ISA Server 2004’ün Exchange ile entegrasyonu exchange server ın yayınlanması, başta smtp olmak üzere pop3 protokollerinin ve owa gibi servislerin kontrol edilmesiyle sağlanır.
ISA Server 2004 smtp trafiğini güvenli hale getirmek için SMTP Message Screener ve SMTP Application filter bileşeni sayesinde SMTP yoluyla kötü niyetli kişilerden gelen spam ,uygulama gibi eklentilerden; buffer-overflow ya da smtp komut saldırılarını önleme amaçlı Exchange Server ımızı korumamıza yarar. Yani kısacası gönderilen e-posta ların Exchange Server a ulaşmadan önce ISA Server tarafından içeriğinin kontrol edilip gerekli izinlere sahip olup olmadıklarının kontrolünü yapar. Böylece mailin Exchange server a ulaşmadan önce gerekli kontolleri isa server üzerinde yaparak, exchange server ımızın iş yükünü hafifletmiş oluruz
SMTP Trafiğinin Güvenliği: İnternet üzerinden gönderilen tüm mailler smtp protokolü kullanarak gönderilir. İnternet üzerinden mail alabilmek için şirketinizde diğer smtp server’lar tarafından erişilebilir durumda bir smtp server ınızın olması gereklidir. Bununla birlikte SMTP hem protokol seviyesinde hem de smtp mesajları kullanılarak gönderilen verilerin içeriği anlamında bazı zayıf yönlere sahiptir.
Buffer-overflow Saldırıları: Bu saldırı bir program ya da işlemin tampon bellek kapasitesinden daha fazla veriyi depolamaya çalıştığı zaman tetiklenmektedir. Fazladan gelen veri kendine ayrılan tampon belleği aşarak komşu bellek segmentlerine yazılmaya çalışıldığında bu segmentlerdeki diğer düzgün verilerin bozulmasına yol açar.
Buffer-overflow saldırlarında gelen verideki fazlalık kısımdaki bazı kodlar belirli bir takım olayları tetiklemek üzere bulunabilir ve bu sayede saldırı yapılan bilgisayara zarar verebilir. Buffer-overflow saldırıları organizasyonun SMTP Server’ına büyük SMTP komutları gönderilerek yapılabilir. Bu türden saldırıları önlemenin en iyi yolu, saldırı paketlerini perimeter networkte durdurarak hedef alınan SMTP server’a ulaşmasını engellemektir.
SMTP Komut Saldırıları: SMTP Server’lar mesajların alınmasını ve gönderilmesini sağlayan komut setini içerirler. Saldırganlar bu komutları kullanarak buffer-overflow saldırıları gerçekleştirebilir ve önemli dosyaları ele geçirebilirler. Bu komutların boyutlarını iyi konfigüre etmeliyiz. Bazı SMTP komutları seçimliktir. EXPN ve VRFY gibi bazı komutlar düzgün konfigure edilmezlerse server üzerinde bulunan alıcıların listesine erişilmesini sağlayabilirler. Eğer bu komutlara ihtiyaç duyulmuyorsa firewall üzerinde devre dışı bırakılarak bu komutların exchange server tarafında kullanılmasının önüne geçilebilir
Bu makalemde ISA Server 2004 üzerinde Message Screener bileşeni sayesinde neler yapabileceğimizi göreceğiz. ISA Server 2004 uygulama katmanında filtreleme sağlayarak saldırganların buffer-overflow komutlarını kullanarak exchange server çalışan bilgisayarınızı devre dışı bırakmalarını ya da kontrolünü ele geçirmelerini engellemenizi sağlayacaktır. Laboratuvar ortamında internal network id miz 192.168.1.0/24 ve mail server ımızın ip adresi 192.168.1.2
Resim-1
Standart durumda resim-2’ de görüldüğü gibi isa server makinası ile internal network ün haberleşebilmesi için ve internete çıkış için yazılması gereken kurallar görülüyor. Bunlara ek olarak client programın (mesala microsoft outlook) mail server dan mailleri çekebilmesi için pop3, mail gönderebilmesi ya da mail server ımızın mail alabilmesi için de smtp publish kuralının yazılıyor olması gerekiyor.
Resim-2
Message Screener uygulaması yapabilmek için, ISA Server kurulumunda message screener bileşenini install etmek gerekiyor.
Resim-3
Autorun.exe ye tıklayarak isa kurulumunu özelleştirmek için modify kutucuğunu doldurarak ilerliyoruz.
Resim-4
Message Screener bileşenin seçtiğimizde hata almamızın nedeni, ISA Server makinamızda smtp servisinin yüklü olmadığındandır. Add-Remove Windows Components wizardını kullanarak smtp servisini yüklüyoruz
Resim-5
Başarılı bir şekilde smtp servisini yükledikten sonra, message screener bileşenini install edebiliriz
Resim-6
Bileşeni seçip next dediğimizde artık hata mesajı ile karşılaşmıyoruz ve başarılı bir şekilde bu bileşeni kurmuş oluyoruz
Resim-7
Bu bileşenimizi yüklediğimize göre iç networkte ya da perimeter networkte bulunan smtp server ımıza göre yeni mail publish kuralımızı yazabiliriz. Pop3 server için kuralı değiştirmeye gerek yok ancak gelecek mailler önce başka bir smtp server’a gönderileceği için smtp server publish kuralımızı değiştiriyoruz.
Resim-8
Isa Server Management konsolunda\ISA\Configuration\Add-in\Application Filter kısmında SMTP Filter özellikliğini görebiliriz.
Resim-9
SMTP Filter Properties\Gneral sekmesinde bu filter i enable edip etmeyeceğimizi seçebiliriz
Resim-10
SMTP Filter Properties \ Keywords sekmesinde e-mail içeriklerinde kontrol edeceği söz dizimlerini sağlar. Oluşturduğunuz mesajın konu, gövde ya da herikisinde birden anahtar kelime bulunduğu zaman uygulanmasını sağlayabiliriz. Message Screener’ ın bu türden mesajı silmesi, tutması ya da belirli bir posta kutusuna iletmesi için konfüre edebiliriz. Örnek olarak keyword kısmına “bedava” kelimesini yazıp message subject or body içinde aranmasını istersek, action olarak da forward message to turker.ata@galatasaray.gs adresini yazarsak; domainimizde herhangi bir hesaba gelen mail içinde bedava kelimesi geçen her mail ilgili hesaba yönlendirilecektir.
Resim-11
SMTP Filter Properties \ User-domain sekmesinde e-mail ini engellemek istediğiniz gönderenin adını ya da tüm domain ini ekleyebiliriz. SMTP gönderen mail hesabını engellenmiş sender’s ya da domains kısmında bulursa mesajı silecektir
Resim-12
SMTP Filter Properties \ Attachments sekmesinde Message Screener’ın ekli halde gelen dosyaları nasıl filtreleyeceğini görebiliriz. Ekli halde gelen dosyanın ismine, uzantısına ya da boyutuna göre mesajı silmesini, tutmasını veya turker.ata@galatasaray.gs adresine forward edilmesini sağlayabiliriz.
Resim-13
Son olarak SMTP Filter Properties \ SMTP Commands sekmesinde neler yapabileceğimize bakalım. SMTP server’lar diğer server’lar ile bağlantı oluşturmak ve mesajları iletmek için bir SMTP komut setini kullanırlar. Bu komutlara verbs (fiiller) denir. SMTP uygulama filtresi de bu komutları inceleyerek filtreleme işlemi yapar. Aşağıdaki resimde kullanılan komutları görebilirsiniz.
Resim-14
Bazı SMTP komutları seçimliktir. EXPN ve VRFY gibi bazı komutlar düzgün konfigure edilmezlerse server üzerinde bulunan alıcıların listesine erişilmesini sağlayabilirler. Eğer bu komutlara ihtiyaç duyulmuyorsa firewall üzerinde devre dışı bırakılarak bu komutların exchange server tarafında kullanılmasının önüne geçilebilir. SMTP command ların maksimum length ini editleyebiliriz.
Şimdiye kadar, gelen tüm mailleri bir başka smtp server’ a yönlendirmeyi belli kurallar çerçevesinde konfigüre etmiş olduk. Peki yönlendirdiğimiz server tarafında bizi neler bekliyor bu ayarlara bakalım.
IIS – SMTP servisi yüklü olan server’a geldiğimizde default smtp virtual server altında domain satırına geliyoruz.
Resim-15
Domain üzerinde sağ click new-domain diyerek açılacak pencerede remote - *.gs, ya da galatasaray.gs, diyerek remote domain imizi oluşturuyoruz
Resim-16
Aşağıdaki resimde gördüğünüz gibi gelen mailleri göndereceğimiz remote domainimiz de oluşmuş oldu.
Resim-17
Son olarak remote domain - properties ile çıkan pencerede ilgili gereken değerleri yazarak, tüm sistem ayarlarını bitirmiş oluyoruz. Allow incoming mail to be relayed to this domain işaretlenerek, route domain altındaki adresi köşeli parantez içinde yazmayı unutmayın [192.168.1.2] içerdeki mail server ımızın adresini yazarak tüm ayarları bitirmiş oluyoruz
Resim-18
Bu makalemde gelen tüm mailleri exchange server a direkt olarak iletmeden önce bir başka SMTP Server’a belli filtrelerde iletip, Bu SMTP Server üzerinden exchange server’a relay edilmesini sağladık. Bunun sayesinde hem dış saldırılardan mail server’ ımızı koruduk, hem de iş yükünü kötü amaçlı maillerden arındırdığımız için hafifletmiş olduk. Bir başka makalemde görüşmek üzere...