-=Wok=- Blog


Your Network. Our Passion (Networking ed altro)
Anno 2008

Anno 2007

Anno 2006

Accedi alle gallerie!
Home Blogs | Home | Login | Contact | My Profile | RSS | About | Cerca

Exchange FE-BE e IPSec

Spesso mi viene chiesto quale sia il posizionamento migliore di un server FE Exchange per l’accesso OWA. La documentazione MS fa quasi sempre riferimento ad ISA server e alla sua capacità di pubblicare in sicurezza verso l’esterno siti web presenti in LAN.

 

Non sempre però questa situazione è quella che il richiedente predilige, vuoi perché non possiede ISA server ma un FW hardware (appliance) vuoi perché possiede una DMZ già funzionante.


Il problema dello scenario FE-BE con FE in DMZ è che i FE devono comunicare con i BE Exchange e con i DC/GC in LAN con tutte una serie di porte statiche per i più disparati servizi Kerberos, LDAP, GC lookups, SMB, DNS, SMTP, MAPI  (es 443, 389, 3268, 88, 80 per la lista completa visitate: http://www.microsoft.com/technet/prodtechnol/exchange/Guides/E2k3FrontBack/5047c17e-795b-4e23-b5f5-8912b2017ded.mspx?mfr=true) più delle porte dinamiche superiori alla 1024 (a meno che non si intervenga manualmente sul registry per renderle statiche)

 

Sfortunatamente  che per un corretto funzionamento si devono aprire degli accessi dalla DMZ alla LAN verso (come minimo) tutti i DC nello stesso sito AD in cui è il FE Exchange (a meno che non si voglia stabilire in modo statico a quale DC si può collegare il FE Exchange ma questo non è consigliato) riducendo il vostro FW al livello di un colapasta.

 

Per evitare l’apertura delle singole porte si può optare per l’utilizzo delle policy IPSec di Windows che permettono, aprendo il FW tra DMZ e LAN per il seguente traffico:

 

·          UDP port 500 – IKE

·          IP protocol 51 – AH

·          IP protocol 50 – ESP

·          UDP port 88 and TCP port 88 – Kerberos

 

di far transitare tutto il necessario attraverso un tunnel criptato, sia le porte statiche che quelle dinamiche. Quando si configura il FW è importante ricordarsi di impostarlo in modo tale da permettere alla DMZ di iniziare le sessioni verso la LAN.

 

 

Ecco il link per creare passo passo una policy IPSec tra due server.

 

http://www.microsoft.com/technet/prodtechnol/windows2000serv/howto/ispstep.mspx

 

Per quello che riguarda la configurazione dei server di FE e BE visionate invece il documento:

http://www.microsoft.com/technet/prodtechnol/exchange/Guides/E2k3FrontBack/5047c17e-795b-4e23-b5f5-8912b2017ded.mspx?mfr=true

 

Resta solo un problema, qual’è il ruolo di questa DMZ? Purtroppo non quello di proteggere la LAN.  Se qualcuno riesce ad hackerare il vostro server l’attaccante potrà usare la connessione IPSec per avere l’accesso ai BE e all’AD.

In base al tipo di diritti acquisiti l’attaccante potrà arrivare a fare un dcpromo dei server attaccato e promuoverlo a DC, a quel punto vi troverete un DC in DMZ…

 Come accorgersi che qualche cosa di strano sta succedendo? Utilizzando un sistema di IDS

Categoria: Exchange
venerdì, 03 nov 2006 Ore. 12.35



  • Views Home Page: 87.884
  • Views Posts: 213.254
  • Views Gallerie: 14.266
  • n° Posts: 115
  • n° Commenti: 110
Copyright © 2002-2007 - Blogs 2.0
dotNetHell.it | Home Page Blogs
ASP.NET 2.0 Windows 2003