Forefront TMG 2010 a bezpečná publikace Exchange Server 2010

Forefront TMG ve verzi 2010 následuje jiné serverové Microsoft produkty a je nyní dostupný pouze jako 64bitový software. Díky tomu nám vzniká zcela nový scénář nasazení, ve kterém můžeme na jeden server instalovat nejen samotný Forefront TMG, ale také Exchange Server 2010 v Edge Transport roli s antivirovým systémem Forefront Protection 2010 for Exchange Server. Kombinací těchto produktů získáváme komplexní řešení ochrany interního emailového systému, které je odhodláno čelit těm nejzáludnějším útokům.

Spojením těchto produktů na jeden server tak získáme řešení, mimo jiné nabízející tuto funkcionalitu:

• Bezpečná publikace email server-to-server komunikace (SMTP)
• Bezpečná publikace Exchange služeb využívající HTTP protokol (Outlook Web App, Exchange ActiveSync, Outlook Anywhere a další webové služby Exchange)
• Totální propojení Forefront TMG s Exchange Edge Transport rolí
• Řízení nastavení Exchange Antispam a Forefront Protection 2010 for Exchange z konzoly Forefront TMG

Část první – Instalace

Nejprve je potřeba provést instalaci všech nezbytných komponent celého budoucího řešení. Postupujeme následovně:

1. Nejprve instalujeme nezbytné součásti Windows, které budou potřeba pro další programy (např. Active Directory Lightweight Directory Services)
2. Dále instalujeme Exchange Server 2010 v Edge Transport roli
3. Dále instalujeme Forefront Protection 2010 for Exchange Server
4. Jako poslední instalujeme Forefront TMG 2010

Část druhá – Propojení

Jakmile máme instalaci jednotlivých programových komponent za sebou, můžeme se zaměřit na propojení interní Exchange organizace s právě nainstalovanou Exchange Edge Transport rolí. K tomuto účelu slouží průvodce „Email Policy Wizard“. V několika jednoduchých krocích jsme dotázáni na adresy interních mail serverů; na seznam domén, za které chceme přijímat příchozí poštu; na které síti má TMG naslouchat a přijímat interní a externí SMTP komunikaci a také návěstí, které bude při této komunikaci používat (mělo by se shodovat s PTR záznamem k dané externí adrese). Na samém závěru průvodce jsme dotázáni, zdali chceme na danou SMTP komunikaci aplikovat antispam a antivir ochranu a také na to, zdali chceme povolit synchronizaci Exchange Edge Transport tole s interní Exchange organizací. Jakmile je průvodce dokončen, můžeme pomocí Forefront TMG konzoly vygenerovat Edge Subscription File, který nám umožní skrze interní Hub Transport server propojit svět interní Exchange organizace a Exchange Edge Transport role. Tato právě vzniklá replikace je pouze jednosměrná (z interní Exchange do Edge Transport role) a díky ní se nám do Edge Transport role začne synchronizovat např. nejen seznam akceptovaných domén, ale také seznam interních emailových adresátů a jejich seznamy důvěryhodných a nedůvěryhodných adresátů. Exchange antispam dokáže využívat těchto nareplikovaných informací a výrazně tak snížit tzv. False Positive – tedy nesprávné zachycení korektní emailové zprávy. Díky tomu můžeme být v nastavení Antispamu o hodně přísnější a kvalitněji tak čelit záludným spam kampaním.

Obrázek 1: Email Policy Wizard

Odkazy:

• Installing prerequisites for e-mail protection
• Using Mail Protection with Exchange EdgeSync on Forefront TMG

Část třetí – Antispam

Díky tomu, že jsme v předcházejícím průvodci zvolili i možnost používání vestavěného Exchange antispamu, získáváme skrze Forefront TMG konzolu kompletní přístup k nastavení Exchange antispam nástrojů. Tato kontrola funguje velice kvalitně a po řádném nastavení je schopna odstranit téměř všechen spam, který je na vaši společnost směřován.

Kontrola antispamu v zásadě probíhá na třech úrovních:

• Filtrace spojení – kontrola na bázi známé IP adresy, se kterou právě komunikujeme (IP Real Time Block listy, Sender ID DNS záznam, atd.)
• Filtrace protokolu – kontrola toho kdo a komu email zasílá, kontrola protistrany (Sender Reputation, Sender/Recipient Filtering, atd.)
• Filtrace obsahu – kontrola obsahu dle váhy Spam Confidence Level (Content Filtering)

Nastavení těchto antispam agentů v rámci Forefront TMG se plně shoduje s nastavením antispamu na Exchange Server 2007/2010 a proto doporučuji pečlivě nastudovat dokument, který pro správce Exchange před časem napsal kolega Miroslav Knotek.

Obrázek 2: Spam Filtering

Odkazy:

• Exchange 2007 Antispam: STRUČNÝ A NÁZORNÝ PRŮVODCE

Část čtvrtá – Antivir

Exchange Server v sobě standardně neobsahuje antivirovou ochranu. Proto jsme na server kromě samotného Exchange a Forefront TMG instalovali také produkt Forefront Protection 2010 for Exchange, který nám tuto antivirovou ochranu zajistí. Připomínám, že tento produkt se nelicencuje skrze servery, ale skrze klienty. Je tedy zcela jedno, kolik antivir serverů provozujete – pokud tedy již Forefront Protection ve firmě máte zakoupen, nic vám nebrání v tom jej takto nasadit na další server bez nutnosti dalších investic.

Forefront Protection v sobě integruje kromě Microsoft Antimalware ještě další, partnerské antivirové stroje (celkem 5), plus jako bonus jeden antispamový stroj (Cloudmark). Nasazení více antivirových strojů funguje podobně, jako bychom za sebou měli tato jednotlivá antivirová řešení a každá emailová zpráva směřována do naší organizace tak musela projít všemi těmito stroji. Je jasné, že pravděpodobnost průniku, nebo rychlost reakce na nový vir je tak mnohem kvalitnější než v případě, kdy bychom disponovali jen strojem jedním. Za jedny peníze zde tedy získáváme vlastně několik antivirů. Je zcela na vás, jak si antivirové funkce ve vašem prostředí nastavíte, nicméně není bez zajímavosti jistá inteligence, kdy antivir automaticky vybírá ty stroje, které mají nejnovější antivirový vzorek a pomocí nich prohlíží příchozí emailovou komunikaci. Jako u většiny antivirů i zde jste schopni filtrovat nechtěné emaily a jejich přílohy dle klíčových slov, příloh, nebo MIME hlaviček.

Obrázek 3: Virus and Content Filtering

Část pátá – Publikace Exchange HTTP služeb

Jakmile máme propojenu interní Exchange organizaci pomocí SMTP bezpečně s okolním světem, začneme se velmi pravděpodobně brzy pídit po tom, jak Exchange s Client Access rolí, který běží na LAN síti, bezpečně vypublikovat do internetu.

Bude se jednat o následující typy komunikací:

• Exchange Outlook Web App – webové rozhraní pro přístup do Exchange schránky
• Exchange ActiveSync – protokol, který synchronizuje obsah mobilního zařízení s vaší Exchange schránkou
• Outlook Anywhere – komunikace Outlooku směrem k Exchange, která je v prostředí internetu zabalena do zabezpečeného HTTP protokolu

Pro publikaci všech těchto typů komunikací máme ve Forefront TMG konzole k dispozici průvodce „Publish Exchange Web Client Access“, který nás bezpečně provede publikací libovolné verze Exchange (od verze 2000 do verze 2010). Nemá cenu zabíhat do velkých podrobností, ale určitě by vás mohl zaujmout scénář, při kterém v rámci Forefront TMG vzniká tzv. Web farma, která obsahuje více publikovaných web serverů. Forefront TMG tak opakovaně kontroluje dostupnost jednotlivých web serverů a rozkládá zátěž na ty servery, které jsou aktuálně k dispozici. Jedná se o velmi výhodný scénář pro středně velké společnosti, které se pomocí Exchange Server 2010 rozhodli zajistit vysokou dostupnost všech Exchange služeb jen pomocí dvou serverů. Jedná se o velmi populární scénář i díky tomu, že Exchange může v tomto modelu nasazen jen v edici Standard. Nicméně nám zde stále chyběl prvek, který by rozkládal HTTP komunikaci a zajišťoval její vysokou dostupnost v případě výpadku některého ze serverů. Tuto funkcionalitu vám může přinést právě Forefront TMG a Web Server farma.

Obrázek 4: Publikace Exchange HTTP služeb

Část šestá – Aplikační kontrola protokolů

Možná to tak na první pohled nevypadá, ale po vypublikování Exchange a jeho služeb do internetu nám nad jednotlivými protokoly (SMTP a HTTP) dále bdí tzv. aplikační filtry. V rámci SMTP se jedná o automatickou kontrolu a pro její používání nemusíte již nic dělat. Pokud nahlédnete do sekce System -> Application Filters, můžete si nastavení SMTP filtru detailně prohlédnout. Nejedná se o nic extra složitého – tento filtr zajistí, že skrze Forefront TMG projdou jen některé SMTP příkazy a jen jejich přesně dané maximální délky. Toto nastavení je vyváženým modelem, ve kterém se snoubí kompatibilita (stále vám chodí emaily) s bezpečností (minimální šance na úspěšný útok skrze SMTP na publikovaný server).

Při publikaci Exchange služeb využívající HTTP protokol je pro bezpečnost již od počátku uděláno maximum – např. vynucení SSL komunikace, preautentizace, atd. Nicméně díky Forefront TMG máme možnost dále „utáhnout“, co bude skrze HTTP protokol možné směrem k Exchange serveru přenášet. Jedná se o maximální variantu zabezpečení, která využívá totální znalosti komunikace Exchange a jeho klientů a omezuje tak tuto komunikaci na naprosto nezbytné minimum. Doporučuji nastudovat odkaz níže, nicméně např. u publikace Outlook Anywhere se jedná o omezení všech HTTP metod pouze na „rpc_in_data“ a „rpc_out_data“ a v přístupu k extentisions jen na *.dll soubory. Díky aplikační kontrole HTTP, tak díky Forefront TMG dochází k opravdovému omezení HTTP protokolu, které posouvá bezpečnost při publikaci Exchange o několik úrovní dál.

Obrázek 5: Aplikační Filtrace HTTP protokolu

Odkazy:

• Configuring Outlook Web Access publishing
• ConfiguringActiveSyncpublishing
• Typical HTTP Policies for Web and Outlook Web Access Publishing Rules

Část sedmá – Závěr

Během tohoto článku jsem se snažil vás seznámit s novými možnostmi nasazení a propojení světa emailové komunikace Exchange, se světem bezpečnosti v podobě propojení a novými možnostmi spolupráce s aplikacemi z produktové rodiny Forefront – konkrétně Forefront TMG a Forefront Protection 2010 for Exchange.

- Martin Pavlis – Senior IT konzultant KPCS CZ, s.r.o. – martin@pavlis.net - Microsoft MVP