[LACNIC/Seguridad] SquirrelMail

Anatoly Alexei Pedemonte Ku apedemonte en gmail.com
Lun Mayo 15 15:04:03 BRT 2006 

Estimado Hugo Pablo:

Squirrelmail es un cliente webbbb, y como veras tu lees tu correo,
utilizando el protocolo http y te autentificas localmente al servidor ya sea
con imap4 o pop3,(lamentablemente estos protocolos no manejan encriptacion
de datos, y puedes averiguarlo tu mismo ejecutando tcpwarpers o ethereal o
cualquier otro sniffer, en tu maquina localmente, y veras que la información
u autentificación es totalmente en texto plano lo mismo sucede con el pop3 e
imap4), pero si pones mas atención en el tema, y me disculparas si soy un
paranoico en la seguridad, para tu caso es mejor encriptar la información en
el protocolo http y luego el imap4 o pop3, ahora  estos 2 ultimos protocolos
corren localmente en el servidor de correo, no significa que asi tal como
son, debieran estar seguros por que corren localmente, pero sinceramente, la
verdad es que estan totalmente abiertos al husmeo por que la informacion es
clear text, creo que al menos en la informatica no se puede subestimar los
escenarios.

Bueno solucion al problema es que deberias aplicar los estandares mas
conocidos en el medio, aplicar el SSL, todo depende del servidor que corres
en el http y en imap4 y pop3. Para todo esto aplicar http-ssl, imap4-ssl o
pop3-ssl, ya que puedes utilizar el mismo CA y certificado raiz en todos
estos protocolos.... Solo basta saber como generarlo con open-ssl, googlea
como implementar ssl para http, imap4 o pop3

Es cierto Squirrelmail, maneja el protocolo imap, pero tambien pop3 y otros
mas,  pero si te das cuentas estos protocolos se les puede dar un grado de
seguridad gracias a que se puede complementar con SSL, como te explico
lineas arriba y squirrelmail es abierto a aceptar autenticación bajo
protocolo imap4-SSL con el puerto 993  y pop3-SSL con el puerto 995, para
que no envias  las contraseñas en texto plano, tambien debes de asegurarar
el SMTP (para envio), aplicando muchas estándares como SMTP-AUTH+SSL/TSL.

la configuracion en el squirrelmail para  estos protocolos, puedes
configurarlo con el script en Perl, en esta  ruta default con RedHat

 /usr/share/squirrelmail/config/conf.pl


Si tienes entendido de como funciona el SSH, es casi análogo a como debe
trabajar  el IMAP4-SSL, siempre hay un certificado de por medio. Asi que te
recominedo utilices  SSL en cuaquiera de estos protocolos, tambien puedes
hacer tu husmeo aplicando imap4-SSL o pop3-SSL, veras que la autentificacion
es totalmente  cifrada y no muestra nada  entendible... Esto si lo trabajas
desde un cliente tipo outlook.

 

Espero te haya al menos orientado en el tema....

-----------------------------------------------------------
 Anatoly Alexei Pedemonte Ku
 RAGE SYSTEMS S.A.C.
  <http://www.ragesys.net> http://www.ragesys.net
 Av. Juan Pascal Pringles 1225 (ex- La Fontana) - LA MOLINA
 LIMA - PERU
 Teléfono: 511.7962262
 Móvil: 511.97167435
-----------------------------------------------------------
Este correo y su contenido son confidenciales y exclusivos para su
destinatario. Si usted recibe este mensaje por error o no es el destinatario
del mismo, por favor sírvase eliminarlo y notificarle a su originador. Así
mismo, todas las ideas y reflexiones expresadas en esta comunicación
corresponden al originador del correo y NO representa la posición oficial de
su empleador.
----------------------------------------------------------------------------
----------------------------------------------------------
This email is intended only for the addressee(s) and contains information
which may be confidential, legally privileged. If you are not intended
recipient please do not save, forward, disclose or copy the content of this
email. Please delete it completely from your system and notify
originator.Finally, all ideas expressed in this communication are personal
comments and NOT represent official position of his employer.
----------------------------------------------------------------------------
----------------------------------------------------------

-----BEGIN PGP PUBLIC KEY BLOCK-----
Version: GnuPG v1.4.3 (MingW32)
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=e5cb
-----END PGP PUBLIC KEY BLOCK-----


-----Mensaje original-----
De: seguridad-bounces en lacnic.net [ <mailto:seguridad-bounces en lacnic.net>
mailto:seguridad-bounces en lacnic.net] En nombre de Hugo Pablo
Enviado el: Viernes, 12 de Mayo de 2006 08:44 p.m.
Para: seguridad en lacnic.net
Asunto: [LACNIC/Seguridad] SquirrelMail

¡ Hola Lista !

    Tengo RH 7.3 con sendmail.
     Le instale Spamassassin y SquirrelMail
    Ya funciona todo.
     Pero tengo unas dudas.
     Tengo entendido que SquirrelMail usa el protocolo imap para manejar el
correo.
     Mi duda es ¿ el protocolo imap es encriptado como el secure shell ?
     de no ser asi ¿ como puedo configurarlo para que sea encriptado ?
      Lo anterior es con la finalidad de que los login y passwords de los
usuarios al consultar el correo no viajen como texto plano

¡ Gracias !

HPL
_______________________________________________
Seguridad mailing list
Seguridad en lacnic.net
 <http://lacnic.net/mailman/listinfo/seguridad>
http://lacnic.net/mailman/listinfo/seguridad 

------------ próxima parte ------------
Se ha borrado un adjunto en formato HTML...
URL: <https://mail.lacnic.net/pipermail/seguridad/attachments/20060515/d17cc01f/attachment.html>
------------ próxima parte ------------
A non-text attachment was scrubbed...
Name: smime.p7s
Type: application/x-pkcs7-signature
Size: 3692 bytes
Desc: no disponible
URL: <https://mail.lacnic.net/pipermail/seguridad/attachments/20060515/d17cc01f/attachment.bin>

Más información sobre la lista de distribución Seguridad