Exchange Server: Sertifikalar && S/MIME

Exchange Server: Sertifikalar && S/MIME

Sertifikalar
Mail iletişimini daha güvenilir hale getirmek için sertifikalar kullanılabilmektedir. Exchange Server 2000 ve 2003 ortamlarında sertifika kullanımı yaygın olmamakla birlikte IIS üzerinde manuel olarak gerçekleştiriliyordu. Exchenge Server 2007 ile birlikte bu işlemler Exchange Management Console ve Exchange Management Shell üzerinde daha basit adımlar ile gerçeklenmeye başlamıştır.

Exchange Server 2010 üzerinde sertifika 5 servis için oluşturulabilmektedir. Bu servisler şunlardır:

• IMAP
• POP
• SMTP
• IIS (HTTP)
• UM (Unified Messaging)

Bu trafikler ve kullanan bileşenler şu şekildedir:

• SMTP: HTS ve ETS arasında veya ortak organizasyonlar arasındaki SMTP trafiğinde kimlik doğrulama ve şifreleme sağlamak için kullanılır.
• EdgeSync Senkronizasyonu: HTS ve ETS arasındaki LSAP iletişimini şifrelemede kullanılır.
• UM: UMS rolündeki sunucudan HTS rolündeki sunucuya, IP giriş kapılarına (gateway) ve Ofis İletişim Sunucuları’na (Office Communication Servers) giden SMTP trafiğini şifrelemek için kullanılır.
• Autodiscover: CAS ve istemci arasındaki HTTPS trafiğini şifrelemek için kullanılır.
• POP3/IMAP4: Posta alınması sürecinde şifreleme ve kimlik doğrulama için kullanılır.
• Outlook Anywhere: CAS rolündeki sunucudan istemciye giden trafik güvenliğini sağlamak için kullanılır.
• OWA: CAS rolündeki sunucudan istemciye giden HTTP trafiğinin güvenliğini sağlamak için kullanılır.
• ActiveSycn: CAS rolündeki sunucudan istemciye giden HTTP trafiğinin güvenliğini sağlamak için kullanılır.

Kullanılan sertifika güvenilir bir sertifika otoritesi tarafından onaylanmış olabileceği gibi, kendimiz de bir sertifika oluşturabiliriz. Kendimizin onaylayacağı sertifikada bir uyarı mesajının çıkabileceği, bu uyarı mesajını almamak için istemcilere onaylayıcının sertifikasının yüklenmesi gerektiği unutulmamalıdır. İç sistemlerde kendimizin imzaladığı, dış sistemlerde ise bir CA tarafından imzalanan sertifikaların kullanılması önerilmektedir.
Kendimizin onayladığı sertifikaları kullanabileceğimiz sistemler şu şekildedir:

• Hub Transport sunucuları arasına
• HTS ve ETS arasında
• EdgeSync trafiği için
• UM trafiği için
• Dahili CAS rolü sunucularında

CA tarafından onaylanan sertifikaları kullanabileceğimiz sistemler şu şekildedir:

• POP3 & IMAP4 trafiği için
• OWA için
• Outlook Anywhere
• ActiveSync için
• Autodiscover için

Ek Bilgiler:

• Exchange Server 2010 kurulumu sırasında varsayılan olarak SMTP sertifikası da oluşturulmuş durumdadır. Ama diğer iletişim protokolleri için sertifikalar, Exchange ortamı yöneticisi tarafından oluşturulmalıdır.
• Exchange Server 2013 kurulumu sırasında MBS üzerinde kendinden imzalı sertifika yüklü olarak gelmektedir. CAS, MBS üzerindeki sertifikaya güvendiği için kullanıcılar herhangi bir sertifika uyarısı almamaktadır.
• Sertifika oluşturulması için bakınız: http://www.cozumpark.com/blogs/exchangeserver/archive/2009/11/22/exchange-2010-sertifika-olu-turma.aspx

Secure/Multipurpose Internet Mail Extensions (S/MIME)
Sayısal imzalama gönderici taraflı kimlik doğrulama, bütünlük ve reddedilemezlik kazandırmak için kullanılan bir çözümdür. Sayısal imza ile, SMTP protokolünde olduğu gibi, posta açık olarak gönderilir. Base64 kodlama gerçekleştirilse bile şifreleme yapılmadığı sürece posta bir başkası tarafından okunabilir. Asimetrik şifreleme ile ise gizlilik, bütünlük ve alıcı taraflı kimlik doğrulama gerçekleştirilmektedir. Posta iletişiminde sayısal imzalama ve şifreleme kullanılması ile güvenlik arttırılması sağlanabilir. Bu amaçla posta içeriğine bir takım eklentiler konulmalıdır. MIME(Multipurpose Internet Mail Extensions) gönderilecek olan postaya resim, ses, görüntü gibi eklentileri eklemek için kullanılan bir internet standardıdır. Bu standarda bahsedilen güvenlik eklentilerinin eklenmesiyle yeni bir standart oluşturulmuştur. Bu standart S/MIME olarak adlandırılmaktadır. S/MIME temelinde asimetrik şifreleme ve sayısal imzalama yatmaktadır. S/MIME ile posta gönderilirken, önce göndericinin özel anahtarı ile imzalanır, sonra da alıcının genel anahtarı ile şifreleme gerçekleştirilir. Bu postayı alınırken, önce alıcının özel anahtarı ile şifre çözülür, sonra da göndericinin genel anahtarı ile doğrulama gerçekleşir. Böylece iki taraflı kimlik doğrulama, gizlilik, bütünlük ve reddedilemezlik sağlanır. Kullanılan sertifikalar etki alanını yöneticisi tarafından imzalanabildiği gibi, uluslar arası sertifika makamları tarafından da imzalanabilmektedir.

Ek Bilgiler:

• Bu şekilde iletişim için posta istemcisinin S/MIME desteğinin olması gerekmektedir. Örneğin, OWA’da, S/MIME ActiveX kontrolü kullanılarak sağlanır. Bu sebeple ActiveX desteği olan bir istemci tercih edilmeli ve ActiveX özelliği açılmalıdır.
• S/MIME desteği ilk olarak Exchange Server 2003 ile birlikte Outlook Web Access için yayınlanmıştı. Günümüzde bu destek gelişerek sürdürülmektedir. S/MIME v3 ile üç sarmallı bir iletişim (Triple-Wrapped Messages) sağlanmaktadır. Bu yapı ile önce imzalama, sonra şifreleme, sonra yine imzalama işlemi gerçekleştirilmektedir.
• S/MIME ile gerçekleşen operasyonlar ile güvenlik sağlandığı gibi, bu operasyonlar istemci tarafında gerçekleştiği için posta sunucusu için herhangi bir işlem maliyeti yoktur. Diğer taraftan, kullanıcıların özel anahtarları etki alanı sunucusunda tutulmadığı durumlarda, sunucu tarafında yöneticilere kontrol eksikliği oluşabilmektedir. Posta sunucusundaki imzalanmış ve şifrelenmiş posta okunamadığı için taşıma kuralları uygulanamaz, Anti-virüs/Anti-spam gibi çözümlerle zararlı tespiti gerçekleştirilemez, veri kaçağı anlaşılamaz. Bu durum da kontrol eksikliğine sebep olabilmekte ve yasal düzenlemelere karşı bulguya sebep olabilmektedir.

Kaynak site:
http://technet.microsoft.com/en-us/library/aa995740(v=exchg.65).aspx

Exchange Server: Forefront Protection 2010 for Exchange Server (FPE)

Exchange Server: Forefront Protection 2010 for Exchange Server (FPE)

Microsoft Forefront Security, Exchange ortamında zararlılara karşı koruma için kullanılabilen merkezi bir çözümdür. FPE, Exchange Server 2007 SP1 ve sonraki sürümleri desteklemektedir.

FPE ile şu kazanımlar sağlanabilmektedir:

• Anti-spam ve AV için katmanlı bir yapı sağlanır.
• Süreklilik sağlanır. Tarama motorlarından bir tanesi devre dışı kalması durumunda bile koruma işlemi diğer motorlar tarafından devam ettirilir ve aynı zamanda e-posta iletişimi yavaşlamadan sürdürülür.
• Anti-Spam ajanlarının otomatik olarak konfigürasyonu sağlanmaktadır.
• Anti-spam içerik filtrelemede başarı oranını neredeyse %100’e çıkarmaktadır. 
• Birbirinden farklı motorlar ile zararlılara karşı koruma sağlanmaktadır. Bu motorların yönetimini ve takibini etkili şekilde gerçekleştirmektedir.
• Performansı düşürmeden maksimum algılama sağlar. Önceden belirlenmiş ayarlar sayesinde, her taramada en güncel ve etkili olan tarama motorunu otomatik olarak seçer ve performans-güvenlik dengesini kurar.
• Farkı iç ve dış kaynaklardan Sender Reputation bilgisini elde edebilmektedir.
• Bulut tabanlı içerik filtreleme ajanlarını barındırmaktadır.
• İçerik filtreleme güncellemesini otomatik olarak gerçekleştirebilmektedir.
• Çok sayıda sağlayıcıyla oluşturulan Forefront DNS blocklistle DNS kontrolü en doğru şekilde gerçekleştirilmektedir. Bunun yanında SCL seviyesini belirlemede daha doğru sonuçlar ortaya çıkmaktadır. Böylece false-pozitif sonuçlarının sayısı azaltılmaktadır.
• Bloklama ve izin verme işlemlerinin tek bir merkezden yapılmasını sağlayan ana çatıyı sunar.
• NDR (Non delivery report) sağlar.
• Aynı postanın defalarca taramadan geçirilmesinin önüne geçilerek tarama işleminin sistematiğe bağlanması sağlanır.
• Hassas bilgi içeren e-postaların yayılmasını engellemek için anahtar kelime filtreleri kullanarak organizasyonun yükümlülüklerini azaltılır.

FPE; ETS ve HTS üzerinde kurulması önerilmektedir. Daha etkin bir koruma için MBS üzerinde de kullanılması tavsiye edilir. CAS rolüne kurulmasına gerek yoktur.
FPE, bir sunucuya erişen postayı varsayılan olarak bir kere tarar. Tarama işlemi sırasında en az 3 tane motorun çalışıyor olması ve bu motorların dinamik olarak belirleniyor olması tavsiye edilmektedir. Böylece performans sorunu yaşanmasının önüne geçilmektedir. İlgili sunucuda gerçekleştirilen tarama işlemi sonucunda tarama bilgisini postaya ekler. Daha önceden bir sunucuda tarama gerçekleştirilmiş olsa bile, MBS üzerinde FPE tarafından yeni bir taramanın daha yapılması tavsiye edilmektedir. Daha performanslı bir yapı için ise, sadece eki olan ve daha önce taramadan geçirilmiş olan postaların taranması tavsiye edilmektedir. Ayrıca belli aralıklarla MBS üzerinde tüm veritabanlarının taranması da önerilmektedir.

Bunun yanında ForeFront Online Protection for Exchange (FOPE) adı verilen ve bulutta çalışan bir sistem daha vardır. FOPE lokalde kurulmaz, bulut hizmeti olarak kullanılmaktadır. Böylece mail trafiğinin buradan geçmesi sağlanarak güvenlik sağlanmış olur.

Kaynak site:
http://technet.microsoft.com/en-us/library/bb795191.aspx

Procdump ve Mimikatz ile LSASS İçerisinden Oturum Açan Kullanıcıların Parolalarını Elde Etme

İpucu: Procdump ve Mimikatz ile LSASS İçerisinden Oturum Açan Kullanıcıların Parolalarını Elde Etme

Mimikatz bir prosesin (içerisinde kimlik bilgileri barındıran LSASS.exe) içinden logon olmuş kullanıcıların parolalarını çekebilmektedir. Böylece oturum açılabilen ama AV gibi engelleyici sistemler yüzünden mimikatz/wce çalıştırılamayan makinelerde proses içerisinden bu kimlik bilgileri elde edilebilir.

Yazının devamı için:
http://www.siberportal.org/red-team/windows-operating-system-penetration-tests/obtaining-clear-text-password-from-lsass-dump-file-that-is-stolen-from-network-drive-mapping-using-mimikatz-tool/
ve
http://www.siberportal.org/red-team/windows-operating-system-penetration-tests/obtaining-clear-text-password-from-lsass-dump-file-that-is-stolen-from-remote-windows-computers-command-line-using-mimikatz-tool/