email archivalas biztonsagosan

Security-all

adott egy open source email archivalo megoldas, ahova omlenek be a levelek. A feladat az, hogy valamilyen integritas ellenorzest adjunk a rendszerhez ugy, hogy meg a root user se tudja se a leveleket, se az esetleges meta- ill. audit adatokat (ezek tarolasi modjara elso korben nincs megkotes) eszrevetlenul/nyom nelkul modositani. Hogyan oldanad meg ezt a feladatot?

  • 7442 megtekintés

( log69 | 2011. 10. 01., szo – 09:18 )

find dir/to/mails -type f | xargs sha1sum > list

majd a list-et aláírod saját kulccsal?

kossz a tippet, egy apro problemat latok: nyilvan nem "en" irnam ala, hanem az archivalo program, aminek valahogy tudnia kell ehhez a passphrase-t. De ha neki megadod (pl. konfigban?), akkor azt mar root is tudja, es igy belemaszatolhat...

Ne bohockodjatok nagyapaval! Avagy az alkotmicsoda asztalara

Akkor csak az aláírást külső adathordozón tárolnám. Vagy sűrűn végezné az aláírást? Mert archívról volt szó. Tehát ha havonta vagy fél évente egyszer történik, akkor a manuális megoldás megbízható.

Ha teljesen automatikusan kell, akkor meg csak küldje el szerintem a sózott hash sum-okat mailben egy külső címre időszakonként. (Vagy a hash lista hash-ét csak, a listát meg tárolja helyileg.)

De egyébként ha a root-ot nem megbízhatónak vesszük, akkor már eleve ennél több problémát látok.

az az elkepzeles, hogy van egy dedikalt vasad, amire folyamatosan tovabbitja a mail szervered a leveket, tehat a heti/havi/... kezi alairas nem jatszik. Meg egy olyan jutott eszembe, amit a syslog-ng premium verzioja tud, hogy a logstore-ra rendszeres idonkent belyegeket lehet kerni egy kulso, megbizhatonak kinevezett 3. feltol (pl. netlock, stb).

Amugy nem feltetlen arrol van szo, hogy nem bizunk a Root Robi dolgozoban, hanem a csillio olyan szabalyozas miatt, amelyek 'tamper proof' megoldast kivannak meg.

Ne bohockodtimestamp-jatok nagyapaval! Avagy az alkotmicsoda asztalaratimestamp-

( eax | 2011. 10. 01., szo – 14:35 )

Attol fugg, ki/mi van meg a rendszerben, es bennuk mennyire bizol meg.

--
"You're NOT paranoid, we really are out to get you!"

jogos, tobbfele forgatokonyv is lehetseges. Elso korben arra gondoltam, hogy adott egy vas x cegnel, amihez az adminisztratorok root joggal is hozzafernek, es egy ilyen kornyezetbe akarsz telepiteni egy email archivalo megoldast, ami olyan modon szavatolja a levelek integritasat, amit mondjuk a PSZAF vagy egy birosag is elfogadna.

Ne bohockodjatok nagyapaval! Avagy az alkotmicsoda asztalara

Ezt mondjuk mint szolgáltatás még el is lehetne adni, de ugye bárki bármilyen levelet tud gyártani. Elvileg erre találták volna ki az X.400-at.

Ha open sourceról beszélünk, RFC 3161 time stamping authority megfelelne erre a célra, plusz aláírt logstore, hogy ne lehessen észrevétlenül levelet eltávolítani. Tárolni aztán már abban tárolod, amiben akarod.

igen, ez a cel :-) Az X.400 vonalat nem eroltetnem, mert annyira (imho) nem terjedt el, es nekem kifejezetten smtp-re kellene. En is arra jutottam fentebb, hogy ehhez a feature-hoz egy 3. felet is be kell vonni. Majd atnezem az RFC-t, kossz.

Btw. rosszul tudom azt, hogy a TSA-tol kapott valasz az egyben ala is irja a logstore-t? Mert ahhoz felhasznalja a logstore hash-et is, igy ha modositod a logstore tartalmat, akkor lebuksz a verifikacional...

Ne bohockodjatok nagyapaval! Avagy az alkotmicsoda asztalara

A TSA legjobb tudomásom szerint annyit bizonyít, hogy egy megadott dokumentum egy adott időpont előtt létezett. Semmi mást. Ergó ha kitörlöd a dokumentumot az időpecsétjével együtt, akkor nem marad nyoma. Erre be lehet vezetni különböző technikákat, pl. a szigorú sorszámozás követelményét, ez már megoldja a problémát. A Balabit-féle Syslog-NG-s logstoret nem tudom közelebbről, hogy működik.

Ami az SMTP-vel a baj, hogy hacsak nem követeled meg a digitális aláírást a feladótól, nehéz bizonyítani, hogy egy adott levelet éppen az adott személy írt-e, avagy más. Ez azzal van súlyosbítva, hogy a távoli rendszer biztonsága lehet, hogy sokkal gyengébb és bárki azon a szerveren küldhet a másik nevében mailt, vagy akár teljesen más szerverről is jöhet legális levél.

Röviden a válasz tehát a kérdésedre: hacsak a küldő félnek nincs digitális aláíró kulcsa (X.400-nál tudtommal van ilyesmi), a törvény előtt az általad elmentett e-mail akkor sem ér sokat, ha bizonyítottan létezett egy adott időpontban a levél.

ha kitörlöd a dokumentumot az időpecsétjével együtt, akkor nem marad nyoma.

OK, mostmar vagom.

Ami az SMTP-vel a baj, hogy hacsak nem követeled meg a digitális aláírást a feladótól,

vilagos, de ez imho nem az email archivalas problemakore.

Ne bohockodjatok nagyapaval! Avagy az alkotmicsoda asztalara

Ooo, igazabol olyan vegtermek a cel, ami megfelel pl. a hazai szabalyozasnak is (pl. PSZAF). Ugy ertem, ha egy vallalatnak archivalo megoldasra van szuksege, akkor ne az legyen, hogy gyakorlatilag mindent tud, de megsem kerul megfontolasra sem, mert egy lenyeges, must have feature hianyzik.

Ne bohockodjatok nagyapaval! Avagy az alkotmicsoda asztalara

Ha csak egy hitelesített dokumentum tárra vágysz, azt sokkal egyszerűbb megcsinálni. Viszont akkor hagyd ki az SMTP-t a játékból és küldd be valahogy máshogy. Szerintem egy közepes Python programozónak nagyjából 1-2 hét lenne egy működő prototípust összerakni, amely megfelel a törvényi előírásoknak.

Nem egeszen. Megneztem par megoldast, es azok legalabbis ugy mukodtek, hogy a tetszoleges mail szerver, pl. exchange, elkuldi a leveleket masolatban egy elore definialt cimre smtp-n (=ez az email journaling feature). Postfix alatt ez az always_bcc, gondolom, exim alatt is van valami hasonlo. A celgep pedig smtp-n fogadja, aztan feldolgozza. Ez rugalmasabb, mert tetszoleges mail szerverrel egyutt tud majd mukodni.

Ne bohockodjatok nagyapaval! Avagy az alkotmicsoda asztalara

( zwei | 2011. 10. 02., v – 11:23 )

Az ilyen feladatokra álltalában céleszközök vannak, pl. EMC Centera, vagy Hitachi content platform.