webmail seguro - eduardo juchem e luciana schmitz. junho de 2004

Webmail Seguro - Eduardo Juchem e Luciana Schmitz. Junho de 2004

WEBMAIL SEGUROImplantação

WEBMAIL SEGUROImplantação

Trabalho de Conclusão de Curso

Eduardo Juchem

Luciana Schmitz


Orientador

Ricardo Felipe Custódio, D. Sc.

Banca Examinadora

Julio da Silva Dias, M. Eng.

Fabiano Castro

Marcelo Luiz Brocardo, Ms.


TópicosTópicos

Introdução

Correio Eletrônico

Criptografia

S/MIME

Tecnologias Utilizadas

Implantação do Webmail Seguro

Considerações Finais

Agradecimentos


IntroduçãoIntrodução

A importância de um Webmail Seguro.

Objetivo Geral:

Implantação de um Webmail Seguro.

Objetivos Específicos:

viabilidade da implantação do sistema; utilização dos serviços criptográficos.


Correio EletrônicoCorreio Eletrônico

Email (eletronic mail ou correio eletrônico), um dos serviços mais utilizado na internet;

Funcionamento do email:

Vantagens: Instantâneo e não tem custos; Não precisa estar conectado a Internet no momento

em que uma mensagem lhe for enviada;As mensagens são digitais e, portanto, evita o uso de

papel.


Correio Eletrônico – Sistema de emailCorreio Eletrônico – Sistema de email

Clientes de email (Oulook Express, Microsoft Outlook, Eudora, Internet Mail, etc)

Servidores de email, onde ficam armazenadas as mensagens dos usuários.

Protocolo de envio: SMTP (Simple Mail Transfer Protocol).

Protocolos de recebimento: POP(Post Office Protocol); IMAP(Interactive Mail Access Protocol).


Correio Eletrônico – WebmailCorreio Eletrônico – Webmail

Sistemas de Webmail não precisam ser instalados na máquina cliente;

As mensagens do usuário permanecem no Servidor;

Não há a necessidade de configuração do Webmail na máquina do usuário (máquina cliente).


CriptografiaCriptografia

Consiste em cifrar e decifrar uma informação;

O processo de cifragem envolve o conhecimento da chave por ambas as partes;

Se a pessoa possui a chave certa terá acesso a informação decifrada.


Criptografia – Chave SimétricaCriptografia – Chave Simétrica

Criptografia por chave simétrica ou chave secreta;

O processo de cifragem envolve o conhecimento da chave por ambas as partes;

Garantir o sigilo na transmissão da chave é o principal problema;

Tem por vantagem a rapidez no processo de cifragem/decifragem.


Criptografia – Chave AssimétricaCriptografia – Chave Assimétrica

Características Duas chaves: pública(divulgada) e privada(não é

divulgada); Depende de uma AC-Autoridade Certificadora; Elimina o problema do sigilo na transmissão da

chave;

Autenticação:Autenticação e Sigilo:


Criptografia – Vantagens e Criptografia – Vantagens e DesvantagensDesvantagens

Vantagens da criptografia por chave pública:

Não há necessidade de compartilhamento da chave privada;

As assinaturas digitais não podem ser repudiadas;

Desvantagens da criptografia por chave pública:

Velocidade. Métodos de criptografia por chave secreta são mais rápidos que por chave pública.


S/MIME – RFC822S/MIME – RFC822

A IETF é responsável pelos formatos de padrões de documentos desenvolvidos, que são as RFCs – Request for Comment, numeradas sequencialmente;

Estrutura básica de uma mensagem: Cabeçalho: Date: (Data),

From: (De), To: (Para), Subject: (Assunto);

Linha em branco; Corpo da Mensagem.


S/MIME – RFC822S/MIME – RFC822

Um exemplo de uma mensagem de email seria:

Date: Tue, 16 Jan 2004 12:17:45 (EST)From: ”Luciana Schmitz”[email protected]: [email protected]: Sintaxe segundo RFC 822

Olá. Aqui inicia o corpo da mensagem, separado por uma linha em branco do cabeçalho.


S/MIME – MIMES/MIME – MIME

Significa Multiparte de Extensões do Correio Eletrônico e provém das RFCs 2045 a 2049;

Tem por objetivo solucionar as limitações do protocolo SMTP;

Com o surgimento do MIME: cinco campos de cabeçalho de mensagem

foram criados; a padronização das representações de suporte a

conteúdos multimídia; codificações de transferências são definidos

permitindo a transmissão de conteúdo sem perdas ou alterações dos dados e informações.


S/MIME – S/MIMES/MIME – S/MIME

Em 1995 surgiu o protocolo S/MIME codificado pela RFC2311;

Com o objetivo de prover:

Autenticidade e Integridade (utiliza assinaturas digitais);

Confidencialidade ou sigilo(algoritmos criptográficos simétricos);

Não Repúdio (pelas mensagens assinadas criptograficamente).


Tecnologias UtilizadasTecnologias Utilizadas

Sistema Operacional: Fedora Core 1 e Open BSD.

Servidor Web: Apache, oferece suporte HTTP e a SSL .

Sistema de Webmail: Foi escolhido o sistema IMP do Projeto Horde;

PHP, linguagem de script do IMP;

SSL, protocolo para criptografia e autenticação baseada em seção;

MySQL, um dos banco de dados padrão em distribuição linux.


IWS – Sistema de WebmailIWS – Sistema de Webmail

Servidor de Webmail = IMP + PHP + Apache

Utiliza o protocolo IMAP para transporte de mensagens de um mesmo domínio, onde fica o “túnel” seguro (SSL);


IWS – Sistema de Webmail IWS – Sistema de Webmail – Lendo – Lendo mensagensmensagens

Lendo e organizando mensagens no Webmail IMP:

USUÁRIO

não

O usuário conecta via browser

o endereço do domínio

conecta

Status de cliente, via HTTPS entra no

túnel seguro.

loga no sistema

sim

Caixa de Entrada

Agente Local de Distribuição

IMP + PHP + APACHE

SERVIDOR WEBMAIL

Agente Transporte

IMAP + SSL


IWS – Sistema de Webmail IWS – Sistema de Webmail – Enviando – Enviando mensagensmensagens

Envio de mensagens no Webmail IMP:

IMP + PHP + APACHE

SERVIDOR WEBMAILUSUÁRIO

conecta

loga no sistema

não

O usuário conecta via browser o endereço

do domínio

Status de cliente, via HTTPS entra no

túnel seguro.

sim

Agente Transporte

SMTP


Caixa de Entrada

Outros Domínio


Caixa de Entrada

Mesmo Domínio

SMTP


IWS – Características de UsoIWS – Características de Uso

Durante o envio, a mensagem estará vulnerável a qualquer tipo de ataque;

Nossa preocupação está na proteção desta mensagem assim que ela sai do domínio em questão;

O usuário terá que ter um par de chaves (pública e privada) e fazer sua importação no sistema de webmail;

Quando quiser utilizar a criptografia nas mensagens, poderá então utilizar as chaves.


IWS – Instalação do Webmail IMPIWS – Instalação do Webmail IMP

Configuração do AmbienteConfiguração do Ambiente

Estas seguintes configurações são necessárias para a instalação da versão CVS do Horde e do IMP. O número de pacotes varia conforme o SO:

DNS(Domain Name System): configurado conforme determinação do administrador da rede;

MTA (Mail Transfer Agent); IMAP(Internet Message Access Protocol); MySQL: escolhido por ser o mais utilizado em

distribuições Linux; Apache2: servidor Web; SSL: presente em distribuições Linux.



Configuração do AmbienteConfiguração do Ambiente

PHP: Verificar quais os pacotes que estão disponíveis

para serem instalados, e instalar TODOS com algum gerenciador de pacotes;

Para a distribuição Fedora Core-1 usada no ambiente de testes os pacotes disponíveis eram:

-php-imap.i386 0:4.3.4-1.1-php-xmlrpc.i386 0:4.3.4-1.1-php-odbc.i386 0:4.3.4-1.1-php-domxml.i386 0:4.3.4-1.1-php.i386 0:4.3.4-1.1-php-ldap.i386 0:4.3.4-1.1

-asp2php.i386 0:0.76.2-6-php-pgsql.i386 0:4.3.4-1.1-php-mysql.i386 0:4.3.4-1.1-php-devel.i386 0:4.3.4-1.1-asp2php-gtk.i386 0:0.76.2-6



Horde, IMP e FrameworkHorde, IMP e Framework

Ir para o diretório base do http. Exemplo: /var/www/hmtl/ e usar os comandos:

export CVSROOT=:pserver:[email protected]:/repository

cvs login

Primeiramente deverá ser feito o download do pacote Horde. Dentro de /var/www/html/ digitar o comando:

cvs co horde

Isto irá criar um diretório “horde” dentro de /var/www/html/



Horde, IMP e FrameworkHorde, IMP e Framework

Dentro de /var/www/html/horde/ baixar os pacotes restantes:

cvs co impcvs co framework

Dentro do diretório framework instalar os pacotes com:

php install-packages.php



Configurando o HordeConfigurando o Horde

O horde tem como padrão distribuir apenas os arquivos .php.dist para serem gerados os .php. Isto é feito através do comando:

•for foo in *.dist; do cp $foo ‘basename $foo .dist‘; done

•Configurar o horde para funcionar apenas em um ambiente seguro (https).

•Criar o banco de dados MySQL que será usado pelo Horde para guardar as configurações dos usuários do sistema.

•Conferir se as configurações estão ok, abrindo o navegador e indo em http://localhost/horde



Janela de acesso ao HordeJanela de acesso ao Horde

A janela de acesso ao horde deverá aparecer.



Importando as Chaves S/MIMEImportando as Chaves S/MIME

IMP não aceita chaves no formato pkcs#12. Apenas no formato pkcs#7.

As chaves usadas para testes neste trabalho foram geradas utilizando as funcionalidades do OpenSSL.




Clicando em “Import Keypair” você irá entrar com as suas chaves pública e privada, separadamente.




Suas chaves pública e privada estarão adicionadas ao seu perfil.

A cada seção aberta no IMP, na primeira mensagem que você utilizar sua assinatura digital, você terá que fornecer a senha (Passphrase) utilizada para gerar o arquivo com a sua chave privada.




DEMONSTRAÇÃO…



Lendo um email assinado com S/MIME no Lendo um email assinado com S/MIME no OutlookOutlook

No Outlook a mensgem assinada com um email que seja diferente do email do remetente, também irá advertir este fato, como mostrado abaixo:


Considerações FinaisConsiderações Finais

Vantagens e importância de se implantar um sistema de Webmail Seguro;

Problema na questão do armazenamento das chaves privadas pelo IMP;

Por estarem armazenadas em um banco de dados, as chaves estão sujeitas a outras formas de ataque as quais não dependam da segurança oferecida por um protocolo seguro(https);

Assim, a segurança oferecida pelo túnel seguro, garante sigilo apenas durante a conexão com o Webmail.


Trabalhos FuturosTrabalhos Futuros

Desenvolvimento de uma tecnologia que supra a deficiência apresentada pelo IMP em relação ao armazenamento das chaves privadas.

Forma como esta tecnologia irá interagir com o IMP ou outro Webmail, para armazenar as chaves privadas.

Estudo de uma solução para o processo de cifragem das mensagens eletrônicas no IMP.


ComentáriosComentários

COMENTÁRIOS

CRÍTICAS

SUGESTÕES

. . .


AgradecimentosAgradecimentos

Ao amigo, Leonardo Neves Bernardo;

Aos pais, pela ajuda e apoio;

Aos namorados, pela compreensão e ausência nos finais de semana;

Ao orientador, pela idéia do projeto;

Aos amigos e colegas do curso;

À família 992, a pior turma de todos os tempos…


Fim...Fim...

F I MF I MF I M

webmail seguro - eduardo juchem e luciana schmitz. junho de 2004

Documents