Обеспечение безопасности Exchange с помощью ISA Server 2004
Вас, может быть, привлекает возможность работы Exchange Server 2003 в среде Интернет, однако вам следует ознакомиться с проблемами безопасности, связанными с такой работой. В руках хакеров множество методов и программ, способных поставить Exchange Server под угрозу. Ситуацию могло бы спасти Outlook Web Access, если бы оно не имело подобных проблем с безопасностью. Факт, что иногда вам требуется дать полный доступ клиентам Microsoft Outlook, а Web Access не может этого позволить.Эта статья просветит вас о проблемах безопасности, связанных с обеспечением Outlook Web Access или полной Outlook связи между клиентами и сервером в глобальной сети, а затем обсудит, как настроить ISA Server 2004, чтобы минимизировать угрозу. Мы начнем с Outlook Web Access (OWA), как самого простого решения.Но, до того, как мы начнем, имейте ввиду, что эта статья не обсуждает безопасность агента передачи сообщений (MTA) сервера Exchange. Вместо этого мы рассмотрим, как обезопасить удаленные соединения к серверу с точки зрения пользователя.Безопасность Outlook Web Access с помощью ISA 2004Некоторые пользователи могут обходиться только Outlook Web Access, достойным инструментом, имитирующим интерфейс Outlook в браузере. OWA полезен организациям, пользующимся сервером Exchange, т.к. браузеры широко распространены, что позволяет вашим пользователям проверять почту за пределами своего рабочего места. Интерфейс OWA знаком вашим пользователям, так что дополнительного обучения не потребуется. Однако существует много претензий к Outlook Web Access в отношении безопасности. Как можно обеспечить безопасность? OWA может использовать HTTPS – безопасную, туннелированную версию HTTP – но в ней отсутствует способность обнаружения вторжения. Более проблематично то, что все версии OWA, кроме последних, не имеют свойства блокировки по времени (timeout), так что ваши пользователи будут оставаться зарегистрированными в системе, пока не нажмут на “Выход”. Представьте себе Интернет-кафе и вашего финансового директора, проверяющего почту через OWA. Он просто закрывает браузер после прочтения почты, но человек, охотящийся за информацией, откроет браузер и зайдет на последнюю посещенную страницу и получит доступ к важному почтовому ящику. Это скверная ситуация, и она случалась прежде.Потребность в ISA 2004Чтобы обезопасить OWA, администратору нужно проделать следующие шаги:Проверить весь SSL-трафик на уровне приложений, чтобы определить настоящий трафик от постороннего. Это предотвратит весомую часть современных атак. Соблюдать конфиденциальность передаваемых данных – важная информация часто передается по электронной почте. Укрепить HTTP и HTML стандарты, чтобы вредоносный код не проник сквозь уязвимости в этих стандартах и протоколах. Блокировать атаки, связанные с URL, пропуская только известные URL. Это обезопасит вас от атак, выполняющих различные действия со скриптами, посылающих большое количество символов и использующих другую кодировку. Если соблюдать эти правила, то в целом можно быть уверенным, что информация, проходящая через OWA, останется безопасной.Представляю вам ISA Server 2004, который поможет вам осуществит вышеизложенное. Когда вы поставите ISA Server перед сервером/серверами OWA, вы получите значительные выгоды. ISA Server становится бастионом на пути в глобальную сеть, обрезая все соединения с помощью Web Proxy, расшифровывая весь HTTPS-трафик, чтобы исследовать пакеты на содержимое, проверяя URL с помощью URLScan и окончательно шифруя весь трафик, отсылая его на сервер OWA.Преждевременное опознание соединенийISA 2004 предоставляет еще одну выгоду: преждевременное опознание соединений. Вот как она работает: сервер ISA сам предоставляет формы пользователю для заполнения – например окно входа в систему. Форма получает информацию от пользователя, и сервер ISA проверяет ее через Active Directory. Заметим, что серверы RADIUS также поддерживаются, так что ISA системы, которые не доверяют или не являются членами домена, могут производить это преждевременное опознание. Затем ISA берет информацию и вставляет ее в хедеры обычных HTTP-пакетов, которые он отправляет серверу OWA, так что пользователь не должен повторно вводить информацию. В итоге, ISA проверяет ваших пользователей формой OWA, опознавая их в пределах вашей внутренней сети, до того как пакеты достигнут настоящего сервера OWA. Подробная информация по осуществлению подобной системы доступна в пошаговой инструкции компании Microsoft (How to publish an SSL Web site by using SSL tunneling in ISA Server 2004). Проблемы с клиентами Outlook и VPNКлиенты VPN, присутствующие во всех версиях Windows, обычный выбор тех, кто нуждается в предоставлении полной функциональности пользователям Outlook в сети Интернет. Однако, безопасность VPN оставляет желать лучшего: хотя PPTP можно сделать безопасными, для этого потребуется хорошее знание систем, работающих с VPN, и хорошее знание методов шифрования данных. Конечно, есть и чисто логические препятствия в использовании VPN – они просто не будут работать в некоторых общественных местах из-за правил сетевых фильтров, блокирующих нужные порты, проблемы с использованием IPSec и L2TP из-за фрагментации пакетов, а также другие проблемы. Наконец, тогда как VPN полезны при соединениях удаленных клиентов и корпоративных сетей, они менее полезны при соединении корпоративных сетей с провайдерами, которые могут управлять серверами Exchange за вас.Тогда возникает проблема: как обеспечить безопасный доступ к серверу Exchange для удаленных пользователей, не заставляя при этом пользователей напрягаться, чтобы получить доступ к их коллективной работе. Лучшим способом будет установка Microsoft ISA Server 2004. Безопасность клиента Outlook с помощью Exchange 2003 RPC и ISA 2004Реальность такова, что пользователи полностью зависят от функциональности Outlook клиента. К примеру, допустим, что ваша организация работает с LookOut, поисковым дополнением к программе Outlook, или каким-либо другим дополнением. Ваши пользователи могут зависеть от установленных правил, повышающих функциональность клиентов, или им требуется доступ к корпоративной базе данных.Особенности безопасности Exchange 2003Exchange 2003 достиг больших высот в этом направлении, позволяя большую функциональность с помощью RPC-over-HTTP. RPC-over-HTTP является выгодным дополнением к продукту, поскольку позволяет помещать RPC-запросы в протокол HTTP, под который настроены большинство сетевых фильтров. RPC-over-HTTP полагается на элемент Server 2003, называемый RPC Proxy, ISAPI-расширением, работающим под IIS, которое устанавливает RPC-сессию после опознания. Изначально клиент Outlook соединяется с фильтром с помощью RPC-over-HTTP, а затем обрезает “over-HTTP”, выдирает RPC-запросы и отсылает их серверу Exchange.Однако, RPC-over-HTTP не является панацеей. Он позволяет лишь обычное HTTP опознание (basic HTTP-authentication), т.ч. вам придется проверить, использует ли HTTP-соединение SSL. Также здесь нет поддержки SecurID. Опознание с помощью RADIUS также невозможно с помощью RPC-over-HTTP, как и использование сертификатов. Так что, в то время как RPC-over-HTTP решает некоторые проблемы с функциональностью и безопасностью, у него имеется число недостатков.ISA 2004 и RPC-фильтр ExchangeВ стандартную поставку ISA 2004 входит RPC-фильтр для Exchange, который включает в себя лучшее от RPC Proxy, включенного в обычный Exchange 2003, чтобы позволить соединения RPC-over-HTTP, которые затем обрабатываются для работы с Exchange. RPC-фильтр создан со знанием способов установления соединения Exchange RPC и правильного формата для этого протокола. Также он позволяет только передачу Exchange RPC UUID, постоянно укрепляя процесс опознания и шифрования данных.Вот как все работает:Клиент соединяется с portmapper RPC-фильтра. Вообще этот элемент не настоящий portmapper, он всего лишь ведет себя подобным образом, что позволяет сократить количество атак, отвечая только на RPC-запросы сервера Exchange. Как только соединение установлено, сервер ISA возвращает номера портов RPC-фильтра. Клиент, располагая информацией о портах, опознает себя на сервере. В ходе этого процесса, Exchange передает информацию Active Directory, которая решает – пустить пользователя или нет. RPC-фильтр на сервере ISA все это время наблюдает за процессом, ожидая подтверждения от Active Directory. Получив положительный ответ, фильтр удостоверяется, что соединение шифруется, а затем клиент видит свой почтовый ящик. Следует заметить, что весь процесс остается тайной для клиента. Он увидит форму, запрашивающую имя и пароль, когда откроет Outlook, отсутствуя на рабочем месте. Как только он введет свои имя и пароль, пройдет буквально пять секунд, и он сможет смотреть свою почту. Таким образом эта методика проходит первый тест – облегчить использование для пользователей. Этот вариант заодно защитит вас от различных атак, основанных на использовании уязвимостей RPC. Например, ISA RPC-фильтр иммунный к разведывательным атакам и атакам отказа в обслуживании в отношении сервиса portmapper. Все известные атаки проваливаются, но даже если атака успешно проникла через RPC-фильтр, имейте ввиду, что Exchange все равно защищен, т.к. ISA стоит на входе, проверяя все соединения к серверу Exchange. Этот вариант также непроницаем для атак на сервисы, в основном потому что такие атаки требуют разведанную информацию, которую они получить не могут. И наконец, та часть соединения от ISA к Exchange просто умирает, если первая часть соединения (клиент к ISA) неправильного формата.Как бы вы осуществили подобный вариант? На рисунке 2 показан пример сети, с сервером ISA в демилитаризованной зоне, защищающим серверы Exchange и Active Directory. У компании Микрософт есть подробная документация по установке ISA 2004 перед серверами Exchange на их сайте в Интернет Using ISA Server 2004 with Exchange Server 2003.ЗаключениеУстановка Exchange 2003 в сети Интернет может оказаться непосильной задачей. Однако, Микрософт вложило силы и ум в ISA Server 2004, который способен защитить ваши Exchange системы против атак извне, как для пользователей Outlook Web Access, так и для тех, кто пользуется RPC для получения полной функциональности от клиента Outlook.