» Home » Konzepte » Sicherheit

Exchange und Sicherheit

Die Informationen, die sich in der Datenbank von Exchange befinden, sind durchaus auch für fremde Augen interessant. Daher ist es notwendig, ein Wort zur Sicherheit zu verlieren.

Hierzu zählen mehrere Punkte, an denen ein Angreifer Zugriff erhalten kann:

• Sicherheit des Transportwegs
  Ohne Vorkehrungen ist SMTP Klartext und kann daher mehr oder minder einfach abgehört werden. Ebenso können Absender problemlos gefälscht werden. Daher sind Verschlüsselung und Signierung wichtige Aspekte (siehe SMTP und die Sicherheit und Sichere Mails mit PGP und S/Mime). Aber Angriffe können auch den Server selbst lahm legen, überfluten oder als Relay missbrauchen. (Siehe Relay bei Internet Mail und Exchange und Firewalls).
  Zum Transportweg zählt auch die Verbindung der Exchange Server untereinander und die Kommunikation mit dem Domain Controllern und Clients. Insofern ist auch ihr gesamtes internes Netzwerk einer Prüfung und Sicherung zu unterziehen. Es muss nicht gleich IPSec sein, aber Sie sollten sich Sicherungsmechanismen und ein gesundes Management überlegen, um das Ausspionieren von Daten und Kennworten zu erschweren. Oft reicht ein einfacher Switch, um Netzwerkmonitor auszusperren.
• Sicherheit des Servers
  Ein zweiter Aspekt ist die Sicherung des Mailservers selnst. Zwar ist die Datenbank nicht einfach mit einem Texteditor zu lesen oder zu kopieren, aber es gibt Wege an die Inhalte einer Datenbank zu gelangen. Dies kann ein Band der Datensicherung sein, ein nicht ausreichend gesicherter Account des Administrators oder eines Virenscanners oder natürlich der physikalische Zugriff auf den Server. Ein Kennwort auf dem Server ist heute kein Schutz mehr, da diese problemlos mit einer Diskette zurück gesetzt werden kann bzw. über eine zweite NT-Installation, Linux von einer CD oder NTFSDOS mit Diskette ist ein Zugriff auf die Dateien des Servers möglich.
  Der Schutz des Servers beginnt an der Tür zum Rack und Rechenzentrum.
• Sicherheit des Clients
  Die Anwender lesen Mails und legen diese oft auch lokal ab.. Hierbei könnte ein Trojaner oder eine Regel dafür sorgen, dass Informationen wissentlich oder unabsichtlich das Unternehmen verlassen.

Dies sind nur drei Hauptpunkte, an denen die Sicherheit verletzt werden kann.

Mögliche Schwachstellen

Ich möchte hier nur einige Punkte aufzählen, wie eine Stelle des Gesamtsystems angegriffen werden kann, so dass entweder die Funktion gestört oder gemindert ist, falsche Daten die Anwender zu falschen Handlungen verleiten oder interne Daten in fremde Hände gelangen.

Die Punkte hier sind bewusst "ungenau" um niemand zum Angriff zu ermuntern, aber es ist sehr einfach und darf daher nicht unterschätzt werden.

• Angriffe auf den IIS
  z.B. Nimda, CodeRed um Administratorrechte zu erhalten.
• Angriffe auf das Betriebssystem
  z.B. unsichere Kennworte, Zugriff auf C$ und Registrierung
• Angriffe auf das Domain, DNS, WINS und andere Dienste
  z.B. Registrieren von WINS-Namen, fälschen von DNS-Einträgen bei unsicherer dynamischer Registrierung oder torpedieren der Kerberos, LDAP und GC-Ports
• Trojaner auf Clients und Server
  z.B. wenn der Administrator auf dem Server ein "unbekanntes" Programm startet. Auch eine unwissentlich eingebaute "Regel" um Nachrichten weiter zu leiten ist eine Gefahr.
• Exchange "stören"
  z.B.: wenn der SMTP-Dienst 20 gleichzeitige Verbindungen annimmt, dann kann ich eben diesen böswillig "blockieren". vergleichbar wenn ich Ihren Postbriefkasten zustopfe
• Zugriff auf Hardware
  Auch ein simpler Diebsstahl des Servers oder der Bänder des Backups wird genutzt, um an Daten zu kommen. Zwar ist so offensichtlich, dass die Daten "weg" sind, aber damit haben nur Sie als Eigentümer keinen Zugriff mehr darauf, aber andere interessierte Personen können die Daten auswerten. Wenn ein Service Techniker eine defekte Festplatte wechselt, dann sollte diese auch "richtig" defekt sein. Repariert werden Festplatte nicht.

Und es gibt noch viele andere Wege, Sand in das Getriebe zu streuen.

Abwehr

Um solche und andere Gefahren abzuwehren gibt es wenige Dinge, die Sie tun können und auch sollten:

• Aufbau von Know-How
  Sicherheit ist kein fester Begriff sondern ein permanentes Rudern gegen Widerstände, da Sicherheit ein zusätzlicher Aufwand ist. Aber wenn Sie nicht wissen, was Sicherheit bedeutet, dann können Sie auch nicht einschätzen, was die benötigen. Sie wissen alle, dass ihre Haustür ein Schloss als Mindestschutz braucht und dafür auch Geld ausgegeben wird. Auch ein Server ist einfach nur ein Haus
• Sicherung des Administrators
  Klar, dass der Administrator das System verwalten können muss. Aber hoffentlich sind Sie der einzige, der diesen Zugang kennt. Machen Sie sich auch hier Gedanken darüber, welche Zugänge der Administrator nutzt. Sind diese alle Sicher ?. Zudem könnten Sie den Namen "Administrator" einfach umbenennen. Es gibt sogar extra eine Gruppenrichtlinieneinstellung hierfür. Es versteht sich von selbst, dass das Kennwort lange und Komplex ist und Sie es jederzeit ändern können und regelmäßig auch ändern. Das bedeutet nämlich auch, dass kein anderer Prozess mit diesem Benutzerkonto arbeitet. Es ist übrigens gar nicht so schwer, eine Anmeldung des Administrators im Eventlog zu überwachen und zu melden.
• Beschränkungen auf notwendige Funktionen
  Wenn ihr Exchange Server nur Mails aus dem Internet annehmen und senden soll und alle Anwender intern arbeiten, dann ist es überflüssig, aus dem Internet auch POP3 oder gar RPC zu erlauben. Auch intern kann der SMTP-Server blockiert als auch POP3/IMAP4-Dienst beendet werden, wenn nur mit Outlook gearbeitet wird. SO verhindern Sie Störungen von innen.
  Das gleiche gilt für den Server selbst. Installieren und starten Sie nur die Diente und Anwendungen auf dem Server, die auch wirklich erforderlich sind

Internet Client VPN
http://www.Microsoft.com/technet/treeview/default.asp?url=/technet/security/bulletin/MS03-010.asp

MS Zitat übersetzt:
"Es ist sinnvoll, alle TCP/IP-Ports zu blocken, die nicht wirklich genutzt werden. Daher sollte bei den am Internet angeschlossenen Rechnern der Port 135 blockiert sein. RPC über TCP sollte nicht in ungesicherten Umgebungen wie dem Internet eingesetzt werden."

• Updates und Patches
  Software hat Fehler und Fehler werden erkannt und behoben. Sie müssen aber diese Patches und Updates auch installieren, damit nicht andere die nun erkannten Bugs gezielt ausnutzen.
• Verschlüsselung und Authentifizierung
  Auch VPNs oder IPSEC mit einer Autorisierung am Netzwerk vor dem eigentlichen Zugriff und die Verschlüsselung von Daten per SSL sind zwar etwas aufwändiger einzurichten aber lohnen den Aufwand.
• gesonderte Schutzmechanismen
  Portfilter und Firewalls sind wirksame Hilfsmittel um Systeme zu schützen. Überlegen Sie immer, welche Netzwerke "vertrauenswürdig" sind und welche nicht.
• Kontrolle der Schutzmaßnahmen
  Wer hindert Sie selbst einen "Postscan" aus dem Internet auf ihren Server durchzuführen oder als Test einen Virus (EICAR, siehe Virenschutz) zu senden?. Sie sollten dies sogar regelmäßig tun, um auch nach Update, Service Packs etc. die Funktion sicher zu erstellen. Sie können z.B.: auch regelmäßig eine Testmail senden und diese wieder kontrollieren oder die Webseite von OWA mit einem Sollwert vergleichen.
• Erkennung von Eindringlingen und Gegenwehr
  Es gibt keinen 100% Schutz und viele Störungen kommen von innen. Ein IDS-System und Protokolldateien helfen ihnen bei der Suche nach dem Verursacher.
  Siehe auch  Kapitel 9 – Überwachung und Erkennung von Eindringversuchen
  http://download.Microsoft.com/download/2/e/8/2e87e2e8-4a61-41df-a030-13d801865f4e/09sec-ids.doc

Dies ist nur eine kurze Information über Hilfsmittel und Wege.

Zusammenfassung

Sicherheit ist kein Status Quo, sondern ein fortwährender Prozess aus Analyse, Beobachtung, Anpassung, Sicherung und wieder von vorne. Welchen Aufwand Sie in die Sicherheit stecken ist von ihren Anforderungen und der Sensibilität der Daten. Abwägen müssen Sie.

• Kleine und mittlere Firmen werden den Schutz zuerst am Internet ansetzen, um hier sicher zu sein. Meist sind hier dann schon die Mittel erschöpft um mehr Schutz zu realisieren. Oft ist ein Router mit Portfilter und eine Virussoftware das höchste der Gefühle.
• Größere Firmen oder Firmen mit erhöhten Sicherheitsbedürfnissen werden von alleine mehr in die Sicherheit investieren und nutzen Filter und Firewalls zur Sicherung der Server gegen unerlaubte Zugriffe aus dem Internet und internen Netzwerken. Zudem werden dann auch die Systeme permanent überwacht, z.B. Eventlog, Performancecounter, Netzwerkzugriffe

Letztlich liegt es bei den Verantwortlichen Personen zu entscheiden, wie viel Mittel in die Sicherheit gesteckt werden müssen und können.

Links

• Siehe auch verwandte Links auf dieser Webseite
  MSXFAQ - Viren, Spam, Werbung und Müll
  MSXFAQ - Spam und UCE
  MSXFAQ - Exchange und Firewalls
  MSXFAQ - Relay bei Internet Mail
• Q319267 HOW TO: Secure Simple Message Transfer Protocol Client Message Delivery in Exchange 2000
• Q319273 HOW TO: Secure Post Office Protocol Client Access in Exchange 2000
• Q319278 HOW TO: Secure Internet Message Access Protocol Client Access in Exchange 2000
• Q229694 HOW TO: Install and Use the IIS Security "What If" Tool
• http://www.Microsoft.com/technet/treeview/default.asp?url=/technet/security/mail/email.asp
• http://www.Microsoft.com/technet/treeview/default.asp?url=/technet/security/prodtech/mailexch/opsguide/default.asp
• www.Microsoft.com/security
  Microsofts Zugriff auf Patches und Fixes. Hier sollten Sie sich auch in den Newsletter einschreiben, um Informationen über Updates und Fixe per Mail zu erhalten, damit sie ihre Server am Internet schnell aktualisieren können.
• Kapitel 9 – Überwachung und Erkennung von Eindringversuchen
  http://download.Microsoft.com/download/2/e/8/2e87e2e8-4a61-41df-a030-13d801865f4e/09sec-ids.doc
• 19 smarte Tipps zur Absicherung von Active Directory
  http://www.Microsoft.com/germany/technet/technetmag/issues/2006/05/smarttips.mspx

Links zu sicherheitsrelevanten Sites

Die hier veröffentlichten Links sind keine Aufforderung zum Knacken eines Servers aber sollen Aufzeigen, dass dazu nicht unbedingt Spezialwissen notwendig wäre.

• Informationen des BSI
  http://www.bsi.bund.de/gstool Grundschutz Tool Software
  http://www.bsi.bund.de/gshb/_start.htm Grundschutz Handbuch Startseite
  http://www.bsi.bund.de/produkte/cdrom/index.htm Produkte des BSI
• Informationen über Fehler und Unsicherheiten
  Common Vulnerabilities & Exposures (CVE)
  CERT advisories
  http://www.cert.dfn.de, http://www.dfn-cert.de
  http://www.cert.dfn.de/csir/first.html First Response Team
  http://www.Microsoft.com/security Microsoft Security Webseite
  http://www.securityfocus.com/cgi-bin/vulns.pl BUGTRAQ Datenbank
  Fast alle Dienste bieten auch eine Anmeldung an einer Mailingliste an, die sehr schnell über Fehler informiert. z.B. http://www.securityfocus.com/cgi-bin/subscribe.pl
• Tools um Daten über IP-Adressen zu erfahren
  http://Tools-on.net Netzwerktools NSLookup, Whois, Dig, Time, NTP alles per HTTP
  http://relays.osirusoft.com/cgi-bin/rbcheck.cgi IP Adresse in Relaydatenbank nachsehen
  http://openrbl.org/trace.php IP-Adresse verfolgen, Details über Besitzer
• Kennworte von Windows NT Zurücksetzen, NT Recovern etc
  http://home.eunet.no/~pnordahl/ntpasswd/bootdisk.html Kennwort zurücksetzen
  http://www.securiteam.com/tools/6T00D0A35S.html NT Password Recovery CD
  http://www.dmzs.com/ftproot/security/password/CreateNTRecoveryBootableCD.sh
  http://www.dmzs.com/ftproot/security/password/NTRecovery-DMZS.iso
• http://www.trusnet.com/seclinks/nt.html
• Intrusion Detection System (IDS)
  www.snort.org Freeware
  www.iss.com
  www.eeye.com
• Erkennen von Schwachstellen
  http://www.eeye.com/html/Research/Tools/codered.html CodeRed Scanner
  http://www.eeye.com/html/Research/Tools/nimda.html NIMDA-Scanner
  http:/www.eeye.com/html/Research/Tools/nmapnt.html NMAP für Windows
  http://netgroup-serv.polito.it/winpcap, http://winpcap.polito.it Pakettreiber für NMAP
  http://www.gfisoftware.com/languard/lanscan.htm GFI Network Security Scanner
  http://www.webattack.com/get/superscan.shtml SuperScan Portscanner
  http://www.nessus.org/ Nessus Security Scanner.  Weiterentwicklung von Satan
• Netsaint http://www.netsaint.org/ -> Nagios http://www.nagios.org/ Netzwerk Dienste Monitor
• So sehen Webseiten aus, die "verändert" worden.
  http://Alldas.org Inklusive NMAP Information
  www.illegalaccess.de
• Free Netzwerk Analyser WIN95/NT4/200
  http://netgroup-serv.polito.it/analyzer/
• Und viele weitere Links zum reinschnuppern
  http://www.netstumbler.com WIFI Cracktools Wireless
  http://www.ntop.org Ermitteln der Top User eines Netzwerk
  http://packetstormsecurity.nl/ http://packetstormsecurity.nl/assess.html
  http://homepage.swissonline.net/mruef/security-guide/windows-sicherheit/5-windows_nt/
  http://www.security-guide.ch/dokumente/index.html#die_sicherheit_von_windows

Keywords:

Sicherheit

Impressum und Datenschutzerklärung. Anmerkungen, Anregungen oder Fragen siehe "Kontakt". Alle Angaben ohne Gewähr! Namen und Produktbezeichnungen können Eigentum der jeweiligen Hersteller sein. (c) 2000-heute Frank Carius, Jede weitere Veröffentlichung nur mit meinem vorherigen Einverständnis.

• NOTFALL
• Grundlagen
• Konzepte
  • Reporting
  • Sizing
  • 4GB Ram
  • 2TB Disk
  • Datenbank Management
  • Backupkonzepte
  • Ende2Ende Monitoring
  • Kontakte
  • Termine
  • TerminFAQ
  • Aufgaben
  • Konferenzräume und Ressourcen
  • Raumbuchung
  • RTFMAIL und WINMAIL
  • Stellvertreter
  • Vertraulich
  • Regeln
  • Weiterleitungen
  • SMTP-Relay
  • Out of Office
  • Hosting
  • Provisioning
  • Metadirectory
  • AG-Rechte
  • Auditing
  • Öffentliche Ordner
  • Web Storage System
  • Archivieren
  • Verzeichnisabgleich
  • Interorg
  • Virenschutz
  • Exchange 5.5 Beispielkonzept
  • Sicherheit
  • Private Mails
  • DNS
  • WINS
  • SAN oder NAS
  • IDE oder SCSI
  • iSCSI
  • SNMP Basics
  • SNMP Intern
  • IPV6
  • NetWare
  • Adminkonzept
  • AdminSDHolder
  • ExAdminkonzept
  • Testfeld
  • Virtualisierung
• Signieren und Verschlüsseln
• Verfügbarkeit
• Admin und Betrieb
• Ex 2000/2003
• Ex 2007/2010
• Unified Communication
• Mobile Clients
• Clients
• Connectoren
• Internet
• Spam und UCE
• Migration/Koexistenz
• Tools
• How-To
• Programmieren
• Produkte
• Events
• Buch
• Verschiedenes
• Ideen
• Sonstiges
• Net at Work
• Newsletter
• Archiv
• English pages