SMTP (E-Mail)
Simple Mail Transfer Protocol
| im Internet Senden und Empfangen
elektronischer Post. |
| ein Store-And-Forward Dienst
| Server
nehmen Mail entgegen, |
| prüfen anhand des Headers, ob sie lokal
zustellbar ist oder |
| an einen anderen Server weitergereicht werden muss |
|
Problematisch
| Mail-Server müssen Daten von beliebigen externen Rechnern
entgegennehmen |
| häufiges Angriffsziel |
| bei
schwacher Absicherung
| externer Rechner gelangt an
Zugriffsrechte des Servers |
|
|
Delivery Agent,
| der die Mails auf die Posteingänge der Benutzer zu verteilen
hat, |
|
| User Agent Darstellung und Verwaltung von Mails,
|
Fähigkeiten zur Darstellung von Anhängen hat |
|
jedes Programm starten |
|
Angriff über Kommandokanal
| kann nur erfolgen, wenn Kommunikation mit Außenwelt erfolgt (Mail-Server) |
| Internet-Wurm von Morris
| Sendmail
über Kommando zur Fehlersuche |
| Ausführung
eines beliebigen Programms |
| nur Kommandokanäle zu besonders gesicherten Maschinen öffnen |
| neueste Patches der
kritischen Programme
| Server, |
| Delivery Agent und |
| User Agent |
|
|
Konzept für eine SMTP-fähige Firewall
|
Bastion Host übernimmt
Store-And-Forward Dienst |
|
einziger Server mitKontakt zur Außenwelt |
|
Auswahl an Servern zur Weiterleitung
ebenfalls eingeschränkt |
|
Paketfilterung (Empfänger
Port 25, Sender beliebig über 1023) sichert dies ab |
|
MailExchange Eintrag bei
|
Provider bzw. |
|
Deutschen Network Information
Center |
|
|
sendet zugestellte Mails an den Bastion Host |
|
Bastion Host hat nur das Recht (durch innerem
Paketfilter abgesichert)
|
mit internem SMTP-Server zu
kommunizieren. |
|
|
internem SMTP-Server verteilt Mails
|
Umsetzung der Mail-Aliase an innere Hosts |
|
|
Bastion Host selten an Mailkonfiguration und Aliasnamen
anzupassen |
ABBILDUNG 8. Der Weg von SMTP-Paketen durch die Firewall
| Ausgehende Mails gehen wiederum durch Bastion Host
| bereinigt Mail-Header
bzgl. der Host-Namen |
| einheitliches Absenderbild, wie worker@company.com |
| auch zum Verdecken interner Strukturen |
|
| Vorteil von Store-And-Forward Protokollen
| Server verfügen bereits
über Proxy-Fähigkeiten |
| sicheren
SMTP-Server auf dem Bastion Host installieren, |
| arbeitet nur als Proxy |
| innere
SMTP-Server verrichtet eigentliche Server-Arbeit |
|
|