ΑΝΩΤΑΤΟ ΤΕΧΝΟΛΟΓΙΚΟ ΕΚΠΑΙΔΕΥΤΙΚΟ ΙΔΡΥΜΑ ΠΕΙΡΑΙΑ ΤΟΜΕΑΣ ΑΡΧΙΤΕΚΤΟΝΙΚΗΣ Η/Υ, ΠΛΗΡΟΦΟΡΙΚΗΣ & ΔΙΚΤΥΩΝ ΤΜΗΜΑ ΗΛΕΚΤΡΟΝΙΚΩΝ ΥΠΟΛΟΓΙΣΤΙΚΩΝ ΣΥΣΤΗΜΑΤΩΝ Εργ. Τεχνολογίας Λογισμικού & Υπηρεσιών S 2 E Lab Π Τ Υ Χ Ι Α Κ Η Ε Ρ Γ Α Σ Ι Α Αντώνης Ριζόπουλος Δημήτριος Τσιουτσιουρήγας Αιγάλεω, Οκτώβριος 2009
Αποτίμηση ασφάλειας συστήματος διακομιδής ηλεκτρονικού ταχυδρομείου Η ασφάλεια είναι επιβεβλημένη Υπηρεσίες ηλεκτρονικού ταχυδρομείου Πειραματικό τμήμα O Mail Server υλοποιήθηκε και φιλοξενείται στο εργαστήριο Τεχνολογίας Λογισμικού & Υπηρεσιών Εξυπηρετεί σκοπούς και ανάγκες του εργαστηρίου 2
Μετάδοση μηνυμάτων SMTP (Simple Mail Transfer Protocol) Επικοινωνία μεταξύ δύο εξυπηρετητών Αποστολή, παραλαβή Ανάκτηση μηνυμάτων POP3 (Post Office Protocol v.3) IMAP4rev1 (Internet Message Access Protocol) Ασφάλεια κατά την επικοινωνία TLS (Transport Layer Security) SSL (Secure Sockets Layer) DNS teipir.gr IN MX 10 anubis.teipir.gr [ Domain Name ] [ Priority ] [ Mail Server ] 3
Open source λογισμικά Κόστος ( ) Εμπορικά λογισμικά Linux Gentoo Minimal 2008 0 999,00 Microsoft Windows Server 2003 Std. Edition Postfix 0 619,00 Microsoft Exchange 2003 Std. Edition ClamAV 0 39,00 Kaspersky Antivirus (άδεια χρήσης: 1 έτος) SpamAssassin, Amavis 0 30,00 GFI MailEssentials (άδεια χρήσης: 1 έτος) ΣΥΝΟΛΟ: 0 1.687,00 Συμπέρασμα: Κόστος άδειας χρήσης << Κόστος συντήρησης και διαχείρισης Μελέτη: Osterman Research, Inc (2008). The Total Cost of Ownership For Mail Server Security 4
Γενικά Σε συστήματα διακομιδής ηλεκτρονικού ταχυδρομείου: Ανεπιθύμητη ή αυτόκλητη αλληλογραφία (λ.χ. spamming & phising) Αδυναμίες SMTP πρωτοκόλλου Κακόβουλα λογισμικά (ιοί) που μεταδίδονται μέσω των e- mails 5
Επιπτώσεις του spam Στα συστήματα μεταφοράς των μηνυμάτων: Κατανάλωση πόρων των Η/Υ και δικτύων Κόστος της συναλλαγής Βλάβη του Υλικού (Hardware) Στους αποδέκτες των μηνυμάτων: Χρόνο για τον έλεγχο και τη διαγραφή Παραπλάνηση του αποδέκτη 6
Αριθμός εργαζομένων που διαθέτουν e-mail λογαριασμό 680 Εργάσιμες ημέρες ανά έτος ανά εργαζόμενο 230 Μέσος όρος ωριαίων απολαβών ανά εργαζόμενο σε ευρώ ( ) 15,00 Μέσος όρος spam μηνυμάτων ανά ημέρα ανά εργαζόμενο 25 Χρόνος που δαπανάται ανά εργαζόμενο για τον έλεγχο των spam μηνυμάτων σε δευτερόλεπτα 3 Συνολικό κόστος Οργανισμού Συνολικό κόστος ανά εργαζόμενο Απώλεια μισθού (σε ευρώ) Απώλεια παραγωγικότητας (σε ημέρες) Ετησίως: 48.875,00 71,88 Ημερησίως: 212,50 0,31 Ετησίως: 215,45 7,6 7
Αδυναμίες πρωτοκόλλου: Δεν απαιτείται η ταυτοποίηση του αποστολέα Open Relay Ευάλωτο σε e-mail spoofing «επιθέσεις» Απαραίτητα στοιχεία: Δύο ενεργές e-mail διευθύνσεις χρηστών Domain Name του Mail Server που εξυπηρετεί τον Οργανισμό στον οποίο ανήκουν οι χρήστες Κάθε τμήμα πληροφορίας μπορεί να παραποιηθεί 8
Παραπλάνηση του αποδέκτη Αιτία: Αποστολέας είναι αναγνωρίσιμος άρα είναι έμπιστος οπότε περιεχόμενο αξιόπιστο Αποτέλεσμα: Πιθανό πραγματικό σενάριο: Έστω ότι ο Προϊστάμενος του Τμήματος συγκαλεί συμβούλιο στο οποίο πρέπει να παρευρίσκονται όλοι οι καθηγητές. Το μήνυμα αυτό αποστέλλεται στις e-mail διευθύνσεις όλων των καθηγητών. Όλοι οι καθηγητές καταφθάνουν στον τόπο συνάντησης αλλά παραδόξως απουσιάζει ο Προϊστάμενος του Τμήματος. 9
Mail Servers ΤΕΙ Πειραιά Δοκιμές σε Ακαδημαϊκά Ιδρύματα aetos.teipir.gr Εξυπηρετεί εκπαιδευτικό και διοικητικό προσωπικό του ΤΕΙ ΠΕΙΡΑΙΑ ecs.teipir.gr Εξυπηρετεί σπουδαστές του Τμήματος Ηλεκτρονικών Υπολογιστικών Συστημάτων Ίδρυμα (Mail Sever) Οικονομικό Πανεπιστήμιο Αθηνών, Τμήμα Διοικητικής Επιστήμης & Τεχνολογίας (mail.dmst.aueb.gr) Εθνικό Μετσόβιο Πoλυτεχνείο, Κέντρο Δικτύων (ulysses.noc.ntua.gr) Αριστοτέλειο Πανεπιστήμιο Θεσσαλονίκης (mail.auth.gr) ΤΕΙ Αθήνας, Τμήμα Ηλεκτρονικής (mail.ee.teiath.gr) Ευάλωτο ΝΑΙ (διορθώθηκε μετά τις δοκιμές μας) ΝΑΙ (διορθώθηκε μετά τις δοκιμές μας) ΝΑΙ ΝΑΙ (διορθώθηκε μετά τις δοκιμές μας) 10
Αρχικές ρυθμίσεις Μ.Τ.Α. εφαρμογής Τελικές ρυθμίσεις Μ.Τ.Α. εφαρμογής restrictions restrictions restrictions restrictions restrictions 11
M.T.A., Postfix SMTP, SMTPS M.D.A., Courier-IMAP POP3, POP3S, IMAP, IMAPS Cyrus-SASL (Simple Authentication Security Layer) Amavis Επεξεργασία αρχείων καταγραφής Στατιστικά κίνησης Webmail: Horde Roundcube SpamAssassin ClamAV 12
Διαδικασία αποστολής μηνύματος με χρήση M.U.A. εφαρμογής Διαδικασία ανάκτησης μηνύματος με χρήση M.U.A. εφαρμογής 13
Διαδικασία αποστολής/ανάκτησης μηνύματος χρησιμοποιώντας webmail εφαρμογή 1: Σελίδα εισόδου webmail εφαρμογής 2: IMAP αίτημα για ταυτοποίηση χρήστη 3: Ταυτοποίηση χρήστη στον MySQL Server 4: Παρουσίαση mailbox χρήστη 5: Αποστολή e-mail 14
Εφαρμογές παραγωγής στατιστικών αναφορών: Pflogsumm, prepflogsumm AWStats Κοινοποίηση στατιστικών στο διαδίκτυο NFS Client/Server 15
16
17
nut: Λογισμικό διαχείρισης της μονάδας αδιάλειπτης παροχής τροφοδοσίας (UPS) Αποστολή email, sms Εκκίνηση με την επαναφορά τάσης τροφοδοσίας dar: Δημιουργία αντιγράφων ασφάλειας συστήματος Καθολικό (full) Διαφορικό (differential) 18
Horde Groupware Webmail Edition Open source, PHP, επεκτάσιμο Περιβάλλον διαχείρισης (admin): Χρήστες Εφαρμογές Ολοκληρωμένη webmail σουίτα εφαρμογών RoundCube Mail Open source, PHP, επεκτάσιμο Εφαρμογή με σύγχρονο, απλό, ευέλικτο και δυναμικό περιβάλλον χρήσης (τεχνολογία AJAX) Δεν υποστηρίζει τις λειτουργίες της εφαρμογής Horde Ενσωμάτωση λειτουργιών: Αλλαγή κωδικού πρόσβασης Ενσωμάτωση λειτουργιών: Ανάκτηση κωδικού πρόσβασης χρήστη (Reset password) Αλλαγή κωδικού πρόσβασης χρήστη Αυτοματοποιημένο μήνυμα (Vacation message) 19
Σας ευχαριστούμε για το χρόνο σας Αντώνης Ριζόπουλος Δημήτριος Τσιουτσιουρήγας 20