第 4 章 – 維護 Exchange 通訊安全之 1
本頁索引
維護 Outlook 20002 的通訊安全
維護 OWA 通訊安全
提升任何網路的安全性時,不應該只檢查電腦本身的安全性,也應該檢查在電腦之間流通來往的資料安全性。不論是何種系統,最好的方式就是先查看可用的功能,然後檢測所需的功能,考量各種功能所帶來的風險。
本指南假定所需要的功能為:a) 透過網際網路傳送及接收電子郵件,以及 b) 利用 Outlook Web Access,透過網際網路存取 Exchange。如果您並不需要這些功能,那麼就可以更加嚴密地鎖定系統。另一方面,若需要 POP3 與 IMAP4 功能,就必須開放環境以便容納這些功能。
本指南所建議的前端/後端環境可以讓您在網際網路之間傳送郵件,並且透過網際網路,提供了存取 Exchange的功能。本章要檢視如何維護這種通訊安全,同時也檢視用戶端的通訊安全維護。
請注意:使用 ISA Server 提供的 Exchange 遠端程序呼叫 (RPC) 應用程式篩選器可以透過網際網路存取 Outlook。本指南內容不討論這種存取 Exchange 的方式。請參閱〈Configuring and Securing Microsoft Exchange 2000 Server and Clients〉白皮書與《Microsoft Exchange 2000 Server Hosting Series》(Microsoft Press 出版,ISBN:0-7356-1829-1 and 0-7356-1830-5),此書也列在〈其他資訊〉一節中。
維護 Outlook 20002 的通訊安全
在 Outlook 2002 中可以採用幾種措施來維護通訊的安全。其中包括:
為 Outlook 2002 到 Exchange 伺服器之間的 MAPI 連線進行加密
利用 S/MIME 憑證來為郵件簽名和加密
為 Outlook 2002 到 Exchange 伺服器之間的 MAPI 連線進行加密
Windows 2000 擁有內建安全性功能,因此,可以進行 RPC 通訊的 128 位元加密。MAPI 連線是發生在 RPC 上的,因此可以利用這項功能來提升從 Outlook 2002 用戶端到 Exchange 伺服器之間的連線安全。
啟用從 Outlook 2002 到 Exchange 伺服器之間 MAPI 連線的 RPC 加密
- 在 Outlook 2002 中,請按一下 [工具],然後按 [電子郵件帳號]。
- 按一下 [下一步]。
- 確定已選取 Exchange 伺服器,然後按一下 [變更]。
- 按一下 [其他設定]。
- 按一下 [進階] 索引標籤。
- 核取 [在使用網路時]。
- 按一下 [確定]。
- 按一下 [下一步]。
- 按一下 [完成]。
請注意:在 Outlook 2002 中設定使用者設定檔時,也可以指定這項設定值。
RPC 加密只對從 MAPI 用戶端傳送到 Exchange 伺服器的資料進行加密。而不是就郵件本身進行加密。
為郵件簽名及加密
Outlook 2002 能夠為郵件簽名並加密,再傳送給內部或外部收件者。要使用這種加密就必須具備憑證。如果要傳送經過簽名和/或加密的電子郵件給網際網路收件者時,就必須使用第三方廠商的可識別憑證 (一般稱為數位 ID)。
一旦在用戶端上安裝了憑證之後,就可以使用 S/MIME,開始傳送經過簽名及加密的郵件。如果能夠存取其他使用者的公開金鑰,就可以只傳送加密的郵件給其他使用者。這種作法必須請其他使用者先將已簽名的郵件傳送進來,然後再將該使用者加入連絡人中。之後就會有對方的公開金鑰可以使用。
請注意:如需有關簽名及加密郵件的詳細資訊,請參閱知識庫文件 Q286159〈Encryption and Message Security Overview〉。
金鑰管理服務
如果需要經常在 Exchange 組織內的使用者之間傳送已簽名及加密的郵件時,就必須考慮使用 Exchange 2000 提供的金鑰管理服務。這項服務是利用 Windows 2000 憑證服務,提供了存取公開金鑰以外,還可安全而且集中式地存取私密金鑰。因此,用戶端可以不著痕跡地存取經過簽名及加密的郵件,也可以傳送這些經過簽名及加密的郵件至在全域通訊名單 (GAL) 中任何其他已啟用安全性的收件者。
請注意:如果使用 Key Management Server 加上附屬於第三方 CA 的憑證授權單位 (CA),就可以與網際網路上的其他使用者整合金鑰管理服務。
維護 OWA 通訊安全
剛開始檢視 OWA 通訊時,看起來是非常簡單的。Web 瀏覽器與 OWA 伺服器通訊以取得電子郵件。這項作業是透過連接埠 80 進行的,若是取得通訊安全性則是透過連接埠 443 進行。但是並非這樣就結束了。雖然用戶端是透過連接埠 80 或連接埠 443 與前端伺服器連接,這些前端伺服器還必須再與網域中的網域控制站通訊以便驗證使用者。同時也必須與 Exchange 後端伺服器通訊,以便從適當的信箱或公用資料夾確實地取得資訊。
要保障 OWA 前端伺服器安全性的方法是:將前端伺服器置於外圍網路 (Perimeter Network,也稱為 DMZ) 之內,而且將後端伺服器置於內部防火牆之內。但是若要使幾上方法能夠有效運作的話,就必須開放內部防火牆上的大量連接埠才行。
使用 ISA Server 來維護 OWA 的安全
如果打算將內部防火牆上所需開放的連接數目埠減到最少,可以使用應用程式層防火牆 (如 Microsoft Internet Security and Acceleration (ISA) Server) 來執行此項任務。ISA Server 可以讓您將 SMTP 伺服器和 OWA 前端伺服器一起放在防火牆後面。ISA Server 是利用伺服器發行與 Web 發行規則,毋需將伺服器放在 DMZ 中就可以模擬內部伺服器向外界發佈。
請注意:如需使用於前端與其他伺服器之間通訊的連接埠清單,請參閱《Exchange 2000 Front-end and Back-end Topology》白皮書,這份文件也列在本章最後的〈其他資訊〉一節中。
下圖顯示 ISA Server 發行 OWA 伺服器至網際網路上的 OWA 用戶端:
圖 4.1 安全防火牆架構
請注意:在此設定中,前端 OWA 伺服器的外部 DNS 項目必須指向 ISA Server 上發行的 IP 位址,而不是 OWA 前端伺服器的位址。
請注意:如果不能變更現有的兩個防火牆基礎架構來容納 ISA Server 時,可以將 ISA Server 放在目前的內部防火牆之中,然後通過 TCP 連接埠 443 傳送到 ISA Server 上。
防火牆可協助您保護伺服器以避免遭受攻擊。但是,同時您也必須保護在伺服器間來往傳送的資料。當網際網路上的 Web 瀏覽器用戶端使用 HTTP 透過 OWA 存取 Exchange 時,作業狀況如下:
- HTTP 要求從 Web 瀏覽器傳送給 ISA Server。如果 ISA 發行規則准許通過時,要求就會傳送到 OWA 前端伺服器上。
- ISA Server 以本身的 IP 位址作為來源 IP 位址,建立到前端伺服器的 HTTP新連線。
- HTTP 要求會在 OWA 前端伺服器上進行處理。在處理程序中,OWA 前端伺服器會執行下列作業:
- ‧ 對通用類別目錄伺服器驗證使用者及連絡人,以判斷使用者信箱的位置。
- ‧ 解析使用者信箱伺服器的 IP 位址。
- OWA 前端伺服器會在後端 Exchange 伺服器建立新 HTTP 工作階段。
由於 IIS 架構的一部份是支援 OWA 的,因此必須啟用基本驗證。當用來做通訊的唯一通訊協定為 HTTP 或 HTTPS,整合式的 Windows 驗證就無法運作,而且您無法使用匿名存取,否則就會將電子郵件環境開放給網際網路上的任何人使用。
基本驗證代表在 HTTP 連線上,密碼和電子郵件是以未加密的形式通過網際網路傳送。如果沒有使用其他加密方法,這些封包就會繼續以未加密的純文字形式,在 ISA Server 與 OWA 前端伺服器之間傳送。在 OWA 進行驗證之後,相同的未加密資訊 (包括密碼在內) 都會透過 HTTP 在 OWA 前端伺服器和後端伺服器之間傳送。若要防止這種現象的發生,重要的事就是一定要順著 Web 瀏覽器與後端 Exchange 伺服器之間通訊的路徑全線,為使用者認證加密。執行下列作業即可達到以上目的:
- 使用 SSL 加密,取得 Web 瀏覽器與 ISA Server 之間的通訊安全
- 使用 SSL,取得 ISA Server 與 OWA 前端伺服器之間的通訊安全。
- 使用 IPSec 加密,取得 OWA 前端伺服器與後端 Exchange 伺服器之間的通訊安全。
下文將逐項探討這些作業。
取得 Web 瀏覽器與 ISA Servers 之間的通訊安全
若要使用 SSL,在 Web 瀏覽器與 ISA Server 之間為資料加密,就必須在 ISA Server 上安裝 SSL 憑證及適當的 SSL 接聽項。憑證應該是由全球信任的 CA 所核發,因為該憑證是要由不屬於組織基礎架構的外部 Web 用戶端來使用。
設定 ISA Server 來支援 SSL 通訊
ISA Server 可以用幾個方法來設定,以便接受來自 Web 瀏覽器的 SSL 要求。ISA Server 可以:
- 接收 SSL 通訊,並將通訊傳送到防火牆之內的伺服器。
- 將 SSL 通訊解密,並將通訊以未加密形式傳送到後端。
- 將 SSL 通訊解密,然後再重新將通訊加密,並傳送到後端。
請注意:將 SSL 通訊解密又重新加密的作業必須要有 ISA Server SP1 (含) 以上版本。必須先安裝 ISA Server SP1 (含) 以上版本,以下程序才能正確運作。
在上述三種方法中,最安全的方法是將封包解密之後再重新加密,因為這樣就可以讓 ISA Server 檢查資料是否有漏洞。而且也能夠保護資料避免遭受 ISA Server 內部的攻擊。
請注意:某些國家的法律可能會明文規定不准對資料進行解密,並在網路的中間點進行檢查。您應該事先檢查這個方案所隱含的法律意義,再加以採用。
請注意:若要改善效能並減低 SSL 的額外負荷,就應該考慮使用 SSL 加速器網路介面卡。
如果打算為資料成功地加密,就必須確定具備下列各項:
- OWA 的 ISA Server 憑證需要有一般名稱,也稱為好記的名稱,該名稱必須與 Web 瀏覽器用來參照 OWA 資源的完整網域名稱 (FQDN) 相符。例如,如果用戶端所使用的 OWA URL 是 **https://mail.nwtraders.com/exchange**,憑證的一般名稱就應該是 mail.nwtraders.com。
- 憑證必須匯入 ISA Server 的「個人」電腦存放區或是發行 OWA 資源的伺服器中。將憑證匯入 ISA Server 時,請確定已啟用 [Mark the private key as exportable]。
- 若要避免意外傳輸純文字密碼,ISA Server 必須只允許安全通道,而且拒絕已發行 OWA 網站的純文字 HTTP 連線。
ISA Server 使用網頁發行規則,將 OWA 伺服器提供給網際網路用戶端使用。但是在建立網頁發行規之前,Web 發行就必須事先安裝在 ISA Server 上。準備工作是透過設定 [Incoming Web Requests] 和 [Outgoing Web Requests] 來完成的。
請注意:完成下列程序以前,必須先匯入外部憑證。
設定Incoming Web Requests
- 啟動 [ISA Managment]。
- 以滑鼠右鍵按一下 ISA Server,然後選取 [內容]。
- 按一下 [Incoming Web Requests] 索引標籤。
- 選取 [Configure listeners individually per IP Address],然後按一下 [Add]。
- 選取 ISA Server,再選取 ISA Server 的外部 IP 位址。
- 選取 [Use a server certificate to authenticate web clients]。
- 按一下 [Select],然後選取 FQDN 用戶端要用來存取 SSL 站台的憑證。
- 按一下 [OK]。
- 選取 [Enable SSL Listeners]。
- 按一下 [OK]。
- 按一下 [OK]。
- 按一下 [Save the changes and restart the service(s)],然後按一下 [OK]。
設定 Outgoing Web Requests
請注意:執行下列程序可防止內部網路上的使用者利用 ISA Server 作為 Proxy 伺服器來存取網際網路上的網站。想讓 OWA 透過 ISA 提供使用並不需要此程序,但將此程序包含在內可提供額外的安全性。
- 啟動 [ISA Managment]。
- 以滑鼠右鍵按一下 ISA Server,然後選取 [內容]。
- 按一下 [Outgoing Web Requests] 索引標籤。
- 選取 [Configure listeners individually per IP Address],確定並未列出任何 IP 位址,然後按一下 [OK]。
- 按一下 [Save the changes and restart the service(s)],然後按一下 [OK]。 現在您已取得身份,可以設定 Web 發行來支援 OWA。
設定 OWA 的 Web Publishing
- 在 [ISA 管理] 中展開 [ISA Server],然後展開 [Publishing]。
- 以滑鼠右鍵按一下 [Web Publishing Rules],選取 [New],然後選取 [Rule]。
- 提供名稱,如「OWA – 」,然後按一下 [Next]。
- 確認 [All destinations],然後按一下 [Next]。
- 確認已選取 [Any request],然後按一下 [Next]。
- 選取 [Redirect the request to this internal Web server (name or IP Address)],按一下 [Browse],然後選取 OWA 前端伺服器。
- 選取 [Send the original host header to the publishing server instead of the actual one (specified above)],然後按一下 [Next]。
- 按一下 [Finish]。
- 在資料夾窗格中按一下 [Web Publishing Rules],然後按兩下新規則。
- 按一下 [Bridging] 索引標籤。
- 選取 [Require secure channel (SSL) for published site],選取 [Require 128-bit encryption],然後按一下 [OK]。
請注意:您也需要在環境中的適當路由器和防火牆上,為連接埠 80 和連接埠 443 設定適當的規則。
請注意:如需有關使用 ISA Server 來發行 SMTP 和 OWA 的詳細資訊,請參閱知識庫文件 Q290113〈How to Publish Outlook Web Access Behind ISA Server〉和 Q308599〈How to Configure ISA Server to Publish Exchange for OWA〉。
ISA Servers 與 OWA 前端伺服器之間的加密
若要為 ISA Server 與 OWA 前端伺服器之間的 HTTP 傳輸加密,就必須在 OWA 前端伺服器上安裝 SSL 憑證。ISA Server 與 OWA 前端伺服器是組織基礎架構的一部份,因此 OWA 前端憑證可以由組織的內部根 CA 或任何其所信任的附屬憑證授權單位核發。
為 OWA 前端伺服器要求憑證
請注意:下列步驟假設您已經在環境中安裝了 CA。
- 啟動 OWA 前端伺服器上的 [Internet 服務管理員]。
- 以滑鼠右鍵按一下 [預設的網站],然後按一下 [內容]。
- 按一下 [目錄安全設定] 索引標籤,然後按一下 [伺服器憑證]。
- 按一下 [下一步],按一下 [建立新憑證],然後按一下 [下一步]。
- 按一下 [立即傳送要求到線上憑證授權] 選項按鈕,然後按一下 [下一步]。
- 在 [名稱] 欄位中,鍵入名稱,然後按一下 [下一步]。
- 在 [組織] 欄位中,鍵入組織的名稱。
- 在 [組織單位] 欄位中,鍵入組織單位的名稱,然後按一下 [下一步]。
- 在 [一般名稱] 欄位中,鍵入 OWA 前端伺服器的 FQDN,然後按一下 [下一步]。
- 鍵入州/省和市的資訊,然後按一下 [下一步]。
- 在 [憑證授權單位] 下拉式清單方塊中,確認已選取憑證授權單位,然後按一下 [下一步]。
- 按一下 [下一步] 提出要求,然後按一下 [完成] 來完成精靈作業。
- 在 [目錄安全設定] 索引標籤上,[安全通訊] 群組方塊中,按一下 [編輯]。
- 選取 [必須使用安全通道 (SSL)],選取 [需要 128 位元加密],然後按一下 [確定]。
- 在 [目錄安全設定] 索引標籤上,在 [匿名存取及驗證控制] 群組方塊中,按一下 [編輯]。
- 選取 [基本驗證] (密碼是以純文字傳送),然後按一下 [是] 來確認警告。
- 清除所有其他選項,然後按一下 [確定]。
- 按一下 [確定]。
- 按一下 [確定] 來關閉 [繼承覆寫] 對話方塊,然後關閉 [Internet 服務管理員]。
請注意:一般名稱是 OWA 伺服器的 FQDN,因為它與 ISA Server 上的 OWA 發行規則屬性相符。ISA Server 會在發行程序期間,檢查 OWA Web 憑證的有效性,同時也檢查憑證信任鏈驗證和憑證到期日期。
OWA 前端伺服器與後端 Exchange 伺服器之間的加密
在 OWA 前端伺服器與後端伺服器之間是無法使用 SSL 為資料加密。但是由於前端與後端伺服器都是執行 Windows 2000,因此可以使用 IPSec 來進行加密。IPSec 有一項好處,就是速度比 SSL 快許多。
請注意:若要改善效能,同時減低 IPSec 的額外負荷,應該考慮使用專門的網路介面卡,將 IPSec 處理卸載到介面卡上。
IPSec 可以讓您控制網路介面卡接受的通訊協定,封鎖或准許某些連接埠,同時為其他連接埠加密。在前端/後端伺服器通訊時,必須要確保連接埠 80 是已加密的。 IPSec 是透過 IPSec 原則加以控制,這些原則是在 Windows 2000 群組原則之內定義。
資料表 4.1:IPSec 原則設定
原則 | 設定 |
OWA 前端 | 連接埠 80 輸出 – 加密 連接埠 80 輸入– 封鎖 |
後端 | 連接埠 80 輸入 – 加密 |