Erweiterter Schutz der E-Mail Infrastruktur mit WatchGuard XCS

Transcription

Erweiterter Schutz der E-Mail Infrastruktur mit
WatchGuard XCS
Migration von WatchGuard XTM SMTP-Proxy zu WatchGuard XCS
Inhalt
Grundlagen ....................................................................................................................................... 3
Integration WatchGuard XCS ............................................................................................................ 4
Ausgangskonfiguration WatchGuard XTM ........................................................................................ 5
Netzwerkanpassungen zur Einbindung der XCS ................................................................................ 6
Installation der XCS Einrichtung ........................................................................................................ 8
Einrichtung per Installation Wizard ................................................................................................... 8
Erste Schritte mit WatchGuard XCS ................................................................................................ 13
Migration der XTM Konfiguration zur XCS ...................................................................................... 15
Mail Delivery Einstellungen......................................................................................................... 15
Verwaltung der E-Mail Domains ................................................................................................. 17
Trusted Mail-Server .................................................................................................................... 18
Anti-Spam ................................................................................................................................... 19
Whitelisting ................................................................................................................................. 21
Anti-Malware .............................................................................................................................. 23
TLS Verschlüsselung und Zertifikatsverwaltung .............................................................................. 25
Umstellung der E-Mail Kommunikation von XTM auf XCS .............................................................. 28
Weitere Informationen ................................................................................................................... 29
Jonas Spieckermann | Sales Engineer Central Europe
WatchGuard Technologies Inc. | www.watchguard.com
Page 2 of 29
Grundlagen
Viele E-Mail Systeme werden über WatchGuard XTM Systeme abgesichert. Die Funktionen des SMTP
Proxy bietet hierbei vielfältige Sicherheitsmethoden, um u.A. sowohl Anti-Spam als auch Anti-Virus
umsetzen zu können. Die Sicherheitsmöglichkeiten werden hierbei transparent angewendet, d.h. die
XTM arbeitet im E-Mail Verkehr nicht als MTA (Mail Transport Agent), sondern überprüft in der
laufenden Kommunikation ob übertragene E-Mails den Sicherheitsvorgaben entsprechen.
WWW
SMTP Proxy
WatchGuard XTM
Trusted
Network
E-Mail Server
Nicht immer erfüllt der Funktionsumfang dieser UTM Lösung alle Anforderungen an einen Dienst
(z.B. E-Mail Kommunikation) in Gänze. Insbesondere wenn ein gesteigertes Datenschutzbedürfnis
vorhanden ist, oder ein MTA bzw. vollwertiger E-Mail Server als „Frontend System“ vor dem
internen E-Mail System benötigt wird. Hierdurch entsteht der Bedarf einer dedizierten E-Mail
Security Lösung.
Die WatchGuard XCS kann sowohl als Hardware Appliance als auch als virtuelle Version (XCSv) ohne
großen Aufwand implementiert werden und bietet durch zusätzliche Funktionen und Möglichkeiten
einen großen Mehrwert.
Page 3 of 29
Integration WatchGuard XCS
Die WatchGuard XCS als sicherer E-Mail Server bietet vielfältige die E-Mail Sicherheit erhöhende
Funktionen und kann daher ergänzend zur XTM gesteigerte Mail-Security Anforderungen abbilden.
Das System wird üblicherweise in einem DMZ-Bereich (Optional Interface oder Optional VLAN) der
XTM eingebunden und die E-Mail Kommunikation über SMTP wird umgeleitet, sodass die
WatchGuard XCS als Mail-Relay zwischen internem E-Mail Server und WWW eingebunden ist.
WWW
SMTP (TCP 25)
Optional
Network
WatchGuard XTM
WatchGuard XCSv
Trusted
Network
E-Mail Server
Page 4 of 29
Ausgangskonfiguration WatchGuard XTM
In der Konfiguration der WatchGuard XTM ist eine SMTP-Proxy Policy vorhanden, die verwendt wird
um SMTP Verbindungen zu kontrollieren und auf schadhafte oder ungewünschte Inhalte zu
überprüfen.
Innerhalb der Firewall Policy ist eine SNAT Action konfiguriert, die die Weiterleitung zu Ihrem
internen E-Mail System durchführt.
Page 5 of 29
Die Proxy Action innerhalb einer Firewall Policy konfiguriert die zusätzlichen Sicherheitsfunktionen
der XTM für E-Mail Kommunikation. Anti-Spam, Anti-Virus und E-Mail spezifische Einstellungen (z.B.
E-Mail Größe, Anhänge, etc.) werden innerhalb dieser Action konfiguriert.
Netzwerkanpassungen zur Einbindung der XCS
Eine WatchGuard XCS oder XCSv wird typischerweise in einer DMZ eingebunden. Um eine neue DMZ
mit einer XTM zu erzeugen, kann ein Interface Type Optional erzeugt werden.
Die Kommunikation zwischen dem neuen Netzwerk-Segment (DMZ) und dem vorhandenen Trusted
Netzwerk wird über die Firewall Policy der XTM reglementiert, sodass die erforderlichen TCP & UDP
Verbindungen freigegeben werden.
Page 6 of 29
Üblicherweise werden Firewall Policies benötigt, die die folgende Dienste erlauben:
Dienst
E-Mail per SMTP
From
External
DMZ
(XCS)
DMZ
(XCS)
Trusted (Mailserver)
Administration der XCS Trusted
Namensauflösung per DMZ
(XCS)
DNS
(DMZ
(XCS))
To
DMZ
(XCS)
External
Trusted (Mailserver)
DMZ (XCS)
DMZ (XCS)
External
(Trusted)
Updates für die XCS
(z.B. Pattern)
Verzeichnisdienste
(LDAP, z.B. Active
Directory)
Zeit-Synchronisierung
per NTP
DMZ (XCS)
External
DMZ (XCS)
Trusted
Controller)
DMZ
(DMZ (XCS))
(XCS) External
(Trusted)
TCP/UDP Port
TCP 25
TCP 443
UDP 53
TCP
TCP 443
(Domain TCP
TCP 636 (LDAPS)
80
389
UDP 123
Die benötigten Einstellungen können je nach Umgebung variieren, die hier dokumentierten
Anforderungen
sind
in
vielen
typischen
Installation
vorhanden.
Eine
vollständige
Liste
der
benötigten
Firewall
Policies
finden
Sie
unter:
http://www.watchguard.com/help/docs/xcs/10/enUS/xcs/index.html#pre_installation_tasks/fw_configuration.html
Page 7 of 29
Installation der XCS Einrichtung
Die WatchGuard XCS kann sowohl als Hardware Appliance als auch als virtuelle Appliance (XCSv)
genutzt werden. Je nach Infrastruktur kann die eine oder andere Variante sinnvoller sein, der
Funktionsumfang beider Varianten ist identisch.
Hinweise zur Installation der XCSv (virtuelle Appliance für VMWare und Hyper-V) unter:
www.watchguard.com/help/docs/xcs/10/en-US/XCSv_v10_0_setupguide.pdf
Hinweise zur Installation der WatchGuard XCS finden Sie unter:
http://www.watchguard.com/help/docs/xcs/10/enUS/xcs/index.html#installation/connect_xcs.html
Einrichtung per Installation Wizard
Beim ersten Boot Vorgang der XCS wird ein Installation-Wizard gestartet, sobald Sie per HTTPS eine
Verbindung auf die Web-UI der XCS (https://10.0.0.1/) aufbauen. Die Daten zur Anmeldung lauten:
Username:
admin
Password: admin
Der Wizard führt durch die Grundkonfiguration der XCS und fragt die benötigten Parameter ab. Zum
besseren Verständnis sind nun einige der wichtigen Abfragen mit Erläuterung aufgeführt.
Page 8 of 29
Die Netzwerk-Einstellungen werden im Bereich Network Settings definiert. Wird hier die IP Adresse
angepasst (Default 10.0.0.1), so erfordert dies einen Reboot der XCS.
Hostname und Domain sollten so angepasst werden, dass diese mit Ihrer Infrastruktur
übereinstimmen. Häufig wird hier der Name verwendet, der im .mx-Eintrag eines Unternehmens als
eingetragen ist. Dieser Name (Hostname + Domain) wird bei der SMTP Kommunikation mit externen
E-Mail Servern bei Empfang und Versand von E-Mails verwendet.
Nach dem Reboot haben Sie die Möglichkeit erneut den Wizard zu öffnen (über die neue IP Adresse
der XCS).
Anschließend können Sie dem Wizard weiter folgen. Die bereits getätigten Konfigurationen werden
beibehalten.
Page 9 of 29
Tragen Sie nun den Namen Ihres Unternehmens als Organization Name ein und ergänzen Sie die
Server Admin Email, die für Alarmierungen und Benachrichtigungen der XCS verwendet wird.
Der Menu-Eintrag Product Serial Number ist ausschließlich zu sehen, wenn es sich um eine XCSv
handelt. Die Seriennummer erhalten Sie bei Bestellung durch Ihren Lieferanten.
Anschließend können Sie den Feature-Key (Lizenz der WatchGuard XCS) importieren (Manual
Update) oder direkt online aktualisieren (Download), sofern für die XCS bereits Zugriffsmöglichkeiten
ins Internet bestehen.
Page 10 of 29
Nach dem erfolgreichen Hinzufügen des Feature Keys erhalten Sie die Möglichkeit Einstellungen für
die E-Mail Kommunikation zu definieren. Hier haben Sie bereits die Möglichkeit den Internal Mail
Server (z.B. den Microsoft Exchange) anzugeben. Dies führt im angegebenen Beispiel dazu, dass
angenommene E-Mails für demo.local nach Prüfung durch die Sicherheits-Funktionen der XCS
weitergeleitet werden and die IP 192.168.244.11.
Weiterhin haben Sie hier die Möglichkeit aus den verfügbaren Sicherheits-Funktionen eine Auswahl
zu treffen. Die Voreinstellung bietet für die meisten Scenarien eine gute Lösung.
Page 11 of 29
Der Bereich Web Configuration ist verfügbar, wenn Sie diese optionale Lizenz zusätzlich erworben
haben. Für die Absicherung der E-Mail Kommunikation ist diese Funktione nicht notwendig, daher
können alle Einstellungen Disabled werden.
Abschließend haben Sie die Möglichkeit das Messaging System der XCS zu aktivieren oder zu
deaktivieren. Ist hier die Einstellung Enabled definiert, so kann die XCS bereits E-Mails empfangen
und versenden. Sollte der Empfang der E-Mails bereits auf die neue XCS umgeleitet werden (durch
die Konfiguration von S-NAT in Ihrer XTM), so würden nach Beendigung des Installation Wizard
bereits alle eingehenden E-Mails über die XCS verarbeitet werden. Falls dies noch nicht der Fall ist
kann die XCS technisch zwar E-Mails empfangen, wird allerdings noch keine „echte“ E-Mail erhalten.
Page 12 of 29
Erste Schritte mit WatchGuard XCS
Nach Beendigung des Installation Wizards gelangen Sie auf die Administrationsoberfläche der XCS.
Beim Login wird Ihnen die Auswahl der Frequent Tasks dargestellt. Hier werden übliche
Administrationsaufgaben zusammengefasst, sodass diese schnell durchgeführt werden können.
Die Oberfläche gliedert sich in verschiedene Bereiche:
-
Activity = Statusinformationen zur XCS und E-Mail Verarbeitung
Security = Konfigurationsmenu für Sicherheitsfunktionen der XCS
Configuration = Konfigurationsmenu für Systemeinstellungen und E-Mail Routing
Administration = lokale Benutzerverwaltung, Software Updates, Backup & Restore
Zunächst sollten Sie prüfen, ob neue Software Updates für die XCS verfügbar sind. Hierzu starten Sie
als erstes manuell die Security Connection unter Administration > Software Updates > Security
Connection über den Button Connect Now. Diese Funktion prüft online, ob neue Versionen oder
Updates für die XCS durch WatchGuard bereitgestellt wurden.
Page 13 of 29
Sie erhalten eine Rückmeldung vergleichbar mit diesem Screenshot, wenn dies erfolgreich
durchgeführt wurde.
Anschließend sollten Sie die aktuellen Software Updates installieren, die Ihnen im Menu
Administration > Software Updates > Updates angeboten werden, damit Ihre WatchGuard XCS die
neuesten Funktionen bietet.
Page 14 of 29
Migration der XTM Konfiguration zur XCS
Mail Delivery Einstellungen
Innerhalb der WatchGuard XTM kann durch die Konfiguration der Proxy Action für SMTP ein
Regelwerk für den E-Mail Verkehr definiert werden.
Üblich ist hier die Einschränkung der maximal Zulässigen E-Mail Größe (Set the maximum email size
to).
Die maximal zulässige Größe für eingehende E-Mails kann innerhalb der XCS im Menupunkt
Configuration > Mail > Mail Access definiert werden (Maximum message size).
Page 15 of 29
Zusätzlich kann mit WatchGuard XCS die maximale Größe für E-Mail Anhänge festgelegt werden.
Hierzu definieren Sie unter Security > Content Control > Attachment Size Limits die gewünschten
Einstellungen für eingehende und ausgehende E-Mails.
Page 16 of 29
Verwaltung der E-Mail Domains
Um zu verhindern, dass E-Mails für von Ihnen nicht genutzte Domänen zu Ihrem internen E-Mail
Server weitergeleitet werden, ist es sinnvoll die E-Mail Security Systeme so zu konfigurieren, dass
ausschließlich E-Mails für bekannte Domains entgegengenommen werden.
In der XTM Proxy Action wird dies unter Address -> Rcpt To eingeschränkt. In diesem Beispiel werden
lediglich E-Mails für die Domänen demo.local und lab.local entgegengenommen.
Page 17 of 29
In der Konfiguration der WatchGuard XCS wird unter Configuration > Mail > Routing für jede
genutzte Domain festgelegt an welchen E-Mail Server diese weitergeleitet werden soll. Wenn Sie im
internen Bereich einen einzelnen E-Mail Server verwenden so können Sie für die von Ihnen
genutzten Domains Mail-Routing Einträge mit gleichbleibender IP-Adresse nutzen. In diesem Beispiel
werden E-Mails für beide Domains demo.local und lab.local nach der Überprüfung durch die XCS an
den internen Server 192.168.244.11 weitergeleitet.
Trusted Mail-Server
Um einem E-Mail Server im internen Netzwerk die Möglichkeit zu geben E-Mails per SMTP zu
versenden wurde innerhalb der XTM Konfiguration eine Policy hierzu eingerichtet (SMTP Packet
Filter oder SMTP Proxy). Über diese Firewall Policy ist der E-Mail Versand per SMTP für den internen
vertrauenswürdigen E-Mail Server erlaubt.
Die WatchGuard XCS verwendet zur „Freischaltung“ eines internen Mail Servers ein Specific Access
Pattern. Dies ist konfigurierbar unter Configuration > Mail > Access. Über den Installation Wizard
wurde hier bereits ein Specific Access Pattern für die IP 192.168.244.11 mit der Action Trust
eingerichtet, sodass dieser Server E-Mails übertragen darf.
E-Mail Server, die in dieser Liste eingetragen werden dürfen die XCS als Mail-Relay nutzen. Wird als
Action Trust gewählt, so werden ausgehende E-Mails als vertrauenswürdig klassifiziert und die
Informationen in die Intercept Anti-Spam Entscheidung einbezogen.
Page 18 of 29
Anti-Spam
Innerhalb der XTM wird die Funktione spamBlocker genutzt um Anti-Spam umzusetzen. Sie haben
die Möglichkeit Anpassungen hieran vorzunehmen, um z.B. ein geändertes Subject Tag für BulkEmail zu nutzen.
Die Möglichkeiten und die Flexibiltät der WatchGuard XCS im Bereich Anti-Spam sind umfangreicher
als
die
in
der
XTM
vorhandenen
Möglichkeiten
durch
spamBlocker.
Sie finden die Einstellungen zu Anti-Spam unter Security > Anti-Spam. Hier zu sehen ist das
Untermenu Anti-Spam, dass Ihnen die Möglichkeit bietet den Subject Header einer E-Mail
anzupassen oder andere Einstellungen zu definieren.. Nutzen Sie hier die Funktion Update Intercept
Settings Automatically so erhalten Sie regelmäßig automatisiert Konfigurationsanpassungen im
Bereich Anti-Spam durch WatchGuard.
Page 19 of 29
Weitere Anpassungsmöglichkeiten für Anti-Spam finden Sie in den anderen Untermenus dieses
Bereichs. So kann in Security > Anti-Spam > Connection Control die Funktion Recipient Verification
aktiviert werden. Diese kann per SMTP oder über LDAP Abfragen (z.B. aus dem Microsoft Active
Directory) überprüfen, ob der E-Mail Empfänger in einem Unternehmen überhaupt existiert. Erst bei
Bestätigung durch das interne System wird die E-Mail angenommen und weiter verarbeitet.
Page 20 of 29
Whitelisting
Wenn für bestimmte Absenderadressen ein Whitelisting erfolgen soll, sodass Anti-Spam für diese
nicht angewendet wird, kann in der XTM innerhalb der spamBlocker Konfiguration die Liste
Exceptions verwendet werden.
Page 21 of 29
In WatchGuard XCS erfolgt ein Whitelisting über das Menu Security > Content Control > Pattern
Filters. Über den Menupunkt Add kann hier ein neuer Eintrag erzeugt werden.
Die Funktion Pattern Filter kann flexibel auf Bestandteile einer E-Mail angewendet werden und
variable Aktionen ausführen. Ein Addressbezogenes Whitelisting kann über die Auswahl Message
Part: From und die Eingabe der Domäne (z.B. @test.de) erfolgen. Wird als Action: Accept genutzt, so
wird diese E-Mail nicht über Anti-Spam Methoden der XCS geprüft.
Weitere Informationen zur Verwendung der Funktion Pattern Filter finden Sie unter:
http://www.watchguard.com/help/docs/xcs/10/enUS/xcs/index.html#content_control/pattern_filters.html
Page 22 of 29
Anti-Malware
Die Gateway Anti-Virus Funktion der XTM kann innerhalb der Proxy Action konfiguriert werden. Die
Definition erfolgt hierbei für Content Types und Filenames innerhalb der Category Attachments.
Die Anti-Malware Konfiguration der XCS finden Sie unter Security > Anti-Virus in einem eigenen
Menu. Anders als bei der XTM ist die Anti-Virus Konfiguration nicht direkt verbunden mit den
erkannten Dateitypen und Dateinamen. Aktivieren Sie hier die Funktion Anti-Virus und konfigurieren
je nach Bedarf die zusätzlichen Optionen. So können Sie hier z.B. festlegen, ob Passwort geschützte
Anhänge wie ein Virus behandelt werden sollten.
Page 23 of 29
Um die aktuellsten Signaturen für Anti-Virus zu verwenden, sollten Sie zunächst Get Pattern Now
ausführen.
Neben Anti-Virus unterstützt die Kaspersky Engine ebenfalls die Erkennung von Spyware. Diese
können Sie im Menupunkt Security > Anti-Virus > Spyware aktivieren.
Page 24 of 29
TLS Verschlüsselung und Zertifikatsverwaltung
Um die Kommunikation zwischen E-Mail Servern auf dem Transportweg zu verschlüsseln kann die
Funktion TLS genutzt werden.
Um auch bei TLS verschlüsselten Verbindungen Anti-Virus und andere Sicherheitsfunktionen zu
nutzen kann in WatchGuard XTM die Funktion TLS Deep Inspection im SMTP Proxy eingerichtet
werden. Ohne Aktivierung dieser Funktion wird die TLS-Verschlüsselung zwischen den beteiligten EMail Servern ausgehandelt und die XTM kann keine zusätzlichen Sicherheitsfunktionen anwenden.
Über Encryption Rules kann zusätzlich definiert werden, ob zu bestimmten E-Mail Domains eine
Verschlüsselung per TLS vorgeschrieben wird. Sind die Einstellungen auf den Standartwerten, so
bietet die XTM TLS als Option an, wird aber auch unverschlüsselte Verbindungen zulassen.
TLS erfordert Zertifikate, die für diesen Zweck installiert werden. Meistens wird für die E-Mail
Kommunikation ein Zertifikat von einer öffentlich vertrauenswürdigen Zertfizierungsstelle genutzt.
Page 25 of 29
Diese Zertifizierungsstelle stellt dann zwei Informationen bereit: einen private key und das Zertifikat
inklusive public key. Diese könnnen in der XTM als Proxy Zertifikat importiert werden, sodass bei der
Nutzung von TLS Deep Inspection das gewünschte Zertifikat verwendet wird.
Ob in der XTM bereits ein Zertifikat für diesen Zweck vorhanden ist, können Sie unter Certificates im
Firebox System Managers einsehen. Hier finden Sie dann ein Zertifikat des Typs Proxy Server, dass
das Default self-signed Certificate ersetzt.
Wenn Sie TLS Deep Inspection auf der XTM umgesetzt haben und hierzu bereits ein öffentlich
vertrauenswürdiges Zertifikat verwendet haben, so sollten Sie dieses für die XCS nutzen. Sollte noch
kein Zertifikat im Einsatz sein und TLS Deep Inspection nicht aktiviert sein, so ist es empfehlenswert
mit der Migration auf WatchGuard XCS ebenfalls TLS zu ermöglichen und ein Zertifikat zu
importieren.
Sie benötigen hierzu das Zertifikat und den private Key im .pem Format (Diese erhalten Sie über den
Anbieter des Zertifikats). Der Import des Zertifikats erfolgt anschließend über das Menu
Administration > System > SSL Certificates und die Funktion Load a site certificate.
Page 26 of 29
Der Dialog gibt Ihnen die Möglichkeit das SSL Certificate, den Private Key und ggf. vorhandene
Intermediate Certificates (Zwischenzertifizierungsstellen) zu importieren. Wichtig ist hier, dass die
Daten im .pem Format vorhanden sind und in die Eingabefelder kopiert werden.
Um das Zertifikat anschließend zu verwenden ist ein Reboot der XCS erforderlich.
Nachdem das Zertifikat erfolgreich importiert wurde kann innerhalb der XCS Konfiguration über
Security > Encryption > TLS die Funktion aktiviert werden. Hier ist es ebenfalls möglich für definierte
E-Mail Domänen eine Vorgabe zur Nutzung von TLS zu treffen. Die hier dargestellten Einstellungen
aktivieren TLS und bieten dieses bei einem Verbindungsaufbau an.
Page 27 of 29
Umstellung der E-Mail Kommunikation von XTM auf XCS
Nachdem die XCS nun eingerichtet ist, kann die XTM angepasst werden, sodass eingehende E-Mails
auf die XCS umgeleitet werden. Die bisherige SMTP Proxy Policy für eingehende E-Mails kann jetzt
durch eine Packet Filter Policy ersetzt werden, die eine neue Static NAT Action nutzt um die SMTP
Verbindungen zur XCS weiterzuleiten. Die bisher genutzte Proxy Policy sollte zunächst deaktiviert
werden, um weiterhin die Einstellungen einsehen zu können.
Für die ausgehende E-Mail Kommunikation muss zusätzlich der interne E-Mail Server angepasst
werden, sodass die XCS als Mail-Relay eingetragen wird. Die erforderlichen Anpassungen richten sich
hierbei nach dem genutzten Mail-Server.
Page 28 of 29
Weitere Informationen
Weitere Informationen zu WatchGuard XCS:
http://www.watchguard.com/wgrd-products/secure-email-gateway
E-Mail Verschlüsselung mit WatchGuard XCS:
http://www.watchguard.com/help/docs/xcs/10/enUS/xcs/index.html#mail_security/securemail.html
Einstellungsmöglichkeiten zu Anti-Spam:
http://www.watchguard.com/help/docs/xcs/10/enUS/xcs/index.html#anti_spam/antispam_overview.html
User Spam Quarantine mit WatchGuard XCS:
http://www.watchguard.com/help/docs/xcs/10/enUS/xcs/index.html#spam_quarantine/about_spam_quarantine.html
LDAP Integrationsmöglichkeiten der WatchGuard XCS:
http://www.watchguard.com/help/docs/xcs/10/en-US/xcs/index.html#ldap/about_ldap.html
Weitere Installationsmöglichkeiten der WatchGuard XCS:
http://www.watchguard.com/help/docs/xcs/10/en-US/xcs/index.html#overview/deployments.html
Dokumentation zu WatchGuard XTM & XCS:
http://www.watchguard.com/help/documentation/index.asp
Page 29 of 29

Erweiterter Schutz der E-Mail Infrastruktur mit WatchGuard XCS

Transcription

Similar documents

PDF-Download - Die Forschungsunion Wirtschaft

3D-Scan 2.0 - Virtuelle Realität und Multimedia

Benutzerhandbuch - Motor-Talk

Nokia 6300 Bedienungsanleitung

Handbuch RMS4270 - Digital