Securitate IT

Securizarea serverelor Exchange
 
Exchange Server 2000 si Exchange Server 2003 includ o serie de facilitati ce permit securizarea mesajelor de e-mail. Vom începe cu prezentarea facilitatilor comune de securitate specificând acolo unde facilitatile de securitate sunt prezente doar la Exchange 2003.

Exchange Server poate avea mai multe roluri în cadrul unei retele:
• Server unic – care are toate rolurile: server de mailbox-uri, public foldere, bridgehead etc.
• Front-end, Back-end – aceasta configuratie permite separarea serverelor care gazduiesc mailbox-urile si public folderele (back-end) de serverele de protocoale care accepta conexiunile clientilor (front-end) pentru a obtine scalabilitate si un nivel sporit de securitate.
• Bridgehead – este serverul care detine conectorii de mesagerie catre exteriorul retelei si permite filtrarea mesajelor care circula în si dinspre exterior. Aici putem instala solutii de antivirus, antispam, content screening, security screning.
• Public folder server – gazduieste folderele publice la care au acces mai multi utilizatori din retea. Poate fi folosit la realizarea de solutii de management de documente si flux de lucru.
• Application hosting – servere pe care ruleaza aplicatii specializate pentru Exchange.

La fel ca si la alte servere, securitatea Exchange depinde de securitatea sistemului de operare pe care ruleaza Exchange unde vom aplica masuri de securitate asemanatoare cu cele descrise pâna acum. Exista template-uri de securitate specifice pentru serverele care ruleaza Exchange ce permit executia pentru serviciile componente.
Exchange depinde foarte mult de infrastructura de DNS si infrastructura Active Directory pentru a putea functiona corect, acestea fiind cerinte preliminare la instalare si trebuie sa fie bine securizate.
Ca masuri elementare de securitate, serverele Exchange nu trebuie sa pemita relay-ul de e-mail decât de la anumite adrese bine cunoscute sau de la clientii interni. Trebuie dezactivata optiunea SMTP AUTH care este predispusa la atacuri brute force.

Serverele bridgehead (cele care gazduiesc conectorii catre exterior) sunt locatia cea mai potrivita pentru instalarea de solutii de antivirus si antispam pentru a evita patrunderea continutului potential periculos sau deranjant în sistemul de mesagerie intern. Deoarece solutiile de tip antivirus sunt mai bine cunoscute, vom insista asupra solutiilor de limitare a spam-ului. Un astfel de sistem contine o serie de filtre care analizeaza mesajele dupa diverse metode cum ar fi verificarea sursei mesajului, analiza headerului, analiza dupa cuvinte cheie, analiza euristica, filtrare cu algoritm bayesian, sau filtre colaborative care comunica cu un server pentru a identifica mesajele raportate drept spam. Microsoft va lansa pe piata în 2004 sistemul Intelligent Message Filter care va folosi tehnologia SmartScreen dezvoltata de Microsoft Research (si care e folosita si în Outlook 2003). Intelligent Message Filter va putea fi folosit în conjunctie cu Exchange Server 2003.

Securizarea serverelor de mesagerie depinde de scenariul de instalare, dupa cum este detaliat mai jos.
Un singur server Exchange în spatele firewall-ului
Este scenariul cel mai simplu si mai usor de securizat. Se publica serverul Exchange cu ajutorul facilitatii de Reverse Proxy (publicare) din ISA Server. Nu este în general recomandata conectarea serverului Exchange direct la Internet. ISA Server 2000 asigura o securitate foarte buna cu ajutorul filtrelor de SMTP. De exemplu, atasamentele executabile pot fi eliminate direct de pe firewall. De asemenea, pot fi eliminate atacurile de tip Denial-of-Service sau buffer overflow.

Scenariul cu DMZ , Front-end în zona demilitarizata, Back-end în interiorul retelei
În aceasta configuratie trebuie securizate foarte bine serverele Front-end cu masurile folosite la serverele bastion si serverele de Web. Este în continuare recomandata publicarea acestora cu ajutorul lui ISA Server. Problema cea mai mare este însa securizarea traficului între serverele Front-End si Back-end. Raspunsul simplu este: folosim IPSec (SSL nu este suportat pentru comunicatie Frontend-Backend). Totusi, problema este ceva mai complicata pentru ca traficul de comunicatie traverseaza un firewall. Se poate face autentificarea si încriptarea comunicatiei folosind IPSec. Trebuie însa permise mai multe categorii de trafic: RPC, LDAP etc. Pentru mai multe detalii consultati articolul KB 280132 – Exchange 2000 connectivity through firewalls. Este o configuratie dificil de securizat si folosita în scenarii de hosting, unde clientii sunt externi.
Front-End si Back-end în interiorul retelei
Este de fapt similar cu primul scenariu, doar ca sunt folosite mai multe servere Exchange, toate instalate în reteaua interna. Accesul clientilor se face foarte simplu din interiorul retelei. Pentru clientii care acceseaza serverul din exterior se pune problema securizarii comunicatiei, aceasta putând fi rezolvata în mai multe moduri: pentru clientii MAPI se foloseste RPC-over-HTTP, pentru ceilalti clienti metoda preferata este SSL. Vom discuta scenariile de acces ale clientilor în continuare:
• Acces securizat pentru clienti
Exchange 2003 ofera facilitatea RPC-over-HTTP care poate fi folosita în conjunctie cu clientii MAPI de tip Outlook 2003 si permite accesul securizat din exteriorul retelei peste firewall încapsulând comunicatia RPC în protocolul HTTP. Astfel, acesti clienti nu mai sunt nevoiti sa se conecteze pe VPN si lucreaza ca si cum ar fi conectati local. Cerintele software sunt Exchange 2003 instalat pe Windows Server 2003 pentru partea de server si Outlook 2003 pe Windows XP SP1 (plus hotfix) pe partea de client. Nu trebuie sa ne bazam pe criptarea slaba (mai degraba obfuscation) oferita de RPC, ci este recomandat sa securizam conexiunea folosind SSL.

Pentru clientii care folosesc POP3 sau IMAP se recomanda de asemenea securizarea comunicatiei folosind SSL.
• Outlook Web Access
Utilizatorii pot folosi Outlook Web Access pentru a accesa mailbox-urile, public folderele, Address Book etc folosind un simplu browser de Web. La Exchange 2003, OWA ofera functionalitati foarte apropiate în browser de web de cele oferite de clientul Outlook 2003. Pentru securizarea OWA trebuie sa discutam criptarea traficului, unde se foloseste SSL si metodele de autentificare.
Putem publica OWA prin intermediul ISA Server 2003. Cu Feature Pack 1 instalat, exista chiar si un wizard de publicare a serviciilor OWA. Se foloseste obligatoriu SSL pentru criptarea conexiunii între client si ISA Server, acesta preluând sarcina de SSL accelerator si eliberînd serverul Exchange de munca de procesare.

Ca metode de autentificare putem folosi oricare din metodele suportate de browser (basic, digest, NTLM etc). Deoarece folosim SSL, nu trebuie sa ne punem problema securitatii autentificarii folosind metoda basic, unde credentialele sunt transmise în clar. Putem folosi astfel chiar si browsere mai vechi. Pot aparea însa probleme deoarece browserul stocheaza credentialele pe durata sesiunii si acestea pot fi refolosite daca uitam sa închidem browserul (replay attack).
Este recomandat, daca avem Exchange 2003, sa folosim Form Based Authentication (FBA). În acest mod de autentificare, utilizatorului îi este prezentat un formular, credentialele sunt trimise o singura data spre server (conexiunea e încriptata cu SSL). Pentru restul sesiunii, clientul primeste un cookie, care este inutilizabil pentru atacuri replay deoarece este valabil doar pe sesiunea curenta. Putem obtine astfel acelasi nivel de securitate, indiferent de browserul folosit (trebuie totusi sa suporte cookies si SSL).
• S/MIME – securizarea mesajelor de e-mail, semnaturi digitale si criptarea mesajelor folosind certificate digitale X.509 v3

Pentru o securitate foarte buna se poate folosi semnarea digitala a e-mail-urilor pentru a garanta autenticitatea si integritatea acestora si se pot cripta atasamentele folosind S/MIME.
Pentru semnatura digitala se genereaza un hash al mesajului iar acesta se încripteaza folosind cheia privata a transmitatorului. Rezultatul împreuna cu cheia publica se ataseaza la e-mail. Un receptor poate folosi cheia publica a transmitatorului pentru a verifica faptul ca acesta nu a fost modificat si este autentic.

Pentru criptarea cu S/MIME se foloseste o cheie simetrica. Aceasta cheie este apoi criptata cu cheia publica a destinatarului si atasata la mesaj. Destinatarul va folosi cheia sa privata pentru a extrage cheia simetrica si a decripta mesajul.
Cum obtinem certificatele digitale? Putem folosi certificate obtinute de la o autoritate de certificare recunoscuta international atunci cînd dorim sa comunicam securizat cu persoane din exteriorul companiei, sau putem instala un server de certificate local (Windows 2000 Server sau Windows Server 2003) pentru a utiliza certificate doar în cadrul organizatiei.
Clientii de e-mail care suporta securizarea mesajelor cu S/MIME sunt: Outlook 98, Outlook 2000, Outlook XP, Outlook 2003, Outlook 8.1 for Macintosh, Outlook Express si Netscape Mail.

Sursa : Microsoft
Citeaza articolul pe site-ul tau | Vizualizari: 5886 | Imprimare | E-mail

Comenteaza articolul

Powered by AkoComment Tweaked Special Edition v.1.4.6
AkoComment © Copyright 2004 by Arthur Konze - www.mamboportal.com
All right reserved

Recomanda acest articol..

Alte articole interesante:

• Cum sa va protejati eficient serverul de email
• IBM pregateste patch-uri pentru bug-uri de securitate
• Scandal politic cu hackeri īn Ungaria
• Siguranta sporita a datelor. BitDefender for MS ISA Servers
• Troian pentru sustragerea informatiilor bancare
• A doua deficienta IE in decurs de o saptamana
• Securizarea retelelor Cisco
• Securizarea retelor wireles de uz casnic
• Securizarea statiilor de lucru
• Expertii in securitate raporteaza un nou program Troian