Пограничный почтовый сервер как средство защиты от вирусов и нежелательной почтыИсточник: oszone Дмитрий Рудых
ВведениеСистема электронной почты - одно из самых уязвимых мест в IT-инфраструктуре предприятия. Именно через неё в локальную сеть компании могут проникать вирусы, способные нанести ущерб компьютерам пользователей и расположенной на них информации. Кроме того, неконтролируемые потоки спама могут значительно усложнить работу сотрудников, в чьи обязанности входит общение с внешними клиентами и партнерами. Для предотвращения подобных проблем можно применить комплексное решение от компании Microsoft, основанное на совместном использовании серверов Forefront Threat Management Gateway (TMG ) 2010, Exchange Edge Transport 2010 и Microsoft Forefront Protection 2010 для сервера Exchange (FPE). В статье рассматриваются ключевые возможности данной системы в целом и её отдельных составляющих. Подробно изложен процесс установки роли Exchange Edge Transport 2010 на сервер с предварительно установленным Forefront TMG 2010 и его интеграция с существующей почтовой системой на базе Exchange 2007. ОбзорВ начале рассмотрим основные компоненты системы защиты электронной почты и их место в IT-инфраструктуре предприятия. Forefront TMG 2010Forefront TMG 2010 - это новая версия корпоративного брандмауэра Microsoft Internet Security and Acceleration (ISA) Server. Его можно использовать для решения следующих задач:
Одним из ключевых преимуществ данного продукта является возможность его установки на 64-разрядную операционную систему. Например, это может быть Windows 2008 x 64 со вторым пакетом обновлений или Windows 2008 R 2. Для обеспечения более высокого уровня защиты сервер Forefront TMG 2010 может быть помещен в демилитаризованной зоне организации (DMZ). Под DMZ понимается участок, отделенный от внутренней сети предприятия. Обычно туда помещаются серверы, доступные из публичной сети Internet. Основным преимуществом демилитаризованной зоны является то, что при атаке на общедоступный сервер снижается риск компрометации внутренних серверов и рабочих станций. Exchange Edge Transport 2010Exchange Edge Transport 2010 - это роль пограничного транспортного сервера почтовой системы. Основной его задачей является фильтрация вирусов и нежелательной почты. Помимо этого, он может выполнять функции транспортировки. Фильтрация осуществляется посредством работы установленных на сервере агентов. По умолчанию фильтруется только нежелательная почта. Для организации антивирусной защиты требуется установка дополнительного программного обеспечения - Forefront Protection 2010 для сервера Exchange. Так же как и Forefront TMG, данный сервер располагается в демилитаризованной зоне организации и не входит в домен Active Directory (AD). Однако, для работы ему необходима следующая информация из AD:
Для хранения этих данных на пограничном почтовом сервере используется режим Active Directory Application Mode (ADAM). Синхронизация ADAM с AD происходит через службу EdgeSync, расположенную на внутреннем почтовом сервере с ролью транспортного сервера-концентратора. Для безопасной передачи данных при репликации соблюдаются следующие условия:
Схема системы защиты электронной почты представлена на рис. 1. Рисунок 1. Схема системы защиты электронной почты Рассмотрим процесс установки и настройки пограничного почтового сервера. УстановкаПодготовительные действияУстановка Forefront TMG 2010 детально описана в статье "Установка Forefront Threat Management Gateway (Forefront TMG) версии Beta 1". Здесь же остановимся на процессе установки роли пограничного почтового сервера. В качестве почтовой системы, используемой в организации, рассматривается Exchange 2007. Эта версия почтовой системы выбрана в связи с тем, что финальная версия Exchange 2010 вышла сравнительно недавно и еще не нашла широкого распространения в промышленной среде. Установка Exchange Server Edge Transport и Forefront Protection для сервера Exchange поверх Forefront TMG может привести к сбою службы Microsoft Forefront TMG Managed Control (более подробно это описано в статье "Understanding E-Mail Protection on Forefront TMG"). Для предотвращения такой ситуации, рекомендуется на время установки останавливать указанную службу. Сделать это можно командой: net stop isamanagedcrtl для запуска службы после установки необходимо выполнить команду: net start isamanagedctrl. Кроме того, перед процессом установки необходимо проверить, что в качестве основного ДНС-суффикса сервера Forefront TMG используется полное имя домена Active Directory. Также следует убедиться в наличии на сервере роли Active Directory Lightweight Directory Service. В случае её отсутствия процесс установки указанной роли можно запустить командой: cmd.exe /c start /w pkgmgr.exe /iu:"DirectoryServices-ADAM" После этого можно приступать к процессу установки системы защиты от вирусов и нежелательной почты. Установка Exchange 2010Рассмотрим по шагам процесс установки роли пограничного почтового сервера.
Рисунок 2. Выбор устанавливаемых ролей почтового сервера Exchange После этого можно запустить консоль управления и ввести ключ активации для сервера Exchange. При установке следует учитывать, что для использования Exchange с ролью пограничного транспортного сервера требуется наличия отдельной лицензии. Установка ForefrontОтдельно следует установить антивирусное программное обеспечение. В нашем случае будет использоваться Microsoft Forefront Protection 2010 для Exchange Server. Процесс его установки рекомендуется выполнять с настройками, предлагаемыми по умолчанию. В случае возникновения проблем можно воспользоваться инструкцией: "Установка Forefront Security". После завершения установки следует перезапустить службу Exchange Transport Service и дождаться обновления антивирусных баз. Так же как и в случае с Exchange, данный программный продукт необходимо активировать. Приглашение на ввод ключа активации появляется сразу же после первого запуска консоли управления "Microsoft Forefront Protection for Exchange Server Administrator". После ввода ключа нужно указать номер лицензионного соглашения и дату его окончания. Forefront Security для Exchange Server может использоваться бесплатно в течении 120 дней в ознакомительных целях. По истечении этого срока ознакомительная версия системы продолжит работу, но без функции очистки и удаления "подозрительных" файлов. Также не будет производиться обновление антивирусных баз. НастройкаПроцесс настройки системы защиты электронной почты от вирусов и вредоносных сообщений можно условно разбить на три основных этапа:
Рассмотрим их более подробно. Настройка Forefront TMGДля настройки политики фильтрации почты на Forefront TMG необходимо выполнить следующие действия.
Рисунок 3. Запуск мастера настройки Forefront TMG для защиты системы электронной почты Рисунок 4. Выбор внутреннего почтового сервера Рисунок 5. Выбор внутренних сетевых интерфейсов Рисунок 6. Выбор внешних сетевых интерфейсов Рисунок 7. Выбор параметров фильтрации Рисунок 8. Применение настроенных параметров После выполнения указанных действий можно приступать к настройке репликации ADAM с AD. Настройка репликации с ADДля репликации данных из Active Directory на погранично почтовом сервере необходимо выполнить следующие действия.
Рисунок 9. Разрешение синхронизации с AD Рисунок 10. Создание файла подписки Рисунок 11. Импорт файла подписки Здесь следует указать сайт Active Directory, в котором находится почтовый транспортный сервер-концентратор, предназначенный для синхронизации. Start-EdgeSynchronization В результате должно возникнуть два соединителя отправки. Проверить их появление можно с помощью команды: Get-SendConnector запускаемой там же. Приблизительный вывод этой команды представлен на рис. 12. Рисунок 12. Соединители отправки Один из соединителей отключен. Это связано с тем, что по умолчанию после создания подписки отправка всей почты будет осуществляться через пограничный почтовый сервер. Если данная функциональность не требуется, коннектор, название которого заканчивается словами "to internet", можно отключить. В этом случае, почта будет отправляться так же, как и до установки пограничного почтового сервера. Настройка параметров фильтрацииДля настройки параметров фильтрации можно воспользоваться консолью управления Forefront TMG на пограничном почтовом сервере. Для этого нужно перейти на закладку Virus and Content Filtering. В частности, здесь можно выбрать набор используемых фильтров (рис. 13). Рисунок 13. Выбор антивирусных фильтров или включить фильтрацию нежелательных типов файлов во вложении (рис. 14). Рисунок 14. Создание фильтра вложений В разделе Update Center можно посмотреть состояние обновлений системы защиты (рис. 15). Рисунок 15. Состояние системы обновлений Статистику работы системы защиты можно посмотреть в консоли "Microsoft Forefront Protection 2010 for Exchange Server Administrator" в разделе "Filtering Details" (рис. 16). Рисунок 16. Статистика фильтрации Например, для данного случая из трех сообщений отфильтровано два. Одно по фильтру на вложения, второе - по фильтру ключевых слов в теле письма. Отфильтрованные сообщения можно найти в разделе Quarantine (рис. 17). Рисунок 17. Сообщения, попавшие в карантин Здесь показано:
При необходимости системный администратор может из этой же консоли выполнить с отфильтрованным сообщением следующие действия:
Со стороны конечного получателя ситуация выглядит следующим образом. Письмо, отфильтрованное из-за наличия в нем ключевых слов, не было доставлено. Письмо с отфильтрованным вложением поступило, но вместо "подозрительного" qqq.exe там находился файл qqq.txt со следующим содержанием: FILE QUARANTINED Microsoft Forefront Protection for Exchange Server removed a file since it was found to match a filter. File name: "qqq.exe" Filter name: "FILE FILTER= exe filtering: *.exe" Более подробную информацию о настройке системы защиты электронной почты можно найти на сайте Microsoft Technet в разделе "Microsoft Forefront Protection 2010 for Exchange Server". ЗаключениеВ статье описан процесс установки и настройки корпоративной системы защиты электронной почты от вирусов и нежелательных сообщений. В качестве компонентов данной системы рассмотрены:
Проведен обзор основных возможностей данной системы. В случае использования только одного из компонентов (например, пограничного почтового сервера), задача существенно упростится. Однако это отрицательно скажется на уровне защиты. Дополнительные ресурсы:
|