 00:06 
>> пипец! Тебе конкретную задачу поставили, для которой нужно конкретное решение, а не
>> умные слова с семинаров по безопасности.
> Мне, как автору темы, некрасиво было бы такое писать. А Вы за
> меня вот прямо вот в точку сказали, прям как мысли мои
> прочитали. Премного благодарен.
> Но ещё больше был бы благодарен за _дельные_ ответы по теме.

Вы, насколько я понимаю, из того "сословия" админов, которые считают себя крутыми практиками, которым нужно только сказать, какой порт закрыть, какой протокол "придушить", а все эти "умные слова с семинаров" - для тех, кто делать ничего не умеет =) С таким подходом, боюсь, у Вас мало что может получиться, особенно в области ИБ.

Ответить | Правка | ^ к родителю #14 | Наверх | Cообщить модератору

16. "Перехват почты."  –1 +/
Сообщение от stakado email(ok) on 19-Ноя-10, 11:55 
> Вы, насколько я понимаю, из того "сословия" админов, которые считают себя крутыми
> практиками, которым нужно только сказать, какой порт закрыть, какой протокол "придушить",
> а все эти "умные слова с семинаров" - для тех, кто
> делать ничего не умеет =) С таким подходом, боюсь, у Вас
> мало что может получиться, особенно в области ИБ.

Я из тех админов, которые предпочитают на форумах общаться по делу, а не разглогольствовать на различного рода оффтопики.
Про ваши разные умные буковки уже уселся читать, мож и вправду что интересное найду (полезное вот навряд ли, но хотя б интересное - для общего развития тоже надо).

Ну и по-прежнему прошу дать какие-нить дельные советы. Хотя тему уже так засрали, что вряд ли кто-нить её читать станет.

Ответить | Правка | ^ к родителю #15 | Наверх | Cообщить модератору

17. "Перехват почты."  +/
Сообщение от Прочитал тут on 21-Ноя-10, 00:36 
При повторном прочтении Вашего поста заметил несоответствие.

> Хочу обсудить вопрос перехвата почты с целью предотвращения утечки информации.

Вы неправильно формулируете цель или неправильные методы выбираете. Предотвращение утечек - это недопущение передачи конфиденциальной информации "за периметр", а выбранный Вами метод поможет только установить факт утечки (возможно с адресами отправителя и получателя), но саму утечку это не предотвратить - информация уже ушла. Поэтому я ещё раз Вам советую не пренебрегать теорией, а сделать так, как она советует: определить цели, объекты, методы и т.д.  

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема




Спонсоры:
PostgresPro
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2022 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру