Исследование сетевых сервисов на примере клиентского почтового протокола POP3^(X)

Н.Г.Ляпичева, А.М.Терентьев

Электронная почта, или E-Mail, в корпоративных сетях является одним из наиболее известных пользователям сетевых сервисов. Общение с помощью электронной почты стало одной из самых давних базовых услуг Интернета, нисколько не снизившей своих функций с быстрым его развитием. Качество функционирования E-Mail во многом определяет успешность и стиль работы организации. С точки зрения сетевого администрирования, в средних и крупных сетях обычно имеется несколько поддерживающих почтовых серверов с распределенными функциями. В небольших сетях, как правило, эти функции объединены на одном почтовом сервере, служащем и как транспортный агент, и как пользовательский сервер, а также обеспечивающем процедуры антивирусной и противоспамовой обработки электронной почты. Как правило, транспортные серверы работают по стандартным протоколам обмена электронной почтой (SMTP, ESMTP), а получение почты пользователями из ящиков производится посредством различных протоколов, как давно известных (POP2/POP3, IMAP), так и более современных, включающих в себя шифрование (POPS, IMAPS) и других вариантов клиентских и прокси протоколов: hybrid-pop, ironmail и т.д. В данной работе, в основном, рассматривается получение почты по протоколу POP3 [1] (порт 110) с почтового сервера клиентом по инициативе последнего.

Поясним для неспециалистов, что имеются в виду сеансы связи с помощью почтовых программ типа Microsoft Outlook, Outlook Express, The Bat!, причем только получение почты, но не отправка. Интерактивная работа с почтовыми ящиками через браузеры (по протоколу http) здесь не рассматривается.

Процесс приема почты является весьма удобным для рассмотрения сетевым сервисом по следующим причинам. Данный сервис существует практически в любых сетях, известен и многократно описан. Он интуитивно понятен пользователям-непрофессионалам (в отличие от работы, скажем, DNS или NAT [2]). Функциональная нагрузка этого сервиса напрямую зависит от осознаваемой активности пользователей и уровня их знаний в настройке собственного ПК.

Получение пользователями корпоративной сети ЦЭМИ РАН пришедших писем осуществляется по следующей схеме (см. рис. 27). Основная прибывающая почта после обработки на шлюзе smtprelay.cemi.rssi.ru передается на основной транспортный сервер (Mail Relay) is1 193.232.194.51 (на рис. 27 ip-адреса обозначены своими двумя последними компонентами). Далее почта частично переносится на основной сервер локальной сети Server1, а часть поступает непосредственно пользователям, имеющим почтовый ящик на is1 (например, большинство пользователей DialUp имеют ящики на этом сервере).

Таким образом, стандартно пользователи КВС обращаются за почтой на Server1. Однако, в КВС присутствует также ряд почтовых серверов, получающих почту своих пользователей самостоятельно. Ряд пользователей обращается за почтой именно к этим серверам (быть может, в дополнение к основному серверу). Наконец, у ряда пользователей КВС существуют почтовые ящики на внешних (в основном бесплатных) серверах в Интернете, куда они также периодически обращаются за почтой.

Рассматривая пользователей-клиентов электронной почты по местоположению ПК, с которого производится обращение, можно условно выделить «внутренних» пользователей по отношению к рассматриваемой КВС и «внешних». В свою очередь, из «внутренних» можно выделить «удаленных» (получающих доступ по телефонным каналам через сервер удаленного доступа) и «административных», имеющих доступ на сервер is1. Таким образом, «внутренние» пользователи могут получать почту как с различного ранга серверов КВС, так и с внешних серверов. «Удаленные» и «административные» пользователи также имеют возможность получения почты как с административного или общего сервера, так и с прочих внутриинститутских, а также внешних серверов. Наконец, «внешним» пользователям из Интернета также открыт доступ для приема почты со всех означенных серверов.

Такая схема сложилась исторически. Ряд научных коллективов, разрабатывая актуальные когда-то проекты, построили свои внутриинститутские почтовые сервера со своим коллективом пользователей, которые продолжают действовать даже после окончания проекта или ухода сотрудников. Разумеется, и ряд сотрудников института, бывая в командировках, получает почту с указанных серверов через Интернет.

Рис. 27. Схема получения почты с почтовых серверов в КВС ЦЭМИ РАН

Существующие методы исследования различных аспектов описанных процессов обычно реализуются либо встроенной системой учета на самих почтовых серверах, либо дополнительными программными средствами, устанавливаемыми на маршрутизаторах и/или коммутаторах. Разумеется, учет при этом ведется в разных единицах, результаты бывают фрагментарны и не дают общей картины.

Рис. 28. Попытки установления контактов по POP3 с серверами КВС ЦЭМИ РАН

Так, например, установленный на маршрутизаторе Cisco-7206 программный Firewall, основной функцией которого является ограничение доступа в КВС по ip-адресам [3], дает результаты в TCP-сессиях. На рис. 28 показана сводная статистика попыток установления сессий по клиентским протоколам с почтовыми серверами КВС ЦЭМИ из Интернета (представлена накопительная диаграмма) за 3 года. Как видим, почтовые POP3-сессии устойчиво составляют около 80% от всех успешных почтовых контактов (в «Прочие разрешено» включены также сессии по протоколам IMAP, POPS и IMAPS). Далее, можно видеть, что в 2003 г. по сравнению с 2002 число попыток контактов с внутриинститутскими серверами уменьшилось вдвое, однако количество отказанных попыток (обращения к ПК, не являющимся официальными почтовыми серверами) увеличилось впятеро. Иными словами, хакерская активность возросла в 10 раз. В 2004 г. наблюдается падение потока запросов из Интернета к ПК, не являющимся почтовыми серверами («POP3 отказано») почти в два раза, что может быть объяснено потерей интереса к сканированию ip-адресов в связи с недоступностью большинства ПК по указанному протоколу.

Однако, естественным было бы предположить, что значительный поток запросов на установление POP3-сессии проходит внутри КВС и не может быть учтен в данном графике. Кроме того, получение статистических данных «в TCP-сессиях» не позволяет решить вопрос правомерности идентификации пользователя на соответствующем почтовом сервере. Иными словами, приведенные данные еще не свидетельствуют об успешности этих попыток.

Вообще говоря, вопросы правомерности идентификации пользователей и количество отказов в доступе почтовым клиентам могут быть протоколированы на почтовых серверах. Кроме того, каждый пользователь имеет возможность включить протоколирование работы почтового клиента в своем ПК и собрать соответствующую статистику (пример протокола почтового клиента Outlook Express на отдельном ПК см. на рис. 29): Однако, аналитические данные по отдельным почтовым серверам и ПК, входящим в КВС ЦЭМИ РАН, к настоящему времени не были опубликованы.

Рис. 29. Фрагмент протокола работы Outlook Express на пользовательском ПК

Рассмотренные виды статистики, представляется, имеют один общий недостаток. Представленные данные носят односторонний характер, в силу чего их трудно сопоставить с общей обстановкой в КВС. Отсутствие сравнительных данных не дает возможности строить эффективную системную политику в отношении почты как сетевой сервисной услуги пользователям, не позволяет говорить о приоритетах и не вскрывает возможные недостатки.

Метод комплексного сетевого мониторинга, предложенный в [4], с конца 2001 г. включил в себя исследование почтовых сеансов POP3. Как известно [5], основным технологическим методом указанного мониторинга является низкоуровневое в смысле модели ISO-OSI наблюдение сетевых пакетов по отдельности, без восстановления транспортных стэков TCP/IP и тем более прикладного уровня. Однако, в ходе исследований было установлено, что инициирующая начало почтового сеанса по протоколу POP3 транзакция формируется всегда в виде отдельного сетевого пакета, имея в теле TCP строку вида “USER xxx.x” с именем пользователя. Аналогично, если сервер подтвердил открытие POP3-сессии с указанным именем пользователя, после положительного ответа сервера запрашивающий сессию абонент подает второй отдельный сетевой пакет со строкой “PASS yyy...y”.

Рис. 30. Фрагмент лога наблюдающей станции с контактами по POP3 и FTP

С версии 2.80 программное обеспечение наблюдающей станции начало фиксировать эти пакеты для определения фактов установления почтовых сессий в протоколе работы. С тех пор данные о точном отображении инициации сеанса неоднократно менялись. Так, выяснилось, что ряд особым образом настроенных почтовых программ, осуществляющих групповые запросы на прием почты, посылает только одну строку “USER”, соответствующую нескольким сеансам связи, поэтому истинно состоявшиеся сеансы следует фиксировать только по строкам “PASS”. Далее, оказалось, что аналогичные строки используются не только в сеансах POP3, но и в протоколе FTP, поэтому среди отобранных строк следует осуществлять фильтрацию по номеру порта 110. Соответственно этому, в процессе совершенствования сетевого мониторинга неоднократно менялся формат регистрации клиентских запросов в логе, и в настоящем виде эти сообщения имеют вид, показанный выше на рис. 30 (пароли POP3 заменены звездочками). Анализ приведенного фрагмента протокола позволяет сделать ряд выводов.
• Ряд пользователей обращается за почтой ежеминутно, существенно увеличивая трафик в КВС и загружая POP3-серверы, что приводит к задержкам доступа к ним других пользователей.
• Ряд пользователей (строка от 14:32:42 приведенного фрагмента протокола, пользователь sergep) обращается за почтой незаконно, не являясь сотрудниками ЦЭМИ РАН.
• Некоторые ПК (строки от 14:30:09 и от 14:30:18), получая почту с различных внешних серверов, сами являются внутренними почтовыми серверами, в том числе для внешних пользователей (т.е. на таких ПК установлены и POP3-клиент, и POP3-сервер для внешних пользователей).
• В ряде случаев при высокой загрузке сети строки “USER” и “PASS” могут не обязательно следовать друг за другом непосредственно: между ними могут появиться прочие строки протокола НС (строки от 14:30:46).
• Поскольку мониторинг сети не обязательно является сплошным, и всегда существует возможность пропуска отказанных к обработке пакетов (подробнее см. в [6]), не говоря уже о существующих технологических перерывах мониторинга для фиксации текущих данных, то полной уверенности в отражении в протоколе абсолютно всех состоявшихся сеансов быть не может (строки от 14:31:45).
• Подтверждено наличие хакерских попыток подбора паролей или организации атак типа DoS на почтовый сервер ЛВС ЦЭМИ по широко известным логинам (строка от 14:33:30 – идентификатор alex был удален 26.08.2004, а почту не получал с 25.03.1998).

Совокупный анализ ряда протоколов за сентябрь 2004 г позволил также обнаружить попытку сканирования всех доступных почтовых серверов по логину root, обычно обладающему административными правами, с возможной целью взлома. Источник действовал из США через Verizon Internet Services, с ip-адреса 068.163.044.042.

Как видим, попытки фиксации почтовых сеансов данным методом имеют неопределенности и обладают определенной погрешностью. Поэтому, обсуждение результатов, полученных ниже, должно проводиться с пониманием того, что полученные результаты являются зафиксированным минимумом состоявшихся почтовых сеансов, число которых в реальности может быть несколько больше. Проведенный далее в статье анализ развития трафика почтовых сеансов выполнен на основе совокупного взаимосвязанного подсчета строк “USER” и “PASS” в протоколе и является более точным, чем моментальное отображение сеансов на экранах наблюдающей станции [6], исполняемое только на основании пакетов “USER”.

Далее, в соответствии с уточненным пониманием сетевого мониторинга в условиях эксплуатации коммутатора Cisco Catalyst-2924 [7], не всякий сеанс POP3 в КВС ЦЭМИ может быть отслежен. На рис. 27 можно видеть, что связь удаленных пользователей с внешними почтовыми серверами коммутируется на уровне Cisco-7206, выше мониторируемого коммутатора, и таким образом не может быть прослежена. Сводная таблица возможности мониторинга различных типов пользователей с разными серверами дана в табл. 8.

Табл. 8. Возможность мониторинга POP3-контактов к серверам КВС

При разработке статистической программы обработки логов учтены указанные выше особенности. Объединяя внутренних и административных пользователей, а также внутренние и служебные сервера, имеем 4 основные группы регистрируемых почтовых сеансов:
• от внутренних пользователей к внутренним и служебным серверам;
• от внутренних пользователей к внешним серверам;
• от удаленных пользователей к внутренним и служебным серверам;
• от внешних пользователей к внутренним и служебным серверам.

На рис. 31 показано состояние этих сервисов за месяц. Отчетливо заметны недельные изменения. Лидирующее число запросов было во вторник, 07 числа.

Рис. 31. Запросы POP3-клиентов в КВС ЦЭМИ РАН за сентябрь 2004 г.

Легко видеть, что число запросов внешних пользователей устойчиво и намного превышает совокупные запросы внутренних и удаленных пользователей, т.е. тех, для обеспечения которых, в первую очередь, и существует корпоративная сеть института. За последние 3 года эти тенденции все более растут. В связи с этим хотелось бы указать, что 86% вирусов и сетевых червей в настоящее время берут свое начало именно из электронной почты.

Другую любопытную особенность вскрывает следующий шаг анализа почтового сервиса. Фиксация строк USER и PASS в ежедневном протоколе наблюдающей станции не могла не спровоцировать нас на вопрос о равномерности потребления почтовых услуг разными пользователями. Увы, и в этом вопросе наблюдается очевидное, несправедливое и все более увеличивающееся неравенство: незначительное число отдельных лиц загружает своими обращениями почтовые сервера в десятки раз больше, чем все остальные пользователи, взятые вместе. На рис. 32 даны числа обращений различных пользователей к серверам за тот же месяц, что и на рис. 31.

Рис. 32. Количество POP3-абонентов в КВС ЦЭМИ РАН за сентябрь 2004 г.

Видно, что из общего числа почтовых ящиков внутри ЛВС ЦЭМИ РАН (не менее 230) используется не более 110 за день (в среднем, 74). Также видно, что число абонентов почтовых ящиков на серверах Интернета составляет в среднем около 20% от числа абонентов внутри ЛВС ЦЭМИ РАН, т. е. каждый пятый активный пользователь имеет дополнительный почтовый ящик в Интернете. Число внешних абонентов (включая и отвергнутые попытки обращения извне к несуществующим пользователям, и доступ сотрудников через Интернет) достигает в среднем 30% от общего числа абонентов.

Из рис. 32 следует, что число внешних абонентов почтовых ящиков внутренних серверов (верхняя область) как минимум в 4 раза ниже прочих. Однако, на рис. 31 ясно видно, что те же внешние абоненты дают более половины всех почтовых сеансов. Для лучшего обозрения сказанного приведем таблицей один типичный день (табл. 9).

Табл. 9. Число зарегистрированных POP3-запросов 04 октября 2004 г.

Как видим, действительно основную нагрузку на почтовые сервера дают внешние абоненты. Средства сетевого мониторинга позволяют выяснить поименно, кто именно и откуда дает наибольший поток вызовов. Табл. 10 показывает полный список обращений к почтовым серверам за тот же день, агрегированный по числу однотипных обращений одного и того же пользователя к одному и тому же серверу. Список отсортирован в убывающем порядке по числу обращений.

Результаты весьма красноречивы. Максимум обращений выполнен из Интернета, причем первое место держат внешние обращения к неофициальному серверу.

Табл. 10. Сводка POP3-запросов к почтовым серверам 04 октября 2004 г.

Анализируя списки имен пользователей-абонентов почтовых ящиков за заметный период по всем почтовым серверам, можно также видеть неравномерность распределения запросов. Достаточное представление об этом дает приведенная в табл. 11 месячная сводка.

Табл. 11. Сводка POP3-запросов к почтовым серверам за сентябрь 2004 г.

Наконец, интерес представляет «почтовая компонента» в общем трафике. В этой связи следует отметить, что собственно трафик POP3 средствами существующей версии сетевого мониторинга возможно выделить только там, где он составляет единственную компоненту взаимосвязи между двумя сетевыми адаптерами с известными MAC-адресами. В мониторируемых ПК, к счастью, есть одна такая составляющая: это пересылки от административного (is1) сервера КВС основному почтовому серверу ЛВС (Server1), между прочим, соотносимые с трафиком всех POP3-пользователей сервера Server1. Обращаясь к рис. 27, видим, что трафик указанной пересылки является входящим в ЛВС. Поэтому естественно сравнить его с общим потоком поступающей из Интернета информации. Собственно, именно эти два трафика и являются основными входящими в ЛВС, помимо обращений из DialUp к отдельным ПК ЛВС. Почасовой анализ (рис. 33) обоих названных компонент входящего трафика все за тот же день показывает, что трафик основного почтового сервера по протоколу POP3 по своим объемам составляет заметную долю в ЛВС только ночами, при весьма низких абсолютных значениях трафиков.

У авторов статьи есть основания полагать, что гораздо более заметную долю входящего из Интернета трафика составляет POP3-трафик прочих почтовых серверов. Однако, для получения этих данных следует доработать мониторную программу, наделив ее «умением» выделять из общего компоненты трафика, относящиеся к нужному протоколу.

Рис. 33. Общий трафик из Интернета и POP3-трафик Server1 за 04.10.2004 г.

Основным результатом проведенных исследований является назревшая необходимость выработать и внедрить политику работы пользователей с электронной почтой с учетом аспектов информационной безопасности. При этом затронуть следующие аспекты.
• Пересмотреть имеющийся список внешних пользователей всех почтовых серверов с целью постепенного исключения всех ящиков и перевода пользователей на основные почтовые серверы. В перспективе – закрыть все почтовые серверы, кроме административного и основного.
• Резко ограничить или запретить вообще обращения внутренних пользователей к внешним почтовым серверам с целью предотвращения вирусных эпидемий в КВС ЦЭМИ.
• В целях существенного снижения нагрузки почтовых серверов ЛВС ЦЭМИ РАН рекомендовать установить пользователям предельное число обращений к почтовому серверу в сутки (рекомендуемое значение – 12).

Следует также рекомендовать провести аналогичные исследования в отношении других использующихся клиентских протоколов приема почты, а также отдельно рассмотреть SMTP-протокол посылки почты и SMTP-трафик внутри ЛВС ЦЭМИ РАН.

Изложенную методику сетевого мониторинга клиентского протокола почты POP3 интересно было бы применить к иным сетевым сервисам, таким, как FTP, ICMP и DNS.

Литература

1. Myers J., Rose M., "Post Office Protocol – Version 3"// STD 53, RFC1939, May 1996
2. Doyle Jeff, DeHaven Jennifer Carroll. Routing TCP/IP, Volume II (CCIE Professional Development) 1st Edition. // Indianapolis: CiscoPress.; April 2001; Pages: 976
3. Ляпичева Н.Г. Информационные сервисы и обеспечение их защиты от несанкционированного доступа из Интернет. / Использование и развитие современных информационных технологий в научных исследованиях. Сборник статей под ред. М.Д. Ильменского - М: ЦЭМИ РАН, 2003, с. 32 - 63.
4. Терентьев А.М., Винокуров А.Е. Методы аудита локальных сетей в MS-DOS /Вопросы информационной безопасности узла Интернет в научных организациях. Сборник статей под ред. М.Д. Ильменского - М: ЦЭМИ РАН, 2001, с. 79 - 83.
5. Терентьев А.М. Методы и средства наблюдения загрузки локальных вычислительных сетей на примере ЦЭМИ РАН / Препринт #WP/2001/110 - М.: ЦЭМИ РАН, 2001, 74 с.
6. Терентьев А.М. Построение и развитие системы сетевого мониторинга. / Развитие и использование средств сетевого мониторинга и аудита. Вып. 1. Сборник статей под ред. А.М.Терентьева - М.: ЦЭМИ РАН, 2004, с. 5-23.
7. Терентьев А.М., Ляпичева Н.Г., Кочетова Н.А. Мониторинг корпоративной сети ЦЭМИ РАН в условиях использования коммутатора Cisco Catalyst-2924. / Развитие и использование средств сетевого мониторинга и аудита. Вып. 1. Сборник статей под ред. А.М.Терентьева - М.: ЦЭМИ РАН, 2004, с. 75-87.

¹Фрагментом сети будем считать часть ЛВС, относящуюся к одному порту Cisco Catalуst-2924

^(X)Работа выполнена при финансовой поддержке РФФИ, проект N 04-07-90260в

Статья опубликована в 2004 г.