Security Professionals - ipfw add deny all from eindgebruikers to any

Security + compliance + email ?

07-05-2009, 22:49 door Anoniem, 13 reacties
ik heb binnenkort een gesprek met iemand over veilige email. Daar het hier een grote onderneming betreft speelt compliance een belangrijke rol. PGP is een goede encrypty oplossing maar vaak erg omslachtig met een tool als bijvoorbeeld gnupg. Nog geeft dit veel informatie bloot als de afzender en de ontvanger. Men weet misschien wel niet zo makkelijk wat je hebt verstuurd maar wel naar wie, wanneer, vanaf waar en hoe groot het geen is dat je stuurt. Het "Small Sister" project lost een hoop van deze problemen op maar de mail client is nog erg beperkt in functionaliteit. Ik zoek eigenlijk een oplossing die geschikt is voor zowel mac als windows laptops waar via vreemde/onvertrouwde (wireless)netwerken op gemaild word.

De gebruiker wil natuurlijk ook niet in functionalitijd achter uit gaan. Mooi zou het zijn als het intergreerd met outlook of een andere populaire mail client.

And what about compliance

Greetingz,
Jacco
Reacties (13)
08-05-2009, 13:10 door Anoniem
Op de link https://www.wuala.com/freemovequantumexchange is de beschrijving van een operationeel systeem te vinden dat rekenkundige, publieke sleutel en onconditioneel veilige email ondersteund op een gebruiksviendelijke manier gebaseerd op true quantum randomness en niet gebaseerd op passwords. Het is echter een proof-of-concept systeem en het is niet commercieel verkrijgbaar.
08-05-2009, 16:06 door KwukDuck
Ik ben toch bang dat je op PGP/GPG uit gaat komen, de grootte van het bericht zegt helemaal niets over de inhoud, ik kan 10mb aan word documenten in 100kb pgp email verzenden als het moet, meestal wordt standaard eerst compressie toegepast.

Daarnaast is de gebruikersvriendelijkheid zeer hoog en integreren deze pakketten makkelijk met bestaande email clients.
Ookal wordt tor of een ander proxy systeem gebruikt kan de exit node nog steeds zien van wie en naar wie de email verzonden is.

Met GPG heb je wel de mogelijkheid om de ontvanger van het bericht te verbergen, je kan dus een bericht voor één iemand sturen naar de gehele organisatie, alleen de client van de juiste ontvanger zal het bericht kunnen lezen en dus weten dat het voor hem bedoelt is.
08-05-2009, 18:11 door Anoniem
Door Anoniem: Ik zoek eigenlijk een oplossing die geschikt is voor zowel mac als windows laptops waar via vreemde/onvertrouwde (wireless)netwerken op gemaild word.
Afhankelijk van wat precies de situatie en bedoeling is, is de meest eenvoudige opzet het gebruik van POP3 en IMAP onmogelijk te maken en over te stappen op POP3S en IMAPS, accepteer voor SMTP louter SSL of TLS, eventueel aangevuld met OpenPGP/GPG.
08-05-2009, 23:02 door cryptomannetje
......Daar het hier een grote onderneming betreft .......Mooi zou het zijn als het integreert met Outlook of een andere populaire mail client....[/quote]Heb je wel eens aan een PKI gedacht? Die is daar in principe voor uitgevonden, zeker ook voor grote ondernemingen. Adviseer een drie certificaten systeem: encryptie (onleesbaarheid bericht), digitale handtekening (non-repudiation) en integriteit (correcte inhoud bericht). Het kost wel wat, maar dan heb je ook wat. De meeste Office applicaties van Microsoft kunnen omgaan met certificaten dus ook Outlook.

Succes met je gesprek.
09-05-2009, 16:39 door Anoniem
Dus jij gaat een grote onderneming adviseren op het gebied van veilige email en vervolgens ga je hier informatie vergaren. Ik zou niet graag jouw klant zijn.
09-05-2009, 20:20 door Anoniem
Door cryptomannetje:
......Daar het hier een grote onderneming betreft .......Mooi zou het zijn als het integreert met Outlook of een andere populaire mail client....[/quote]Heb je wel eens aan een PKI gedacht? Die is daar in principe voor uitgevonden, zeker ook voor grote ondernemingen. Adviseer een drie certificaten systeem: encryptie (onleesbaarheid bericht), digitale handtekening (non-repudiation) en integriteit (correcte inhoud bericht). Het kost wel wat, maar dan heb je ook wat.[/quote]PKI is alleen niet zo wijdverbreid in tegenstelling tot OpenPGP/GPG dat hetzelfde doel dient en gemeengoed is en niet eens zo ingewikkeld wanneer de beheerder het hulpprogramma voor de gewenste e-mailclient heeft ingesteld. Bovendien lossen geen van beiden het door Jacco gestelde probleem op van het 'veel informatie blootgeven als de afzender en de ontvanger. Men weet misschien wel niet zo makkelijk wat je hebt verstuurd maar wel naar wie, wanneer, vanaf waar en hoe groot het geen is dat je stuurt.' wat alleen op te lossen is met versleutelde verbindingen van en naar de mailserver(s), minstens middels POP3S, IMAPS en SMTPS.
10-05-2009, 00:23 door Anoniem
PGP is een publiek encryptie systeem, privacy zit er niet in. Integendeel, public keys met naam en email adres kun je zonder meer downloaden vanaf publieke key servers.

Behalve verzender en ontvanger is ook het onderwerp leesbaar bij standaard PGP versleuteling.

Als je wilt verbergen dat er mail wordt uitgewisseld zul je een versleutelde verbinding moeten opzetten.
10-05-2009, 12:49 door Anoniem
He Jacco,

Compliance is een lastig hoofdstuk zeker in combinatie met E-mail.

Ik wil de volgende afwegingen meegeven:
- Indien een bedrijf moet voldoen aan SOX dan dienen communicatie uitingen met financiele kenmerken en / of afspraken zoals email bewaard te worden.
- Daarnaast zijn er andere bewijs en bewaarplicht regels en wetgevingen (Mifid, BIBOB, Archiefwet, BASEL, WTx, etc) een onderneming kunnen verplichten om uitingen te bewaren.

Er zitten een aantal gedachten hierachter.
- Klant (tegen partij) beschermen.
- Door de wetgever inzicht in de financiele gezondheid van het bedrijf. (fraude en / of witte borden criminaliteit, etc).
- Via BIBOB inzicht te krijgen in het gedrag van klanten van het bedrijf.

Je moet dus goed gaan nadenken over de eisen voor integriteit, beschikbaarheid en vertrouwelijkheid.
Gaat het alleen maar om veilig transport naar een selecte groep andere bedrijven: --> Denk is na over TLS.
Gaat het over communicatie naar een grote groep klanten dan: TLS en / of PKI
Gaat het ook om bewijs en bewaarplicht: --> TLS en separate archief server.

Een oplossing als PGP gaat dus slecht werken in een organisatie met enig omvang. Dit doordat:
- Een bedrijf altijd de encryptie sleutels moet hebben omdat de wetgever langs kan komen. PGP is zodanig van opzet dat een (kwaadwillende) medewerker de sleutels kan veranderen. Je kan dan als bedrijf nx meer overleggen.
- Op het moment dat je emails al dan niet versleuteld b.v. 7 jaar moet bewaren (o.a. SOX) dan ontstaat het probleem van een email van 6 jaar oud. Sleutels zijn dan zeker veranderd. Hoe bewaar je al die sleutels, etc.

Dus voor een grote onderneming zal het een PKI of TLS oplossing worden en een separate archief server die op een eigen manier de email berichten zodanig moet opslaan dat deze niet meer te veranderen zijn (door kwaadwillende).

Dan heb je nog het probleem van remote werken (op onveilige netwerken en / of werkplekken).
Op vreemde werkplekken is het niet mogelijk om veilig te werken. (keylog, screendumps, etc).
Via vreemde netwerken is het afhankelijk hoe de informatie geclassificeerd is. Denk is na over virtuele werkplekken. (vmware, citrix, terminalserver, etc) hier draait dan een desktop met email van het bedrijf. Via een remote desktop / isc client / etc kan een SSL VPN tunel worden opgezet via internet.

Oplossing is beheersbaar. past binnen de standaarden van de organsiatie (immers het is een eigen virtuele pc met de eigen email client). Tevens te gebruiken voor thuiswerken.


SUC6

SOFAR RFV
11-05-2009, 06:37 door Anoniem
Door Anoniem: PGP is een publiek encryptie systeem
PGP is een Public Key Infrastructure (PKI).
, privacy zit er niet in. Integendeel, public keys met naam en email adres kun je zonder meer downloaden vanaf publieke key servers.
Op welke wijze en aan wie je public keys beschikbaar stelt is een overwogen keuze die je zelf maakt. Voor het zelfde geld richt je een centraal beheerde corporate pgp-server in, die niet voor derden buiten het bedrijf toegankelijk is, puur voor intern gebruik.

Behalve verzender en ontvanger is ook het onderwerp leesbaar bij standaard PGP versleuteling.
Tenzij je deze niet invult. E-mailversleutelingsoplossingen zijn beperkt tot de body van een bericht waarbij de berichtheaders ongemoeid worden gelaten.

Als je wilt verbergen dat er mail wordt uitgewisseld zul je een versleutelde verbinding moeten opzetten.
Oplossingen als OpenPGP/GPG worden vooral gebruikt als authenticiteitswaarborg van de inhoud en voor bescherming van vertrouwelijke inhoud. Een versleutelde verbinding is noodzakelijk om te voorkomen dat onbevoegden aan gegevens kunnen komen zoals onder andere inlogcodes en gegevens verzonden in de mailheaders.
11-05-2009, 07:42 door Anoniem
Door Anoniem:
Een oplossing als PGP gaat dus slecht werken in een organisatie met enig omvang. Dit doordat:
- Een bedrijf altijd de encryptie sleutels moet hebben omdat de wetgever langs kan komen. PGP is zodanig van opzet dat een (kwaadwillende) medewerker de sleutels kan veranderen. Je kan dan als bedrijf nx meer overleggen.
Probeer daar eens een reproduceerbaar voorbeeld van te geven, hoe een medewerker een sleutel kan veranderen zodat een bedrijf niets meer kan overleggen.

- Op het moment dat je emails al dan niet versleuteld b.v. 7 jaar moet bewaren (o.a. SOX) dan ontstaat het probleem van een email van 6 jaar oud. Sleutels zijn dan zeker veranderd. Hoe bewaar je al die sleutels, etc.
Door middel van een backup.

Dus voor een grote onderneming zal het een PKI of TLS oplossing worden en een separate archief server die op een eigen manier de email berichten zodanig moet opslaan dat deze niet meer te veranderen zijn (door kwaadwillende).
In de lijn van SOx, zouden bedrijven als Enron daar ook wel raad mee weten. In plaats van vrachtwagens vol dossiers te versnipperen simpelweg die server te wissen. Welke e-mail?

En OpenPGP/GPG is een PKI oplossing.
16-05-2009, 15:26 door HyperVisor
Kijk hier eens naar:
http://www.ironport.com/products/ironport_encryption.html
Kost een paar centen, dat wel.
26-05-2009, 16:14 door Anoniem
Wel eens gedacht aan SecureZIP en SecureZIP Mail Gateway in combinatie met Shavlik NetChk Configure. Die oplossingen zijn ontwikkeld voor Windows Server en desktop.
30-05-2009, 15:18 door sjonniev
En laten we ook de SafeGuard MailGateway niet vergeten...

http://go.utimaco.com/safeguard-mailgateway/

GPG, S/Mime,evt. PDFMail, en voor de liefhebbers SGPC en Webmail.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.