![]() Specializovaný týdeník o výpočetní technice |
||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
![]() |
Seriál o bezpečnosti a informačním soukromí |
|||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
Část 43 - CW 9/98
Bezpečnost pošty X.400Jaroslav Dočkal
Monstrózní, neefektivní, komplikovaná, tak se hodnotí pošta X.400. A přesto je stále používaná, především v rámci státních institucí. Jedním z důvodů jsou propracované bezpečnostní služby. Problematika elektronické pošty má obecně svou uživatelskou a komunikační stránku. Uživatelskou stránku u X.400 zajišťují programové moduly UA (User Agent) a volitelné MS (Message Store), komunikační stránku zajišťují programové moduly MTA (Message Transfer Agent). Vzájemně propojené moduly MTA vytvářejí tzv. MTS (Message Transfer System). U pošty X.400 navržené v roce 1984 definuje komunikaci mezi moduly MTA protokol označovaný jako P1, komunikaci mezi uživateli MTS (UA a MS) a vlastním MTS definuje protokol P3 a případnou komunikaci mezi UA a MS protokol P7. Základní moduly a protokoly pošty X.400 vidíte na obr. 1.
Hrozby a protiopatření U elektronické pošty existuje 6 typů hrozeb -- modifikace, prozrazení, odepření služby, předstírání, zpřeházení, popírání. Modifikace spočívá ve změně obsahu zprávy během jejího přenosu, v jejím zrušení, případně ve změně adresy. Citlivým místem jsou paměti počítačů odesílatele a příjemce zprávy, ale i počítačů na trase jejího přenosu. Ochranou pro poštu X.400 může být použití mechanismů DAC (Discretionary Access Control), resp. MAC (Mandatory Access Control) -- viz díl 25 seriálu. Prozrazení může spočívat v neoprávněném přečtení zprávy nebo jejího záhlaví, případně analýze intenzity provozu. Nebezpečím jsou zde překlepy v adresách, chyby v konfiguraci směrovací tabulky atd. Pro usnadnění práce se používají např. seznamy příjemců zavedené protokolem X.500, nazvané distribuční seznamy. Ty mohou být značně dlouhé, případně může být seznam částí seznamu. Při častých změnách se může přehlédnout, že se do nějakého seznamu doplnil někdo nežádoucí. Při práci s citlivými daty je někdy lepší jejich použití zakázat. Odepření služby může být například realizováno zneužitím prioritního systému. Stačí generovat dostatečné množství urgentních zpráv a tím zcela zablokovat přenos zpráv normální priority. Zabránit tomu lze dvojím způsobem a to buď přidělením práva nastavovat priority pouze administrátorovi pošty, nebo nastavením na MTA maximální hodnoty intenzity urgentních zpráv, při překročení je priorita zpráv snížena z urgentní na normální. Předstírání může být různého typu: uživatele vůči MTA, MTA vůči uživateli či jinému MTA, MS vůči UA i UA vůči MS. Například u pošty X.400 mohou být součástí adresy adresáře, pak lze klamat volbou názvu adresáře shodného s něčím jménem, např. Kabrle. Je třeba dávat pozor na to, co vlastně adresa znamená. Zpřeházení zpráv lze uplatnit tehdy, pokud záleží na jejich pořadí nebo načasování příjmu. Standardně nic nebrání si vzájemně rušit načasování zpráv. Je proto třeba nastavit právo časovat správy pouze pro jejich odesilatele. Popírání hrozí u odesílatele (popírání odeslání), MTA (popírání předání) i příjemce (popírání převzetí). Například se pracovníkovi podaří si z nedostatečně chráněné dočasné paměti na disku počítače přečíst zprávu, která mu ukládá provést něco, do čeho se mu nechce. Pak si zprávu nevyzvedne standardním způsobem a bude tvrdit, že ji prostě nečetl. Řešením může být zmíněné použití mechanismů MAC nebo DAC.
Bezpečnostní služby Ochrana proti bezpečnostním hrozbám je založena na dozoru administrátora sítě. U rozsáhlých sítí může snadno ztrácet přehled a pak by jeho obavy mohly vést ke přehnanému omezování uživatelů a případně i paranoidnímu chování. Větším nebezpečím ale může být, pokud nebude schopen síť uchránit proti útokům nebo nežádoucím únikům informací. Proto poslední verze pošty X.400 z roku 1988 zahrnuje ucelenou a propracovanou sadu bezpečnostních služeb, čímž se výrazně liší od internetové pošty, která byla původně zcela otevřená a veškeré bezpečnostní služby jsou do ní doplňovány postupně. Pošta X.400 nyní definuje 19 služeb, které dělí do 5 skupin:
Koncové služby (end-to-end):
Bezpečnostní služby versus hrozby Které z hrozeb bezpečnostní služby pošty X.400 odstraňují a které ne? Proti modifikaci zprávy slouží služba integrity obsahu, rušení zpráv zabraňuje služba kontroly pořadí zprávy. Záměně směrovací informace a dalším útokům proti síťovému managementu zabraňuje autentizace původu zprávy v rámci MTS. Proti prozrazení zprávy je zde dostatek opatření: služba důvěryhodnosti obsahu, použití návěští i všechny služby bezpečnostního managementu. Chybí však ochrana proti analýze toku zpráv. Analýzou toku dat lze zjistit řadu zajímavých údajů: kde je centrální server, jaké jsou možnosti ucpat síť, jak síť reaguje na útok atd. Proti odepření služby zde žádné zvláštní nástroje nejsou, je na administrátorovi pošty, aby této problematice věnoval speciální pozornost. Proti předstírání je zde naopak k dispozici dostatek potřebných služeb: ať již jde o nástroje autentizace, služby zamezující popírání či služby bezpečnostního managementu. Např. zneužití MTA zabraňují služby autentizace původu zprávy a registrace UA u MTA. Proti zpřeházení zpráv slouží služba kontroly pořadí zprávy; ochrana však není zajištěna proti umělému zpožďování zpráv. Proti popírání je zde určena samostatná skupina tří služeb. Celkově jsou bezpečnostní služby pošty X.400 mohutným nástrojem a jsou tak obsáhlé, že největším problémem je jejich plná realizace. Pokud jsou bezpečnostní služby kombinovány, jsou použity v pořadí integrita, autentizace, věrohodnost.
Profily bezpečnostních tříd Vzhledem k tomu, že realizovat všechny požadované bezpečnostní funkce nemusí být vždy potřebné, případně může být i nad síly výrobce, bylo definováno 6 profilů bezpečnostních tříd:
Z bezpečnostního hlediska jsou zvláště významné třídy počínajíc úrovní S1, protože podporují návěští a bezpečnostní management. Pošty třídy S0 s těmito poštami proto nelze přímo propojit. Výhodou pošty S0 je pouze to, že je realizačně méně náročná (zajišťuje pouze koncové služby, které se netýkají MTA, do něhož jsou zásahy složitější a nákladnější). Naopak pošty třídy S2 již vyžadují podpis privátním klíčem a to činí jejich provoz značně složitým. Jako příklad pošty, vhodné z bezpečnostního hlediska pro státní instituce, lze uvést produkt X.400-MIL firmy Siemens Nixdorf. Tato pošta je třídy S1A a má také vojenské dodatky, definované pomocí STANAG (Standard Agreement of NATO) 4406 verze 2 z roku 1995. Pošta X.400 byla od samého počátku koncipována se zřetelem na bezpečnost. Jde o řešení obsáhlé a komplexní. Při všech výhradách k poště X.400 je třeba uznat, že pro organizace, kde je bezpečnost primárním požadavkem, ekvivalentní alternativa zatím není.
| COMPUTERWORLD - seriál o bezpečnosti | COMPUTERWORLD | IDG CZ homepage | |