TechNet Exchange Workshop Exchange 2003 Security Ivan Riservato MVP Exchange MCxx,CCNA Presidente UGIMEX - www.ugimex.org Agenda Analisi del traffico di rete Tra client e server Tra server e server Cosa modificare nei setting di default sui VS e SMTP Connector Tecnologie antispamming Implementare PKI in azienda per utilizzare S/MIME e smartcard Analisi del traffico di rete Tra client e server DEMO POP3, IMAP4 Tra client e server Soluzione: Utilizzare SSL per i client che utilizzano i protocolli standard Protocollo Porta Standard Porta con SSL POP3 110 995 IMAP4 143 993 SMTP 25 25 HTTP 80 443 LDAP 389 636 Tra client e server Se il client utilizza MS-RPC abilitare queste opzioni => Outlook 98 Outlook 2000 Outlook 2002 Tra client e server Outlook 2003 Tra client e server DEMO implementazione SSL su VS Tra client e server Se uso OWA in https, POP3s, IMAP4s sono sicuro ? Dipende ... Si*, tra il server e il client ma se utilizzate la funzionalità FE/BE avete questa situazione ... * minimo 1024 bit ovviamente con 2048, 4096, 8192, 16384 è migliore la sicurezza ma le performance globali peggiorano Architettura FrontEnd BackEnd Active Directory Outlook (RPC/HTTP) Reverse Proxy Exchange Front-End Server Outlook Express POP/IMAP e SMTP Wireless Network & Canale Internet protetto SSL Outlook Web Access In CHIARO ! DMZ Outlook Mobile Access Up-To-Date Notifications (SMS) Exchange ActiveSync Up-To-Date Notifications (SMTP) MS Mobile Services SMTP Bridgehead Server Exchange Back-End Server Tra i server Tra i/il FE e tutti i/il BE una possibile soluzione è di implementare IPSec Exchange 2003 supporta IPSEC tra BE in cluster e FE, con requisito Windows 2003 Tra i server - routing Il protocollo per lo scambio dei messaggi è SMTP .. quindi plain text ! DEMO: Come implementare TLS sui VS SMTP Attenzione non si può implementare sul VS che riceve la posta Internet perchè le altre organizzazioni non hanno TLS .. Cosa modificare nei setting di default Sul VS Abilitare i log su tutti i VS utilizzati Verificare che il relay sia disabilitato (default) Accettare connessioni sulla porta 25 solo dagli altri server Exchange + server di alerting Exchange 2003 e DMZ E’ possibile suddividere il deployment in 2 macro categorie: Un firewall tra front-end e Internet DMZ: un firewall tra front-end e Internet, ed uno tra front-end e intranet Un firewall tra front-end e Internet Active Directory Outlook (RPC/HTTP) Exchange Front-End Server Outlook Express POP/IMAP e SMTP Wireless Network & Internet Outlook Web Access Outlook Mobile Access Up-To-Date Notifications (SMS) Exchange ActiveSync Up-To-Date Notifications (SMTP) MS Mobile Services SMTP Bridgehead Server Exchange Back-End Server DMZ Active Directory Outlook (RPC/HTTP) Exchange Front-End Server Outlook Express POP/IMAP e SMTP 80, 143, 110, 389, 3268, RPC Wireless Network & Internet Outlook Web Access DMZ Outlook Mobile Access Up-To-Date Notifications (SMS) Exchange ActiveSync Up-To-Date Notifications (SMTP) MS Mobile Services SMTP Bridgehead Server Exchange Back-End Server DMZ Active Directory Outlook (RPC/HTTP) Exchange Front-End ISA Server Feature Pack 1 Server Outlook Express POP/IMAP e SMTP Wireless 80 – 110 – 143 Network & Canale protetto SSL Internet Outlook Web Access DMZ Outlook Mobile Access Up-To-Date Notifications (SMS) Exchange ActiveSync Up-To-Date Notifications (SMTP) MS Mobile Services SMTP Bridgehead Server Exchange Back-End Server Exchange Server 2003 Security Hardening Guide.doc con i relativi .inf Tecnologie antispamming Connection Filtering Liste globali “Allow / Deny” Specifici IP o subnet “Deny” by design Supporto ad abbonamento a servizi esterni “real-time block list (RBL)” Es: Mail from 62.190.247.12 12.247.190.62.bad.bl.org Supporto per diversi fornitori RBL (3 o 4 ideale) NDR personalizzabile per ogni fornitore Possibilità di sovrascittura del filtro (exception by E-mail address) Address Filtering Sender filtering Filtro di messaggi spediti da un indirizzo e-mail o dominio smtp Filtro di messaggi senza mittente Recipient filtering Filtro di messaggi spediti a destinatari non esistenti (senza NDR) Filtro di messaggi spediti a specifici indirizzi Solo utenti autenticati inviano a Distribution List In aggiunta all’Address Filtering sul client – Safe/Block list Antispam - oggi Exchange Server 2003 Gateway Server Transport Allow/Deny Lists Real-Time Block Lists Recipient & Sender Filtering 3rd Party Plug-Ins Message + SCL SCL = Spam Confidence Level Mailbox Server Store User Trusted & Junk Senders SMTP Message spam? Junk Mail Folder Inbox User Trusted & Junk Senders Inbox spam? Junk Mail Folder Outlook 2003 User Trusted & Junk Senders Exchange 2003 OWA Antispam – a breve Microsoft Exchange Intelligent Message Filter Basato sulla tecnologia SmartScreen presente in Outlook2003 utilizzata da Hotmail dal 24 Febbraio 2004 integrata con l’infrastruttura SCL ( Spam Confidence Level ) Sarà un’estensione di Exchange 2003 Server, da installare sui Bridgeheads Coesistenza con le soluzioni di 3° parti Microsoft Exchange Intelligent Message Filter Supporta il message tagging Si amministrerà con un’estensione di Exchange System Manager Console Saranno disponibili Filter Updates http://www.microsoft.com/exchange/imf Antispam/Antispoofing – iniziativa CSRI - Coordinated Spam Reduction Initiative E’ basata su questi tre principi: Stabilire un’identità al messaggio tramite “caller-ID” (es. FAX) Abilitare chi effettua un’utilizzo massivo di messaggi di posta elettronica solo se hanno delle politiche coerenti Creare delle alternative per chi a un dominio ma pochi account Antispam/Antispoofing CRSI Determinare gli IP dei Vostri outbound email servers per il Vostro dominio Creare “e-mail policy document” Pubblicare “e-mail policy document” nel DNS “_ep.dominio.it” tramite record TXT Antispam/Antispoofing CRSI Alcuni esempi: I server SMTP di outbound sono gli stessi di inbound <ep xmlns='http://ms.net/1'><out><m><mx/></m></out> </ep> Il server SMTP di outbound utilizza questo IP 192.168.210.101 : <ep xmlns=’http://ms.net/1’ testing=’true’><out><m> <a>192.168.210.101</a> </m></out></ep> Nota: <ep> tag indica “e-mail policy document” Antispam/Antispoofing CRSI Alcuni esempi: Il dominio utilizza 3 server SMTP di outbound <ep xmlns=’http://ms.net/1’ testing=’true’><out><m> <a>192.168.0.101</a> <a>192.168.0.102</a> <a>192.168.0.103</a> </m></out></ep> Il dominio non ha server SMTP di outbound : <ep xmlns='http://ms.net/1'><out><noMailServers/></out></e p> Implementare PKI Perche implementare PKI ? SSL non basta ? SSL vi da la possibilità di cifrare la comunicazione NON il messaggio quindi il messaggio rimane in chiaro sul server L’utilizzo di S/MIME si prefigge come obiettivo quello di mantenere il messaggio sempre cifrato e solo quando lo volete aprire viene decrifrato “al volo” Firma digitale Caratteristiche delle firme digitali: Autenticazione Non ripudio Integrità dei dati S/MIME è standard ? Nel 1999, per potenziare le funzionalità di S/MIME, l'ente IETF ha proposto l'introduzione della versione 3. L'RFC 2632 si basava sulla specifica RFC 2311 per definire ulteriori standard per i messaggi S/MIME l'RFC 2633 potenziava la specifica RFC 2312 per la gestione dei certificati e, infine l'RFC 2634 estendeva le funzionalità generali dello standard S/MIME mediante l'introduzione di servizi aggiuntivi. Con la versione 3, lo standard S/MIME ha ottenuto un riconoscimento globale come standard per la protezione dei messaggi. I componenti base per implementare S/MIME Exchange Server/ Windows 2003 Client di posta elettronica Client Microsoft Outlook® 2000 (e versioni successive) basati su MAPI Client basati su standard Internet, POP3 (Post Office Protocol versione 3) e IMAP4 (Internet Message Access Protocol versione 4rev1) Client Outlook Web Access (controllo OCX per IE) Client Outlook Mobile Access Client Exchange ActiveSync® PKI E’ meglio una Root CA privata o commerciale ? Root Privata Permette la completa gestione di tutti i tipi di certificati Costa meno in termini di sw ma molto in termini di configurazione/gestio ne Gli utenti esterni / aziende si devono “fidare” della “Vostra” CA Root Commerciale E’ facile configurare una infrastruttura con le altre aziende Assicurano una corretta gestione delle chiavi Costose Da considerare ... Quante CA avete bisogno ? Chi e quante persone devono avere queste funzionalità avanzate ? Disegno della gerachia PKI Quanti livelli di gerarchia volete ? Volete una CA “dedicata” ? La gerachia “comune” è a tre livelli Per il deploy automatico dei certificati occorre installare Windows 2003 Enterprise Edition La gerachia “comune” per la CA Root CA (qualsiasi X.509 CA) CA che distribuisce le policy Subordinate CA (Any X.509 CA) Subordinate CA (Microsoft Ent CA) Subordinate CA (Any X.509 CA) End Entity End Entity End Entity Metodi per scambiare i certificati tra aziende Scambiarli tramite messaggi di posta Semplice ma non scalabile Richiede una gestione individuale delle chiavi Export ed Import dei CR nella GAL Non scalabile, difficile da mantenere Implementare un LDAP “proxy” server Poche soluzioni disponibili Come scambiarsi i certificati .. • Directory Synchronization Come scambiarsi i certificati .. • Accesso al Directory tramite i referrals Come scambiarsi i certificati .. • Internet Directory Altro possibile modello “Trusted Root Store” Azienda A Azienda B Azienda C Etc.. Forest “extranet” Global Catalog Business Partner Common Name E-Mail Address Cert O LDAP (389) P LDAP SSL (636) P Require Client Certificate P Allow Anonymous Forest interna S/MIME e SmartCard Per poter utilizzare le SmartCard sia per il logon che per la posta elettronica dovete: Installare il modulo corretto Inserire il certificato dell’utente sulla smart card .. uno alla volta ... Utilizzo CA interna DEMO Link www.microsoft.com/technet www.microsoft.com/technet/security http://www.microsoft.com/exchange/imf Hardening Exchange 2003 Library di Exchange 2003