Bảo vệ luồng thư SMTP an toàn giữa các tổ chức Exchange Server 2007

Chia sẻ: Abcdef_46 Abcdef_46 | Ngày: | Loại File: PDF | Số trang:9

Thêm vào BST

Báo xấu

75
lượt xem 7
download

Download Vui lòng tải xuống để xem tài liệu đầy đủ

Trong bài này, tôi sẽ chỉ cho các bạn cách tạo luồng thư luân chuyển SMTP an toàn giữa các hệ thống Exchange Server 2007 trong nhiều tổ chức Exchange khác nhau. Bảo vệ lưu lượng SMTP giữa các tổ chức Exchange 2007 đơn giản hơn nhiều so với những phiên bản trước đó của nó. Những vấn đề cơ bản Bảo vệ lưu lượng SMTP giữa các Exchange Server khác nhau có cần thiết? Chúng ta hãy thử một kiểm tra nho nhỏ sau. Khởi động chương trình dò mạng với trình phân tích lưu lượng yêu thích nhất...

Chủ đề:

Bình luận(0) Đăng nhập để gửi bình luận!

Lưu

Nội dung Text: Bảo vệ luồng thư SMTP an toàn giữa các tổ chức Exchange Server 2007

Bảo vệ luồng thư SMTP an toàn giữa các tổ chức Exchange Server 2007 khác nhau Trong bài này, tôi sẽ chỉ cho các bạn cách tạo luồng th ư luân chuyển SMTP an toàn giữa các hệ thống Exchange Server 2007 trong nhiều tổ chức Exchange khác nhau. Bảo vệ lưu lượng SMTP giữa các tổ chức Exchange 2007 đ ơn giản hơn nhiều so với những phiên bản trước đó của nó. Những vấn đề cơ bản Bảo vệ lưu lượng SMTP giữa các Exchange Server khác nhau có cần thiết? Chúng ta hãy thử một kiểm tra nho nhỏ sau. Khởi động chương trình dò mạng với trình phân tích l ưu lượng yêu thích nhất của bạn. Ở ví dụ này, tôi dùng Microsoft Network Monitor 3.0. Trong khi chương trình dò mạng đang chạy, khởi động phi ên Telnet trong Exchange Server với cổng 25 và gửi một thư qua đó. Ngừng chương trình dò tìm bằng Netmon và lọc lưu lượng được đóng gói bởi giao thức SMTP. Bạn thấy những gì? Vâng, toàn bộ chương trình thẩm định của phiên SMTP là văn bản thuần tuý!
Hình 1: Dò tìm m ạng SMTP với Netmon Hình 2: Gửi một thư SMTP qua Telnet Bây giờ, bạn biết là cần phải triển khai một số ch ương trình bảo mật giữa các Exchange Server. Nhưng giải pháp nào là tốt nhất? Nếu sử dụng IPSEC thì ý nghĩa của nó sẽ như thế nào khi động? Ít nhất, bạn phải sử dụng các khoá “tiền chia sẻ” để triển khai IPSEC giữa các server. Và chương trình sẽ hoạt động tốt nếu số lượng server Exchange của bạn chỉ dừng ở con số khi êm tốn là một vài. Giải pháp khác, triển khai IPSEC trên nhiều hệ thống Exchange Server, sử dụng các chứng chỉ. Nếu muốn triển khai chứng chỉ giữa các Excha nge Server, bạn sẽ cần một PKI (Public Key Infrastructure). Có một giải pháp mới khác trong Exchange Server 2007 l à sử dụng hàm dựng sẵn. Exchange Server 2007 sử dụng một số phương thức dưới đây nhằm đảm bảo tính toàn vẹn và mã hoá cho thư: Mutual TLS  Opportunistic TLS  Direct Trust  Domain Security  Mutual TLS TLS (Transport Layer Security), t ức giao thức bảo mật tầng giao vận là sự nối tiếp của Secure Sockets Layer (SSL) - giao thức tầng socket bảo mật. SSL được dùng để mã hoá luồng thư trong Exchange 2007. Thuật ngữ Multual
nghĩa là cả hai hệ thống Exchange Server trong tiến trình giao vận thư sẽ kiểm tra chứng chỉ TLS trước khi kết nối được thiết lập. Mutual TLS đ ược triển khai ở cấu hình, trong đó cả người gửi và người nhận đều thẩm định lẫn nha u trước khi gửi dữ liệu. Opportunistic TLS Opportunistic TLS là thành phần mới trong Exchange 2007. Exchange Server 2007 cố gắng đảm bảo an toàn cho luồng thư tới một hệ thống Exchange 2007 khác, hoặc tới hệ thống nhận th ư bên ngoài. Nó c ũng cố gắng cho phép một phiên TLS với hệ thống nhận thư khác ở dạng yêu cầu TLS nặc danh. Đây là điểm khác so với Exchange 2003. Ở Exchange 2003, bạn phải cho phép TLS “một cách thủ công” giữa hai hệ thống Exchange Server khác nhau. Direct Trust Tất cả lưu lượng thư đều được mã hoá tự động giữa các hệ thống Exchange Server, bất kể vai trò được sử dụng là Hub Transport hay Edge Transport. Direct Trust không dùng cơ chế thẩm định tính hợp lệ của chứng chỉ X.509 tổng hợp. Thay vào đó, nó dùng cơ chế xác nhận trực tiếp sự hiện diện của một chứng chỉ trong Active Directory. Bạn sẽ không gặp phải vấn đề g ì nếu sử dụng các chứng chỉ tự ký hoặc chế độ thẩm định chứng chỉ nội bộ. Domain Security Domain Security là sự kết hợp các kỹ thuật và thành phần khác nhau, như chương trình quản lý chứng chỉ, chức năng bộ kết nối Exchange Server và hoạt động của các dịch vụ hỗ trợ th ư điện tử (Microsoft Outlook 2007). Mục đích xây dựng Domain Security trong Exchange Server 2007 cũng nhằm thiết lập kết nối an toàn với Mutual TLS. Triển khai TLS bảo mật Nhằm mục đích an toàn cho dòng l ưu chuyển mail với mutual TLS, bạn có thể dùng các server Hub Transport. Hoặc nếu như đã triển khai Edge Server, bạn cũng có thể dùng nó với các hệ thống Exchange Server. Ở bước đầu tiên, bạn phải thiết lập một chứng chỉ qua Forest đáng tin cậy với hai tổ chức Exchange. Ít nhất bạn phải th êm chứng chỉ Root CA từ c ơ chế thẩm định Certification authority (CA) bên ngoài vào chứng chỉ Root CA đáng tin
cậy lưu trữ trên Hub Transport hoặc Edge Transport Server. Nếu có nhiều Server Edge hoặc Hub Transport, sẽ tốt hơn khi triển khai chứng chỉ CA tin cậy hoặc thêm chứng chỉ Root CA vào nơi lưu trữ Trusted Root CA qua các Group Policy. Hình minh hoạ dưới là ảnh chứng chỉ Root CA của tổ chức B. Hình 3: Chứng chỉ Root CA đến từ tổ chức Exchange khá c. Subject Name Subject Name (tên đối tượng) giữ vị trí quan trọng trong các chứng chỉ d ùng bởi Exchange 2007. T ên đối tượng của một chứng chỉ TLS đ ược dùng bởi các dịch vụ nhận dạng DNS. Dịch vụ nhận dạng DNS sẽ gọi t ên đối tượng của một chứng chỉ và so sánh nó với yêu cầu. ISA Server l à một ví dụ điển hình. Khi đưa ra Outlook Web Access hoặc Outlook Anywhere trong một cầu HTTPS, tên của chúng trên chứng chỉ phải khớp hoàn toàn với tên trong URL, dùng để truy cập OWA hoặc Outlook Anywhere. Tr ường Subject Name trong một chứng chỉ rằng buộc chứng chỉ đó với một server đ ơn hoặc một tên miền đặc biệt. Bảng sau cung cấp cho bạn tổng thể một số t ên Relative Distinguished Names, tức RDN sử dụng thường xuyên. Tần suất\Mức Trật tự Kích Viết thước lớn nhất\Mức trong Kiểu Tên tắt lớn đối nên dùng trong nhất chứng chỉ\Yêu tượng
cầu Nước/Vùng C ASCII 2 1\ 1 1 Domain Component Nhiều DC ASCII 255 1 (thành phần miền) Bạng hoặc S Unicode 128 1 2 Tỉnh Vị trí L Unicode 128 1 3 Tổ chức O Unicode 64 11 4 Đơn vị có Nhiều\nhiều OU Unicode 64 5 tính tổ chức Nhiều\1 Tên chung CN Unicode 64 6 Bảng 1: Các tên Relative Distinguished Name được dùng phổ biến. Yêu cầu chứng chỉ Bước tiếp theo là yêu cầu chứng chỉ, thông qua Exchange Management Shell. File yêu cầu chứng chỉ có thể được dùng để cấp phát một chứng chỉ từ CA nội bộ. Hình 4: Yêu cầu chứng chỉ Exchange.
Mở web console CA và đưa ra yêu c ầu chứng chỉ bằng cách sử dụng file PKCS#10 hoặc file CMC mã hoá 64 bit. Hình 5: Cho phép chứng chỉ với web console. Hình dưới minh hoạ một ví dụ về file yêu cầu chứng chỉ. Nếu trình duyệt của bạn không cho phép mở file, bạn có thể copy và paste toàn bộ văn bản từ file yêu cầu vào khu vực yêu cầu chứng chỉ của web console. Hình 6: File yêu cầu chứng chỉ. Đưa ra yêu cầu chứng chỉ.
Hình 7: Đưa ra yêu cầu chứng chỉ. Trong hình sau, bạn sẽ thấy chứng chỉ được cấp phát từ Certificate Authority nội bộ. Hình 8: Các chứng chỉ được cấp phát. Nhập chứng chỉ Một vấn đề quan trọng là bạn phải dùng Exchange Management Shell để nhập chứng chỉ. Import-ExchangeCertificate -Path c:\certificates\import.pfx | Enable- ExchangeCertificate -Services SMTP
Hình 9: Nhập chứng chỉ vào Exchange. Cho phép miền domaene.tld đóng vai tr ò như một danh sách miền với Exchange Management Shell Set-TransportConfig -TLSReceiveDomainSecureList domaene.tld Hình 10: Cho phép Domain Secure List. Cho phép Domain Security hoạt động trên bộ kết nối gửi SMTP có tên “Outbound” Set-SendConnector Outbound -DomainSecureEnabled:$True
Hình 11: Cho phép Domain Security với TLS trong Exchange Management Console Cho phép Domain Security trên bộ kết nối nhận SMTP có tên “Inbound” Set-ReceiveConnector Inbound -DomainSecureEnabled:$True - AuthMechanism TLS Chú ý: Thư điện tử phân phối thành công qua miền kết nối luồng mail an to àn được hiển thị trong Outlook 2007 d ưới tựa “Domain Secure”. Kết luận Như bạn đã thấy trong bài này, việc triển khai luồng th ư SMTP an toàn gi ữa các server Exchange 2007 trong các tổ chức Exchange 2007 khác nhau không có gì là quá phức tạp. Và do đó mà bạn không cần phải dùng đến giải pháp quá nâng cao như triển khai IPSEC. T.Thu (Theo MsExchange)