34. Протоколы ppp, smtp, ftp и методы создания защищенного обмена
PPP (Point-to-Point Protocol) - это стандарт по передаче IP-пакетов по последовательным линиям.
Аутентификация на основе протокола PPP - это популярное средство инкапсуляции (упаковки), которое часто используется в глобальных сетях. В его состав входят три основных компонента:
метод инкапсуляции дейтаграмм в последовательных каналах;
протокол Link Control Protocol (LCP), который используется для установления, конфигурирования и тестирования связи;
семейство протоколов Network Control Protocols (NCP) для установки и конфигурирования различных протоколов сетевого уровня.
Чтобы установить прямую связь между двумя точками по каналу PPP, каждая из этих точек должна сначала отправить пакеты LCP для конфигурирования связи на этапе ее установления. После установления связи, прежде чем перейти к этапу работы на протоколах сетевого уровня, протокол PPP дает (при необходимости) возможность провести аутентификацию.
По умолчанию аутентификация является необязательным этапом. В случае если аутентификация требуется, в момент установления связи система указывает дополнительную конфигурацию протоколов аутентификации. Эти протоколы используются в основном центральными компьютерами и маршрутизаторами, которые связаны с сервером PPP через коммутируемые каналы или линии телефонной связи, а возможно, и через выделенные каналы. Во время согласования на сетевом уровне сервер может выбрать опцию аутентификации центрального компьютера или маршрутизатора.
Протоколы EAP и CHAP представляют собой два метода аутентификации протокола PPP. EAP - это общий протокол аутентификации PPP, который поддерживает множество идентификационных механизмов. Этот протокол находится в процессе доработки, и в будущем он сможет поддерживать более современные механизмы в рамках аутентификации PPP. Аутентификация происходит после согласования LCP и до согласования IP Control Protocol (IPCP), в ходе которого происходит обмен адресами IP. Этот процесс аутентификации проходит в автоматическом режиме и не требует от пользователей ввода в компьютер каких-либо данных при подключении PPP. Часто аутентификация РАР или CHAP занимает место переговорного сценария, который отвечает на запросы о вводе сетевого имени пользователя (login) и пароля. CHAP поддерживает более высокий уровень безопасности, поскольку не передает реальный пароль по каналу PPP. Однако РАР используется чаще.
SMTP (англ. Simple Mail Transfer Protocol — простой протокол передачи почты) — это сетевой протокол, предназначенный для передачи электронной почты в сетях TCP/IP.
ESMTP (англ. Extended SMTP) — масштабируемое расширение протокола SMTP. В настоящее время под «протоколом SMTP», как правило, подразумевают ESMTP и его расширения.
Изначально SMTP не поддерживал единой схемы авторизации. В результате этого спам стал практически неразрешимой проблемой, так как было невозможно определить, кто на самом деле является отправителем сообщения — фактически можно отправить письмо от имени любого человека. В настоящее время производятся попытки решить эту проблему при помощи спецификаций SPF, Sender ID, DKIM. Единой спецификации на настоящий момент не существует.
Контроль доступа
Вкладка Access (Доступ) позволяет настраивать четыре основных параметра, используемых для предотвращения несанкционированного использования SMTP-сервера и для обеспечения безопасности входящих подключений (см. рис. 10.13).
Контроль доступа.
Безопасное соединение.
Контроль подключения.
Ограничения ретрансляции.
Аутентификация.
Включите обязательную аутентификацию клиентов и серверов перед получением доступа к службам SMTP. Для настройки аутентификации входящих подключений SMTP-службы имеются три параметра: Anonymous (Анонимная), Basic (Базовая) и Windows security services (Службы безопасности Windows). Параметром по умолчанию является Anonymous Access (Анонимный доступ), используемый клиентами интернета и не требующий ввода имени пользователя и пароля. Этот параметр необходим для реализации интернет-сервера, выполняющего функции главного почтового сервера. Базовая аутентификация требует от клиента отправки корректных имени пользователя и пароля, которые проверяются в домене, указанном в поле Default Domain (Домен по умолчанию). Как и в базовой системе аутентификации в IIS, пароль передается в открытом виде, однако здесь можно применить шифрование TLS (Transport Layer Security). TLS требует наличия соответствующего сертификата сервера, так же как и SSL. Параметр Windows Security Package (Пакет безопасности Windows) не требует непосредственной отправки паролей, так как он использует интерфейс Windows 2000 Security Support Provider Interface (SSPI) для выполнения Win2K-аутентификации переданных имен пользователей и паролей (Kerberos или NTLM). Почтовые клиенты типа Microsoft Outlook Express не требуют поддержки данного метода аутентификации.
Безопасное соединение.
Можно обеспечить шифрование входящих данных посредством включения обязательного использования TLS при обмене между серверами. Компьютеры клиентов будут использовать TLS для отправки зашифрованных сообщений, которые дешифровываются службой SMTP. Можно повысить надежность соединений посредством использования 128-битного шифрования (по умолчанию используется 40-битное), если серверы, требующие подключения к серверу, также используют 128-битное шифрование.
Контроль подключения.
Можно ограничить доступ к SMTP-серверу, указав IP-адрес удаленного компьютера или доменное имя DNS. Данные параметры следует настроить так же, как и службу FTP. Обратитесь к нижеприведенной "Проблеме", чтобы узнать, как с помощью контроля подключения защитить сервер Microsoft Exchange.
Ограничения ретрансляции.
Если служба SMTP принимает сообщение для удаленного домена, то она перенаправляет его на указанный конечный домен. SMTP-серверы, принимающие и перенаправляющие сообщения на непроверенные почтовые домены, называются открытыми ретрансляторами почты. Спаммеры (пользователи, занимающиеся нелегальной массовой рассылкой) используют открытые ретрансляторы для отправки тысяч нелегальных сообщений, вызывая перегрузку сервера и получение нежелательной почты. Открытый ретранслятор используется хакерами для реализации атаки на другой сайт через отправку большого количества электронных сообщений. В этом случае все выглядит так, словно нелегальная почта отправлена с сервера с открытой ретрансляцией, поэтому компании, обеспечивающей работу этого сервера, могут быть предъявлены обвинения в рассылке спама или в выполнении атак на отказ в обслуживании. Это приводит к потере репутации и другим нежелательным последствиям, так как многие организации блокируют серверы, от которых исходят нелегальные массовые рассылки. Необходимо настроить SMTP-сервер на контроль и блокировку сторонних почтовых ретрансляторов; в противном случае любой пользователь сможет отправлять сообщения на сервер, который, в свою очередь, осуществит их обработку и доставку. По умолчанию служба SMTP настроена на прием только тех входящих сообщений, которые направлены на локальные домены, расположенные на самом сервере.
Если возникнет необходимость в перенаправлении сообщений, вызванная особенностями вашего бизнеса, можно указать исключения двумя способами. Первый способ – указание исключений при помощи IP-адресов или доменных имен DNS компьютеров, которым перенаправляются сообщения. Второй способ – указание удаленных доменов, на которые перенаправляется поступающая почта, если соответствующий домен является пунктом назначения того или иного сообщения независимо от исходного IP-адреса или имени домена DNS.