NhữngbổsungchoExchangeServer2007-Phần2:Bảovệmặcđịnh
Nug
ồ
n:quantrimang.com
Marc Grote
Trước khi bắt đầu, hãy chú ý rằng bài này được dựa trên phiên bản Beta
của Windows Server 2008 và ExchangeServer2007 SP1 chính vì vậy nó có
thể sẽ có một số tính năng bị thay đổi hoặc được bỏ đi trong các phiên bản
cuối cùng của sản phẩm.
Việc tính toán đáng tin cậy
Microsoft nói rằng ExchangeServer2007 là một thiết kế dành chobảo mật.
Exchange 2007 được thiết kế và được phát triển theo một nguyên tắc ch
ặt chẽ
của chu trình phát triển phần mềm tính toán với độ bảo mật được tin cậy cao -
Trustworthy Computing Security Development Lifecycle (TWC), chu trình này
được đưa ra lần đầu tiên vào tháng 10 năm 2002. Cùng với thời gian, Microsoft
đã thay đổi rất nhiều bên trong chu trình phát triển này và các cải thiện có liên
quan đến vấn đề bảo mật được xây dựng trong ExchangeServer2007.
Microsoft nói rằng ExchangeServer2007 có nhiều ưu điểm bảo mật hơn các
phiên bản Exchange trước đó của Microsoft.
Bả
o mật mặcđịnh
Microsoft đã cố gắng bảovệExchangeServer2007 bằng các công nghệ bảo
mật đang tồn tại. Mộtmục tiêu trong kế hoạch bảo mật là mỗi bit lưu lượng quan
trọng sẽ đều được mã hóa một cách mặc định. Ngoại trừ với các vấn đề truyền
thông Server Message Block (SMB) cluster và một số truyền thông hợp nhất thư
tín Unified Messaging (UM), Microsoft đã đạt được mụ
c tiêu này. Exchange
Server 2007 là hệ thống thư tín đầu tiên của Microsoft mà người dùng có thể sử
dụng các chứng chỉ tự ký. Thêm vào đó, ExchangeServer2007 sử dụng
Kerberos cho các vấn đề truyền thông đặc biệt, Secure Sockets Layer (SSL) và
các công nghệ mã hóa khác.
Chứng chỉ
Exchange 2007 sử dụng các chứng chỉ X.509 để thiết lập Transport Layer
Security (TLS) an toàn và các kênh truyền tải Secure Sockets Layer (SSL) cho
việc truyền thông giữa các giao thức như HTTPS, SMTP, IMAP4 và POP3.
Lưu ý
:
Truy cập POP3 và SMTP bị vô hiệu hóa một cách mặcđịnh giống như trong các
phiên bản trước của Exchange Server. ExchangeServer2007 sử dụng các
chứng chỉ cho một vài thành phần.
SMTP
Các chứng chỉ được sử dụng cho việc mã hóa và chứng thực cho Domain
Security (điểm mới trong ExchangeServer 2007) giữa các tổ chức Exchange
khác nhau. Các chứng chỉ này được sử dụng để bảovệ các kết nối giữa các
máy chủ Hub Transport và Edge Transport. Mỗi mộ
t truyền thông SMTP giữa
các máy chủ Hub Transport đều được mã hóa.
Đồng bộ EdgeSync
Exchange Server2007 sử dụng chứng chỉ tự ký để mã hóa vấn đề truyền thông
LDAP giữa trường hợp ADAM của các máy chủ Edge Transport và máy chủ
Active Directory bên trong, trên đó dịch vụ Microsoft Exchange EdgeSync truyền
thông với Active Directory để tái tạo các thông tin Active Directory đối với trường
hợp ADAM trên máy chủ Edge Transport.
POP3 và IMAP4
Exchange Server2007 sử dụng các chứng chỉ để chứng thực và mã hóa mỗi
session giữa Post Office Protocol version 3 (POP3) và các các máy khách
Internet Message Access Protocol version 4 (IMAP4) và ExchangeServer2007.
Thư tín hợp nhất (Unified Messaging)
Các chứng chỉ được sử dụng để mã hóa session SMTP cho các máy chủ Hub
Transport và cho Unified Messaging (UM) IP gateway.
A
utoDiscover
Các chứng chỉ được sử dụng để mã hóa sự truyền thông giữa máy khách và
máy chủ truy cập client - Client Access Server (CAS).
Các ứng dụng truy cập client
Exchange Server2007 sử dụng các chứng chỉ để mã hóa sự truyền thông giữa
Client Access Server và các client như Outlook 2007 (Outlook Anywhere aka
RPC trên HTTPS), Microsoft Outlook Web Access (OWA) và Exchange
ActiveSync.
Với mục đích bảo mật, Microsoft khuyên người dùng nên sử dụng các chứng chỉ
được tạo bởi chính quyền chứng chỉ bên trong của chính bản thân họ hoặc của
nhóm chứng chỉ thuộc nhóm thứ ba trong thương mại nếu trong trường hợp bạn
có nhiều client truy cập ExchangeServer2007 từ các máy tính thành viên không
trong miền.
Bộ kết nối thư tín
Exchange Server2007 sử dụng một số bộ kết nối (connector) để
tiếp sóng cho
lưu lượng từ nguồn tới máy chủ đích. ExchangeServer2007 sử dụng hai kiểu
connector khác nhau. Một cho lưu lượng đi vào, cách này có thể được cấu hình
trên mỗi ExchangeServer2007 và một số connector cho lưu lượng mail đi ra.
Exchange Server2007 hỗ trợ rất nhiều cơ chế chứng thực khác nhau để bảovệ
sự truyền tải thư tín, hay bảovệ sự chứng thực hoặc cả hai.
Bạn có th
ể sử dụng:
• Bảo mật lớp truyền tải- Transport Layer Security (TLS).
• Bảo mật miền - Domain Security (Mutual Auth. TLS).
• Chứng thực cơ bản sau khi bắt đầu TLS.
• Chứng thực máy Exchange Server.
• Chứng thực Windows tích hợp
Hình 1: Chứng thực Connector
Microsoft Edge Transport Server
Microsoft Edge Transport Server là một role phải được cài đặt trên Windows
Server 2003 hoặc Windows Server 2008. Các máy chủ Edge Transport là máy
chủ tiếp sóng thư tín và thêm vào đó chúng cung cấp chức năng chống spam
tích hợp và chức năng chống virus của Microsoft Forefront Edge Security hoặc
của các sản phẩm nhóm thứ. Microsoft Edge Transport Server được cài đặt vào
nhóm làm việc của Windows và không phải là một thành phần của một miền.
Edge Transport Server sử dụng AD/AM (Active Directory Application Mode) để
đồng bộ dữ liệu Active Directory có liên quan với Edge Transport Server. Tiến
trình đồng bộ được gọi là Edge sync.
Edge Transport Server cung cấp một số tính năng dưới đây:
• Content Filtering
• IP Allow and Block List Provider
• Sender Filtering
• Sender Reputation
• SMTP Tarpiting
Và một số tính năng khác nữa.
Hình 2: Edge Server Anti Spam
Microsoft Forefront
Microsoft Forefront là một giải pháp chống virus và spam của Microsoft, đây là
giải pháp được cung cấp cho các sản phẩm của Microsoft như ExchangeServer
2007, Microsoft Sharepoint Portal Server, Microsoft Windows clients và các sản
phẩm khác. Một giải pháp cho Microsoft Exchange là Microsoft Forefront Edge
Security. Bạn có thể sử dụng Forefront Edge Security trên Microsoft Edge
Transport Server và Hub Transport Servers, tuy nhiên tốt hơn hết bạn nên sử
dụng Forefront Edge Server Security trong DMZ trên các máy chủ Microsoft
Edge Transport.
Các chức năng của bảo mật Microsoft Forefront
• Cung cấp sự bảo mật lớp thông qua Multiple Scan Engine Management
để bảovệ các hệ thống thư tín.
• Cung cấp các tùy chọn cho việc quét một cách tinh vi với nhiều bổsung và
linh động:
• Quét “trong bộ nhớ“ để tối thiểu hóa sự ảnh hưởng trên các máy chủ
Exchange nhằm bảo đảm sự tối ưu và hiệu quả.
• Quét theo yêu cầu, lập lịch trình và thời gian thực đối với các nhóm lưu trữ
và cơ sở dữ liệu.
• Bảovệ toàn bộcho Outlook Web Access.
• Quét SMTP và Exchange Information Store để củng cố vấn đề bảovệ và
hiệu lực.
• Quét thư tín MTA cho tất cả các thư tín được định tuyến qua Exchange
MTA Connectors (X.400, MS Mail, CC Mail, …).
• Có cả tích hợp API quét virus được Microsoft cho phép trong Exchange
2000 và 2003.
• Tối thiểu hóa spam gây ra worm và bảovệ thông tin lưu trữ thông qua
Forefront Worm Purge.
• Nhận dạng tất cả các thư tín có các đính kèm không tin cậy thông qua các
nguyên tắc lọc file linh hoạt.
• Loại trừ các đính kèm đã bị tiêm nhiễm vào một kho chứa an toàn với
Forefront Quarantine Manager.
• Tự động upload các chữ ký virus mới nhất.
• Thông báocho các quản trị viên vềnhữngtai nạn về virus hoặc các sự
kiện thông qua email, blog sự kiện.
• Có nhiều từ chối tùy chỉnh cho các thư tín đi ra dựa trên người gửi, người
nhận và tập các thông tin tên miền bởi các quản trị viên.
Hình 3: Bảo mật Microsoft Forefront
Tiện ích cấu hình bảo mật - SCW (Windows Server 2003 SP1)
Exchange 2007 cung cấp một mẫu SCW cho mỗi role của máy chủ Exchange
2007. Bằng cách sử dụng mẫu này với SCW, bạn có thể cấu hình Windows
Server 2003 để khóa các dịch vụ và cổng không cần thiết cho mỗi role của máy
chủ Exchange. Khi sử dụng Security Configuration Wizard, bạn có thể tạo một
file XML mẫu để sử dụng giúp bả
o vệcho máy chủ này và cả các máy chủ khác.
Hình 4: Security Configuration Wizard
Do SCW được giới thiệu lần đầu tiên trong Windows Server 2003 SP1 – trước
Exchange Server2007 là RTM, bạn phải kích hoạt CSW để cấu hình Exchange
Server 2007.ExchangeServer2007 có hai file cấu hình SCW cần phải cài đặt
trên máy chủ nơi muốn chạy nó.
Với Hub Transport server
scwcmd register /kbname:Ex2007KB
/
kbfile:"%programfiles%\Microsoft\Exchange Server\scripts\Exchange2007.xml
Với Edge Transport server
scwcmd register /kbname:Ex2007EdgeKB
/
kbfile:"%programfiles%\Microsoft\Exchange Server\scripts\
Exchange2007Edge.xm
Kết luận
Trong phần này, chúng tôi đã giới thiệu cho các bạn về cách ExchangeServer
2007 an toàn được như thế nào, Edge Transport Servers là gì và các kỹ thuật
Anti Spam và Antivirus có thể cải tiến hơn nữa vấn đề bảo mật như thế nào.
Trong phần ba của loạt bài này chúng tôi sẽ tiếp tục giới thiệu cho các bạn cách
bảo đảm việc truy cập client đối với ExchangeServer2007 và một số thay đổi
hình cần thi
ết trong cấu hình ExchangeServer2007.
. Những bổ sung cho Exchange Server 2007 - Phần 2: Bảo vệ mặc định
Nug
ồ
n:quantrimang.com
Marc Grote
Trước. trong Windows Server 2003 SP1 – trước
Exchange Server 2007 là RTM, bạn phải kích hoạt CSW để cấu hình Exchange
Server 2007. Exchange Server 2007 có hai