Вас, может быть, привлекает возможность работы Exchange Server 2003 в среде Интернет, однако вам следует ознакомиться с проблемами безопасности, связанными с такой работой. В руках хакеров множество методов и программ, способных поставить Exchange Server под угрозу. Ситуацию могло бы спасти Outlook Web Access, если бы оно не имело подобных проблем с безопасностью. Факт, что иногда вам требуется дать полный доступ клиентам Microsoft Outlook, а Web Access не может этого позволить. Эта статья просветит вас о проблемах безопасности, связанных с обеспечением Outlook Web Access или полной Outlook связи между клиентами и сервером в глобальной сети, а затем обсудит, как настроить ISA Server 2004, чтобы минимизировать угрозу. Мы начнем с Outlook Web Access (OWA), как самого простого решения.
автор Jonathan Hassell
Вас, может быть, привлекает возможность работы Exchange Server 2003 в среде Интернет, однако вам следует ознакомиться с проблемами безопасности, связанными с такой работой. В руках хакеров множество методов и программ, способных поставить Exchange Server под угрозу. Ситуацию могло бы спасти Outlook Web Access, если бы оно не имело подобных проблем с безопасностью. Факт, что иногда вам требуется дать полный доступ клиентам Microsoft Outlook, а Web Access не может этого позволить.
Эта статья просветит вас о проблемах безопасности, связанных с обеспечением Outlook Web Access или полной Outlook связи между клиентами и сервером в глобальной сети, а затем обсудит, как настроить ISA Server 2004, чтобы минимизировать угрозу. Мы начнем с Outlook Web Access (OWA), как самого простого решения.
Но, до того, как мы начнем, имейте ввиду, что эта статья не обсуждает безопасность агента передачи сообщений (MTA) сервера Exchange. Вместо этого мы рассмотрим, как обезопасить удаленные соединения к серверу с точки зрения пользователя.
Безопасность Outlook Web Access с помощью ISA 2004
Некоторые пользователи могут обходиться только Outlook Web Access, достойным инструментом, имитирующим интерфейс Outlook в браузере. OWA полезен организациям, пользующимся сервером Exchange, т.к. браузеры широко распространены, что позволяет вашим пользователям проверять почту за пределами своего рабочего места. Интерфейс OWA знаком вашим пользователям, так что дополнительного обучения не потребуется.
Однако существует много претензий к Outlook Web Access в отношении безопасности. Как можно обеспечить безопасность? OWA может использовать HTTPS – безопасную, туннелированную версию HTTP – но в ней отсутствует способность обнаружения вторжения. Более проблематично то, что все версии OWA, кроме последних, не имеют свойства блокировки по времени (timeout), так что ваши пользователи будут оставаться зарегистрированными в системе, пока не нажмут на “Выход”. Представьте себе Интернет-кафе и вашего финансового директора, проверяющего почту через OWA. Он просто закрывает браузер после прочтения почты, но человек, охотящийся за информацией, откроет браузер и зайдет на последнюю посещенную страницу и получит доступ к важному почтовому ящику. Это скверная ситуация, и она случалась прежде.
Потребность в ISA 2004
Чтобы обезопасить OWA, администратору нужно проделать следующие шаги:
Если соблюдать эти правила, то в целом можно быть уверенным, что информация, проходящая через OWA, останется безопасной.
Представляю вам ISA Server 2004, который поможет вам осуществит вышеизложенное. Когда вы поставите ISA Server перед сервером/серверами OWA, вы получите значительные выгоды. ISA Server становится бастионом на пути в глобальную сеть, обрезая все соединения с помощью Web Proxy, расшифровывая весь HTTPS-трафик, чтобы исследовать пакеты на содержимое, проверяя URL с помощью URLScan и окончательно шифруя весь трафик, отсылая его на сервер OWA.
Преждевременное опознание соединений
ISA 2004 предоставляет еще одну выгоду: преждевременное опознание соединений. Вот как она работает: сервер ISA сам предоставляет формы пользователю для заполнения – например окно входа в систему. Форма получает информацию от пользователя, и сервер ISA проверяет ее через Active Directory. Заметим, что серверы RADIUS также поддерживаются, так что ISA системы, которые не доверяют или не являются членами домена, могут производить это преждевременное опознание. Затем ISA берет информацию и вставляет ее в хедеры обычных HTTP-пакетов, которые он отправляет серверу OWA, так что пользователь не должен повторно вводить информацию. В итоге, ISA проверяет ваших пользователей формой OWA, опознавая их в пределах вашей внутренней сети, до того как пакеты достигнут настоящего сервера OWA.
Подробная информация по осуществлению подобной системы доступна в пошаговой инструкции компании Microsoft (How to publish an SSL Web site by using SSL tunneling in ISA Server 2004).
Проблемы с клиентами Outlook и VPN
Клиенты VPN, присутствующие во всех версиях Windows, обычный выбор тех, кто нуждается в предоставлении полной функциональности пользователям Outlook в сети Интернет. Однако, безопасность VPN оставляет желать лучшего: хотя PPTP можно сделать безопасными, для этого потребуется хорошее знание систем, работающих с VPN, и хорошее знание методов шифрования данных. Конечно, есть и чисто логические препятствия в использовании VPN – они просто не будут работать в некоторых общественных местах из-за правил сетевых фильтров, блокирующих нужные порты, проблемы с использованием IPSec и L2TP из-за фрагментации пакетов, а также другие проблемы. Наконец, тогда как VPN полезны при соединениях удаленных клиентов и корпоративных сетей, они менее полезны при соединении корпоративных сетей с провайдерами, которые могут управлять серверами Exchange за вас.
Тогда возникает проблема: как обеспечить безопасный доступ к серверу Exchange для удаленных пользователей, не заставляя при этом пользователей напрягаться, чтобы получить доступ к их коллективной работе. Лучшим способом будет установка Microsoft ISA Server 2004.
Безопасность клиента Outlook с помощью Exchange 2003 RPC и ISA 2004
Реальность такова, что пользователи полностью зависят от функциональности Outlook клиента. К примеру, допустим, что ваша организация работает с LookOut, поисковым дополнением к программе Outlook, или каким-либо другим дополнением. Ваши пользователи могут зависеть от установленных правил, повышающих функциональность клиентов, или им требуется доступ к корпоративной базе данных.
Особенности безопасности Exchange 2003
Exchange 2003 достиг больших высот в этом направлении, позволяя большую функциональность с помощью RPC-over-HTTP. RPC-over-HTTP является выгодным дополнением к продукту, поскольку позволяет помещать RPC-запросы в протокол HTTP, под который настроены большинство сетевых фильтров. RPC-over-HTTP полагается на элемент Server 2003, называемый RPC Proxy, ISAPI-расширением, работающим под IIS, которое устанавливает RPC-сессию после опознания. Изначально клиент Outlook соединяется с фильтром с помощью RPC-over-HTTP, а затем обрезает “over-HTTP”, выдирает RPC-запросы и отсылает их серверу Exchange.
Однако, RPC-over-HTTP не является панацеей. Он позволяет лишь обычное HTTP опознание (basic HTTP-authentication), т.ч. вам придется проверить, использует ли HTTP-соединение SSL. Также здесь нет поддержки SecurID. Опознание с помощью RADIUS также невозможно с помощью RPC-over-HTTP, как и использование сертификатов. Так что, в то время как RPC-over-HTTP решает некоторые проблемы с функциональностью и безопасностью, у него имеется число недостатков.
ISA 2004 и RPC-фильтр Exchange
В стандартную поставку ISA 2004 входит RPC-фильтр для Exchange, который включает в себя лучшее от RPC Proxy, включенного в обычный Exchange 2003, чтобы позволить соединения RPC-over-HTTP, которые затем обрабатываются для работы с Exchange. RPC-фильтр создан со знанием способов установления соединения Exchange RPC и правильного формата для этого протокола. Также он позволяет только передачу Exchange RPC UUID, постоянно укрепляя процесс опознания и шифрования данных.
Вот как все работает:
Следует заметить, что весь процесс остается тайной для клиента. Он увидит форму, запрашивающую имя и пароль, когда откроет Outlook, отсутствуя на рабочем месте. Как только он введет свои имя и пароль, пройдет буквально пять секунд, и он сможет смотреть свою почту. Таким образом эта методика проходит первый тест – облегчить использование для пользователей.
Этот вариант заодно защитит вас от различных атак, основанных на использовании уязвимостей RPC. Например, ISA RPC-фильтр иммунный к разведывательным атакам и атакам отказа в обслуживании в отношении сервиса portmapper. Все известные атаки проваливаются, но даже если атака успешно проникла через RPC-фильтр, имейте ввиду, что Exchange все равно защищен, т.к. ISA стоит на входе, проверяя все соединения к серверу Exchange. Этот вариант также непроницаем для атак на сервисы, в основном потому что такие атаки требуют разведанную информацию, которую они получить не могут. И наконец, та часть соединения от ISA к Exchange просто умирает, если первая часть соединения (клиент к ISA) неправильного формата.
Как бы вы осуществили подобный вариант? На рисунке 2 показан пример сети, с сервером ISA в демилитаризованной зоне, защищающим серверы Exchange и Active Directory.
У компании Микрософт есть подробная документация по установке ISA 2004 перед серверами Exchange на их сайте в Интернет Using ISA Server 2004 with Exchange Server 2003.
Заключение
Установка Exchange 2003 в сети Интернет может оказаться непосильной задачей. Однако, Микрософт вложило силы и ум в ISA Server 2004, который способен защитить ваши Exchange системы против атак извне, как для пользователей Outlook Web Access, так и для тех, кто пользуется RPC для получения полной функциональности от клиента Outlook.