Bezpečnost pošty X.400

Monstrózní, neefektivní, komplikovaná, tak se hodnotí pošta X.400. A přesto je stále používaná, především v rám...


Monstrózní, neefektivní, komplikovaná, tak se hodnotí pošta X.400. A přesto je
stále používaná, především v rámci státních institucí. Jedním z důvodů jsou
propracované bezpečnostní služby.
Problematika elektronické pošty má obecně svou uživatelskou a komunikační
stránku. Uživatelskou stránku u X.400 zajišťují programové moduly UA (User
Agent) a volitelné MS (Message Store), komunikační stránku zajišťují programové
moduly MTA (Message Transfer Agent). Vzájemně propojené moduly MTA vytvářejí
tzv. MTS (Message Transfer System). U pošty X.400 navržené v roce 1984 definuje
komunikaci mezi moduly MTA protokol označovaný jako P1, komunikaci mezi
uživateli MTS (UA a MS) a vlastním MTS definuje protokol P3 a případnou
komunikaci mezi UA a MS protokol P7. Základní moduly a protokoly pošty X.400
vidíte na obr. 1.
Hrozby a protiopatření
U elektronické pošty existuje 6 typů hrozeb modifikace, prozrazení, odepření
služby, předstírání, zpřeházení, popírání.
Modifikace spočívá ve změně obsahu zprávy během jejího přenosu, v jejím
zrušení, případně ve změně adresy. Citlivým místem jsou paměti počítačů
odesílatele a příjemce zprávy, ale i počítačů na trase jejího přenosu. Ochranou
pro poštu X.400 může být použití mechanismů DAC (Discretionary Access Control),
resp. MAC (Mandatory Access Control) viz 25. díl seriálu.
Prozrazení může spočívat v neoprávněném přečtení zprávy nebo jejího záhlaví,
případně analýze intenzity provozu. Nebezpečím jsou zde překlepy v adresách,
chyby v konfiguraci směrovací tabulky atd. Pro usnadnění práce se používají
např. seznamy příjemců zavedené protokolem X.500, nazvané distribuční seznamy.
Ty mohou být značně dlouhé, případně může být seznam částí seznamu. Při častých
změnách se může přehlédnout, že se do nějakého seznamu doplnil někdo nežádoucí.
Při práci s citlivými daty je někdy lepší jejich použití zakázat.
Odepření služby může být například realizováno zneužitím prioritního systému.
Stačí generovat dostatečné množství urgentních zpráv a tím zcela zablokovat
přenos zpráv normální priority. Zabránit tomu lze dvojím způsobem a to buď
přidělením práva nastavovat priority pouze administrátorovi pošty, nebo
nastavením na MTA maximální hodnoty intenzity urgentních zpráv, při překročení
je priorita zpráv snížena z urgentní na normální.
Předstírání může být různého typu: uživatele vůči MTA, MTA vůči uživateli či
jinému MTA, MS vůči UA i UA vůči MS. Například u pošty X.400 mohou být součástí
adresy adresáře, pak lze klamat volbou názvu adresáře shodného s něčím jménem,
např. Kabrle. Je třeba dávat pozor na to, co vlastně adresa znamená.
Zpřeházení zpráv lze uplatnit tehdy, pokud záleží na jejich pořadí nebo
načasování příjmu. Standardně nic nebrání si vzájemně rušit načasování zpráv.
Je proto třeba nastavit právo časovat správy pouze pro jejich odesilatele.
Popírání hrozí u odesílatele (popírání odeslání), MTA (popírání předání) i
příjemce (popírání převzetí). Například se pracovníkovi podaří si z
nedostatečně chráněné dočasné paměti na disku počítače přečíst zprávu, která mu
ukládá provést něco, do čeho se mu nechce. Pak si zprávu nevyzvedne standardním
způsobem a bude tvrdit, že ji prostě nečetl. Řešením může být zmíněné použití
mechanismů MAC nebo DAC.
Bezpečnostní služby
Ochrana proti bezpečnostním hrozbám je založena na dozoru administrátora sítě.
U rozsáhlých sítí může snadno ztrácet přehled a pak by jeho obavy mohly vést ke
přehnanému omezování uživatelů a případně i paranoidnímu chování. Větším
nebezpečím ale může být, pokud nebude schopen síť uchránit proti útokům nebo
nežádoucím únikům informací. Proto poslední verze pošty X.400 z roku 1988
zahrnuje ucelenou a propracovanou sadu bezpečnostních služeb, čímž se výrazně
liší od internetové pošty, která byla původně zcela otevřená a veškeré
bezpečnostní služby jsou do ní doplňovány postupně.
Pošta X.400 nyní definuje 19 služeb, které dělí do 5 skupin:
Koncové služby (end-to-end):
autentizace původu zprávy z hlediska odesilatele,
důkaz doručení,
důvěryhodnost obsahu,
integrita obsahu,
kontrola pořadí zprávy.
Služby cesty zprávy (hop-by-hop):
autentizace dvojice entit na trase zprávy (zabraňuje před-stírání),
bezpečnostní návěští zpráv (slouží pro podporu mechanismů DAC a MAC).
Potvrzovací služby MTS:
autentizace původu zprávy v rámci MTS (prověření návěští pro potřebu směrování
a doručení),
autentizace původu testu,
autentizace původu hlášení, (zpráva o doručení či nedoručení zprávy),
důkaz převzetí.
Služby zamezující popírání:
zamezení popření odeslání,
zamezení popření příjmu,
zamezení popření převzetí.
Služby bezpečnostního managementu:
výměna kreditů,
registrace UA u MTA,
registrace UA u MS.
Pro zajištění bezpečnostních služeb pošty X.400 se používají standardní
techniky, jako je šifrování (obsahu zprávy, datového pole tokenu atd.), pečetě
a digitální podpisy. Služby pošty X.400 zde tvoří pouhý rámec pro realizaci a
volba konkrétních algoritmů, délek klíčů, klíčového managementu atd. je věcí
implementace daným výrobcem.
Bezpečnostní služby versus hrozby
Které z hrozeb bezpečnostní služby pošty X.400 odstraňují a které ne?
Proti modifikaci zprávy slouží služba integrity obsahu, rušení zpráv zabraňuje
služba kontroly pořadí zprávy. Záměně směrovací informace a dalším útokům proti
síťovému managementu zabraňuje autentizace původu zprávy v rámci MTS.
Proti prozrazení zprávy je zde dostatek opatření: služba důvěryhodnosti obsahu,
použití návěští i všechny služby bezpečnostního managementu. Chybí však ochrana
proti analýze toku zpráv. Analýzou toku dat lze zjistit řadu zajímavých údajů:
kde je centrální server, jaké jsou možnosti ucpat síť, jak síť reaguje na útok
atd.
Proti odepření služby zde žádné zvláštní nástroje nejsou, je na
administrátorovi pošty, aby této problematice věnoval speciální pozornost.
Proti předstírání je zde naopak k dispozici dostatek potřebných služeb: ať již
jde o nástroje autentizace, služby zamezující popírání či služby bezpečnostního
managementu. Např. zneužití MTA zabraňují služby autentizace původu zprávy a
registrace UA u MTA.
Proti zpřeházení zpráv slouží služba kontroly pořadí zprávy; ochrana však není
zajištěna proti umělému zpožďování zpráv.
Proti popírání je zde určena samostatná skupina tří služeb.
Celkově jsou bezpečnostní služby pošty X.400 mohutným nástrojem a jsou tak
obsáhlé, že největším problémem je jejich plná realizace. Pokud jsou
bezpečnostní služby kombinovány, jsou použity v pořadí integrita, autentizace,
věrohodnost.
Profily bezpečnostních tříd
Vzhledem k tomu, že realizovat všechny požadované bezpečnostní funkce nemusí
být vždy potřebné, případně může být i nad síly výrobce, bylo definováno 6
profilů bezpečnostních tříd:
Třída S0: Koncové služby s výjimkou důvěryhodnosti obsahu.
Třída S0A: Třída S0 doplněná důvěryhodností obsahu (kompletní koncové služby).
Třída S1: Služby třídy S0 doplněné službami cesty zprávy a službami
bezpečnostního managementu.
Třída S1A: Třída S1 doplněná o službu důvěryhodnosti obsahu.
Třída S2: Třída S1 doplněná potvrzovacími službami MTS a službami zamezujícími
popírání. Až od této úrovně jsou povinné podpisy privátním klíčem.
Třída S2A: Třída S2 doplněná o službu důvěryhodnosti obsahu.
Gradace je i v rámci některých služeb: např. autentizace původu zprávy může být
ve třídě S0 zajištěna kontrolou integrity jejího obsahu, ve třídě S1 už musí
být realizována alespoň jednoduchou autentizační výměnou a ve třídě S2 silnou
autentizační výměnou (na bázi kryptografického algoritmu). Podrobný popis
profilů bezpečnostních tříd včetně specifikací příslušných rozhraní obsahuje
tabulka 1.
Z bezpečnostního hlediska jsou zvláště významné třídy počínajíc úrovní S1,
protože podporují návěští a bezpečnostní management. Pošty třídy S0 s těmito
poštami proto nelze přímo propojit. Výhodou pošty S0 je pouze to, že je
realizačně méně náročná (zajišťuje pouze koncové služby, které se netýkají MTA,
do něhož jsou zásahy složitější a nákladnější). Naopak pošty třídy S2 již
vyžadují podpis privátním klíčem a to činí jejich provoz značně složitým.
Jako příklad pošty, vhodné z bezpečnostního hlediska pro státní instituce, lze
uvést produkt X.400-MIL firmy Siemens Nixdorf. Tato pošta je třídy S1A a má
také vojenské dodatky, definované pomocí STANAG (Standard Agreement of NATO)
4406 verze 2 z roku 1995.
Pošta X.400 byla od samého počátku koncipována se zřetelem na bezpečnost. Jde o
řešení obsáhlé a komplexní. Při všech výhradách k poště X.400 je třeba uznat,
že pro organizace, kde je bezpečnost primárním požadavkem, ekvivalentní
alternativa zatím není.

8 0323 / ram









Komentáře
K tomuto článku není připojena žádná diskuze, nebo byla zakázána.