пламенный почтовик

ВОЛЬФ Д. А. AKA PAYHASH

Спецвыпуск: Хакер, номер #069, стр. 069-040-1

ВОЗВОДИМ СЕКЬЮРНЫЙ ПОЧТОВЫЙ СЕРВЕР

В СОВРЕМЕННЫХ КОРПОРАТИВНЫХ ОРГАНИЗАЦИЯХ ОСНОВНЫМ СПОСОБОМ ПЕРЕДАЧИ ИНФОРМАЦИИ МЕЖДУ СОТРУДНИКАМИ ВНУТРИ ОФИСА ПО-ПРЕЖНЕМУ ОСТАЕТСЯ ОБМЕН ЭЛЕКТРОННЫМИ ПОЧТОВЫМИ СООБЩЕНИЯМИ

На сегодняшний день этот метод обмена электронными данными представляет собой наибольшую угрозу из-за возможности раскрытия информации третьим лицам и, соответственно, может сыграть необратимую роль в судьбе организации. Механизму предотвращения подобных ситуаций и посвящена эта небольшая статья.

Каждый уважающий себя администратор (естественно, в меру своих знаний) не обходит стороной такие вещи как SSL(Secure Sockets Layer), IPSec (Internet Protocol Security), etc, поскольку эти понятия являются базовыми для защиты информации. К сожалению, не все организации способны содержать в штате и администратора и специалиста по сетевой защите информации, поэтому многим админам приходится совмещать эти должности. Следовательно, на него ложится двойная ответственность. И чтобы помочь нашему читателю избежать связанного с этой ответственностью небольшого нагоняя от начальства, разберем один из методов на примере настройки корпоративного почтового сервера с поддержкой шифрования данных.

[в бой!]

Начнем мы с установки и настройки криптомеханизма OpenSSL (www.openssl.org), поскольку этот механизм свободен в использовании, не требует каких-либо дополнительных соглашений (кроме GPL) и ни в чем не уступает своим платным коллегам. Скачиваем исходные коды с последним стабильным дистрибутивом OpenSSL c ресурса www.openssl.org/source (кстати, не забудь вставить в дисковод наш диск – там присутствует весь необходимый для статьи софт). Так же можно позволить себе скачать последнюю LATEST-версию www.openssl.org/source/openssl-0.9.8b.tar.gz. Скачал? Теперь распаковывай дистрибутив в любой подходящий каталог. Например, в /tmp/sandbox:

terminal# mkdir /tmp/sandbox

terminal# cd /tmp/sandbox/

terminal# wget http://www.openssl.org/source/openssl-0.9.8b.tar.gz

Распознается www.openssl.org... 195.30.6.166

Connecting to www.openssl.org|195.30.6.166|:80... соединение установлено.

Запрос HTTP послан, ожидается ответ... 200 OK

Длина: 3,279,283 (3.1M) [application/x-tar]

Загружено... 100%

17:43:43 (33.16 KB/s) - `openssl-0.9.8b.tar.gz' saved [3279283/3279283]

terminal# tar -zxvf /tmp/sandbox/openssl-0.9.8b.tar.gz

Привычным образом конфигурируем, компилируем и устанавливаем программу:

terminal# cd /tmp/sandbox/openssl-0.9.8b

terminal# ./config

terminal# make all

terminal# make test

terminal# make install

terminal# rehash

С установкой OpenSSL разобрались, что не может не радовать. А что же все-таки такое OpenSSL? Проще говоря, это комплекс (набор программ и библиотек) по управлению механизмом криптографии. Сюда входят функции и программы, которые обеспечивают основные алгоритмы и методы для шифрования. Большинство GPL- программ, таких как MySQL, Sendmail, OpenLDAP, etc используют библиотеки, которые предоставляет пакет OpenSSL. С помощью программ, которые предоставляет комплекс OpenSSL, мы сможем управлять механизмом закрытых и открытых ключей, а также обеспечивать ЭЦП и выпускать сертификаты. Уверен, что с теорией симметричного и ассиметричного шифрования знакомы все, поэтому не будем заниматься скучными рассказами про Алису и Боба, которые пишут друг другу секретные письма эротического содержания :), а погрузимся в практику. Если мы хотим создать пару с закрытым и открытым ключом, то в OpenSSL это делается так: