Xin chào ! Nếu đây là lần đầu tiên bạn đến với diễn đàn, xin vui lòng danh ra một phút bấm vào đây để đăng kí và tham gia thảo luận cùng VnPro.
X
Collapse
 
  • Page of 1
  • Filter
  • Time
  • Show
Clear All
new posts
Previous template Next
  • #1

    Những tính năng bảo mật của OWA

    Những tính năng bảo mật của OWA (Phần 1)


    Outlook Web Access (OWA) ban đầu có tên có tên là Exchange Web Connect, đây là một dịch vụ Webmail được tích hợp lần đầu tiên trong phiên bản Microsoft Exchange Server 5.0 và sau đó được Microsoft tiếp tục sử dụng trong các phiên bản tiếp theo.

    Giao diện web của Outlook Web Access có giao diện phỏng theo giao diện của Microsoft Outlook. OWA là một công cụ truy cập vào các ứng dụng trong Microsoft Outlook, truy cập vào tài liệu trong các trang Microsoft SharePoint và mạng chia sẻ, ... Ngoài ra nó còn hỗ trợ người dùng kết nối từ xa thông qua một ứng dụng trình duyệt Web.

    Outlook Web Access của Exchange 2007 trong Exchange 2007 đã được cải tiến khá nhiều những tính năng bảo mật so với những phiên bản trước đó. Để giúp các bạn có cái nhìn trực quan hơn, trong loạt bài viết này chúng ta sẽ khám phá một số tính năng bảo mật của OWA và phương pháp hoạt động của chúng.

    Định vị Client Access Server

    Trước tiên chúng ta sẽ tìm hiểu một tính năng bảo mật quan trọng của OWA trong Exchange 2007 đó là khả năng bảo mật máy chủ cung cấp OWA có tên Client Access Server. Trong Exchange 2000 và Exchange 2003, máy chủ giao tiếp không giống với Client Access Server trong Exchange 2007. Đôi khi có trường hợp nhiều hệ thống triển khai máy chủ giao tiếp trong một mạng ngoài mà không biết rằng máy chủ đó có phù hợp với vị trí đó hay không, dù sau đó máy chủ giao tiếp này sẽ thực hiện kết nối tới máy chủ thư tín phụ trợ. Tuy nhiên, cấu hình như vậy thường không phù hợp vì việc đặt máy chủ giao tiếp trong một mạng ngoài sẽ yêu cầu mở nhiều cổng bổ sung trên hệ thống tường lửa giúp chia cắt mạng ngoài với mạng nội bộ (chứa máy chủ mail phụ trợ). Cần nhớ rằng trong Exchange 2007 không hỗ trợ đặt Client Access Server vào mạng ngoài do đó bạn cần tính toán trước khi lên kế hoạch bố trí các Client Access Server.

    Tiếp theo, chúng ta sẽ tìm hiểu những tính năng bảo mật quan trong khác của OWA, bắt đầu với mã hóa Secure Sockets Layer (SSL) và những chứng nhận được sử dụng vào mục đích này.

     Secure Sockets Layer

    Một trong những cải tiến bảo mật lớn của OWA trong Exchange 2007 đó là khả năng mã hóa SSL được kích hoạt theo mặc định. Để thực hiện mã hóa qua SSL, Exchange 2007 sử dụng những digital certificate (chứng nhận số). Thông thường khi nhắc tới lthuật ngữ này chúng ta sẽ nghĩ nagy tới những chứng nhận quyền nhóm ba như Verisign, hay một chứng nhận quyền tương thích với môi trường Active Directory. Dù đánh giá này là chính xác thì chứng nhận SSL mặc định do Exchange 2007 tạo trong quá trình cài đặt thực ra là một chứng nhận tự cấp. Điều này có nghĩa là những chứng nhận phân quyền nhóm ba sẽ cấp những chứng nhận mà nó tạo ra, những chứng nhận tự cấp do Exchange 2007 tạo sẽ được chính Exchange 2007 chấp thuận.

    Hình 1 hiển thị một chứng nhận tự cấp được một máy chủ Exchange 2007 tạo với một tên NetBIOS của CCR-SRV1. Hình 2 hiển thị trường Subject Alternative Name của cùng loại chứng nhận.


    Hình 1: Tab General của một chứng nhận tự cấp trong Exchange 2007.

    Hình 2: Trường Subject Alternative Name của chứng nhận tự cấp trong Exchange 2007.

    Trong hình 2 bạn có thể thấy chứng nhận đó có một trường Subject Alternative Name được cài đặt với tên NetBIOS của máy chủ và Fully Qualified Domain Name (FQDN). Ngoài ra, hình 1 còn cho thấy chứng nhận tự cấp này theo mặc định không đáng tin cậy như những chứng nhận nhóm ba. Nói cách khác, bạn cần phải copy chứng nhận này tới Trusted Root Certificate Store trên mỗi máy tính từ vị trí dự định kết nối tới Client Access Server, như khi sử dụng OWA từ ứng dụng trình duyệt của một máy tính. Nếu không copy chứng nhận này bạn sẽ nhận được cảnh báo như trong hình 3.

    Hình 3: Cảnh báo đọ tin cậy chứng nhận của ứng dụng trình duyệt.

    Nếu không quan tâm tới cảnh báo trên, bạn vẫn có thể sử dụng chứng nhận tự cấp khi sử dụng OWA để truy cập vào hòm thư. Tuy nhiên, cần nhớ rằng, những công cụ truy cập máy trạm khác như Outlook Anywhere sẽ không hoạt động với chứng nhận tự cấp vì vậy tốt nhận bạn nên triển khai một chứng nhận từ một chứng nhận quyền nhóm ba từ chứng nhận quyền ban đầu, hoặc có thể từ một chứng nhận quyền nội bộ. Một vấn đề cần chú ý khác với chứng nhận tự cấp đó là việc quản lý không hề đơn giản. Ví dụ, những chứng nhận tự phân chỉ có hiệu lực trong vòng một năm với bản Exchange 2007 Service Pack 1, sau đó bạn sẽ phải làm mới chúng bằng lệnh New-ExchangeCertificate. Đôi khi quản trị viên có thể quên thời điểm hết hạn của những chứng nhận này dù đã có những công cụ như System Center Operations Manager (SCOM) trợ giúp. Những chứng nhận nhóm ba hay những chứng nhận phân quyền Active Directory có thể có thời gian hiệu lực dài hơn.

    Trong thực tế, một chứng nhận SSL được cài đặt mặc định trên Client Access Server sẽ cho phép sử dụng bộ mã hóa SSL giữa máy trạm và máy chủ Client Access Server khi áp dụng những giao thức mà Client Access Server hỗ trợ như HTTP, POP3, …Bạn có thể thực hiện thao tác này bằng cách sử dụng nhiều thư mục ảo khác nhau được tạo trong Internet Information Services (IIS) trên Client Access Server cần mã hóa SSL. Bạn có thể thấy những thông tin này trong thuộc tính của nhiều loại thư mục ảo. Ví dụ, hình 4 hiển thị thư mục ảo /owa đang chạy trong IIS6 trên một máy chủ Windows 2003.
    Hình 4: Những yêu cầu SSL cho thư mục ảo /owa.

    Chứng nhận phân quyền

    Mặc dù mục đích của loạt bài viết này là khám phá tính năng bảo mật trong OWA của Exchange 2007, nhưng chúng ta cũng cần tìm hiểu đôi nét về chứng nhận phân quyền. Như đã đề cập trước đó, chúng ta có thể sử dụng những chứng nhận tự cấp trong Exchange 2007 hay sử dụng những chứng nhận từ nguồn khác. Những nguồn khác này bao gồm một chứng nhận quyền nội bộ của Microsoft, một chứng nhận quyền nội bộ từ công cụ không phải của Microsoft, hay một chứng nhận quyền nhóm ba như Verisign, GoDaddy, … Tất nhiên, việc sử dụng chứng nhận nhóm ba phụ thuộc khá nhiều vào máy chủ đang được bảo vệ. Ví dụ, giả sử, một hệ thống có địa chỉ URL là https://webmail.neilhobson.com cung cấp khả năng truy cập ngoài tới OWA từ từ những địa chỉ từ xa và máy chủ Client Access Server đó hỗ trợ truy cập OWA từ xa được ISA 2006 bảo vệ. Tốt nhất bạn nên triển khai một chứng nhận quyền trên máy chủ ISA cho URL OWA ngoài mạng từ một chứng nhận quyền nhóm ba để đảm bảo rằng dù đang sử dụng máy trạm hay ứng dụng trình duyệt nào để truy cập OWA thì cũng không gặp phải các vấn đề liên quan tới độ tin cậy của chứng nhận. Tuy nhiên, chứng nhận cho Client Access Server không cần phải mua từ chứng nhận quyền nhóm ba cùng loại vì chính ISA Server sẽ giao tiếp trực tiếp với Client Access Server mà không phải máy trạm ngoài mạng. Do đó, đôi khi các hệ thống có thể triển khai các chứng nhận được tạo từ một chứng nhận quyền nội bộ cho Client Access Server thực.

    Bạn có thể sử dụng những chứng nhận nhóm ba chuyên dùng, nhưng bạn nên sử dụng chứng nhận quyền nội bộ để dễ dàng tạo và cấp chứng nhận, và có thể tạo lại khi có sự cố xảy ra. Ví dụ, một chứng nhận Client Access Server cần nhiều tên bổ sung trong trường Subject Alternate Name và rất có thể bạn sẽ quên bổ sung những tên này vào yêu cầu chứng nhận ban đầu.

    Hiện có rất nhiều hệ thống, đặc biệt là những hệ thống nhỏ chưa cài đặt một chứng nhận Microsoft nội bộ tương thích với môi trường Active Directory. Do đó, lần đầu cài đặt Exchange 2007, những hệ thống này cần cân nhắc sử dụng chứng nhận tự cấp hay sử dụng chứng nhận số từ một chứng nhận quyền nhóm ba. Hoặc là triển khai một chứng nhận quyền nội bộ và tôt nhất nên triển khai chứng nhận quyền nội bộ sử dụng Microsoft Certificate Services.

    Việc triển khai một hệ thống Exchange 2007 không phải là lí do duy nhất để xem xét triển khai chứng nhận quyền nội bộ dựa trên công cụ của Microsoft. Những sản phẩm khác của Microsoft, như Office Communications Server. System Center Operations Manager và System Center Configuration Manager cũng sử dụng những chứng nhận này.

     Kết luận

    Trong phần đầu tiên này chúng ta đã đi sâu tìm hiểu chứng nhận SSL rất cần thiết để bảo mật OWA trong Exchange 2007. Trong phần tiếp theo của loạt bài viết này chúng ta sẽ tìm hiểu phương pháp thẩm định quyền, như thẩm định quyền nền tảng forrm cũng như phương pháp thẩm định quyền chuẩn như thẩm định quyền Integrated Windows.

    Xian (Theo MSExchange)
    Hồ Vũ

    Số điện thoại : 0989178909
    Email :     hovu@wifipro.org
    Thành viên nhóm R&D Group VNPRO


    Tags: None
  • #2
    Những tính năng bảo mật của OWA (Phần 2)

    Những tính năng bảo mật của OWA (Phần 2)


    Trong phần 1 của loạt bài viết này chúng ta đã tìm hiểu vị trí mạng của Client Access Server và phương pháp Exchange 2007 sử dụng giấy phép để bảo mật Outlook Web Access (OWA).

    Trong phần hai này chúng ta sẽ chúng ta sẽ đi sâu tìm hiểu các phương pháp xác thực OWA khác nhau và một số chú ý khi lựa chọn một phương pháp phù hợp.

     Thẩm định quyền trong OWA – Forms-based Authentication

    Trong Exchange 2007, chúng ta có thể lựa chọn giữa phương pháp Forms-based Authentication (FBA - thẩm định quyền nền tảng Form) và một nhóm phương pháp xác thực khác theo các phương pháp thẩm định chuẩn. Một cải tiến bảo mật khác trong Exchange 2007 là FBA được mặc định sử dụng cho OWA, sau đây chúng ta sẽ khám phá phương pháp này sau đó trở lại với những phương pháp thẩm định chuẩn. Để xem các phương pháp thẩm định quyền chúng ta cần mở hộp thoại thuộc tính Properties của thư mục ảo /owa trong Exchange Management Console rồi chọn tab Authentication. Khi đó chúng ta sẽ thấy một hộp thoại xuất hiện như trong hình 1.

    Hình 1: Các phương pháp xác thực.

    FBA lần đầu tiên được giới thiệu trong Exchange 2003 và cho phép hiển thị một trang đăng nhập ngoài thông báo xác thực cơ bản chỉ yêu cầu nhập tên người dùng và mật khẩu. Trang đăng nhập này làm tăng khả năng bảo mật vì tên và mật khẩu đăng nhập của người dùng được lưu như một cookie thay vì lưu ngay trong OWA. Có hai lợi ích chính từ việc xác thực qua cookie. Thứ nhất, cookie này sẽ được xóa khi phiên OWA kết thúc, thứ hai, cookie này cũng sẽ được xóa sau một khoảng thời gian không thao tác được khai báo trước, như khi người dùng tạm thời rời khỏi bàn làm việc. Ngoài ra, thời hạn này còn có thể được cấu hình cho cả máy tính cá nhân và công cộng. Nói cách khác, một thời hạn khác nhau có thể áp dụng cho các máy trạm của công ty. Thời hạn không thao tác giúp tăng cường bảo mật vì phiên OWA không thể được thực hiện khi cookie đã hết hạn. Hình 2 hiển thị hai tùy chọn mà người dùng có thể lựa chọn trên màn hình FBA để kiểm soát máy trạm đang được sử dụng dù là máy tính công cộng hay cá nhân.

    Hình 2: Cácc tùy chọn bảo mật của FBA.

    Mặc định, khi lựa chọn tùy chọn máy tính công cộng (public computer) thì phiên làm việc sẽ kết thúc sau 15 phút nếu không có thao tác nào được thực hiện, tuy nhiên chúng ta có thể thay đổi giá trị này bằng cách bổ sung hay hiệu chỉnh key registry sau trên Client Access Server trong đó FBA đã được kích hoạt:
    Key: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Servic es\MSExchangeOWA
    Name: PublicTimeout
    Type: DWORD
    Value: {number of minutes}
    Chúng ta có thể thấy key registry này trong hình 3. Lưu ý rằng sau khi thay đổi chúng ta sẽ phải khởi động lại Internet Information Services (IIS) trên Client Access Server. Để rút ngắn tiến trình này chúng ta chỉ cần mở Command Prompt rồi nhập lệnh iisreset /noforce.

    Hình 3: Key registry Timeout của máy tính công cộng.

    Còn khi lựa chọn tùy chọn máy tính cá nhân (private computer) thì mặc định thời hạn 8 giờ không thao tác sẽ được cho phép trước khi phiên làm việc hết hạn, rõ ràng thời hạn này lâu hơn nhiều so với thời hạn trong tùy chọn của máy tính công cộng. Chúng ta cũng có thể thay đổi thời hạn này trong một key registry tương tự:
    Key: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Servic es\MSExchangeOWA
    Name: PrivateTimeout
    Type: DWORD
    Value: {number of minutes}
    Cần nhớ rằng với những thời hạn này không phải là con số chính xác và sẽ có một dung sai nhất định trên các giá trị được sử dụng. Microsoft cho biết thời hạn thực sẽ dao động trong khoảng 1 đến 1.5 lần giá trị cài đặt do phương pháp mà Client Access Server quay vòng qua các key mã hóa. Do đó chúng ta cần phải lưu ý điều này khi kiểm thử thời hạn trong OWA. Ngoài ra, nếu sử dụng ISA Server để kết nối OWA ngoài, thì chúng ta cần cài đặt những giá trị thời hạn tương tự trong ISA Server cho phù hợp với người dùng.

    Trong hình 2, chúng ta thấy màn hình FBA đang mở. Trên màn hình này người dùng phải cung cấp thông tin đăng nhập trong định dạng domain\username (cài đặt mặc định). Chúng ta có thể thay đổi thông báo đăng nhập để chỉ yêu cầu nhập tên người dùng, hay User Principal Name (UPN – Tên thật của người dùng). Tuy nhiên trước khi thực hiện điều này chúng ta cần tính đến các vấn đề bảo mật.

    Nếu muốn thay đổi thông báo đăng nhập chỉ yêu cầu tên người dùng, thì chúng ta có thể thực hiện qua Exchange Management Console hay Exchange Management Shell. Trong Exchange Management Console, mở hộp thoại thuộc tính Properties/owa rồi chọn tab Authentication (hình 1). Tại đây chúng ta có thể lựa chọn kiểu thẩm định quyền FBA phù hợp với yêu cầu. Trong Exchange Management Shell, chúng ta có thể sử dụng lệnh Set-OwaVirtualDirectory với tham số LogonFormat. Những tùy chọn của tham số LogonFormat     của thư mục ảo gồm:
    • FullName: Giống với tùy chọn domain\username trong hình , do đó người dùng phải nhập cả tên miền và tên người dùng khi đăng nhập vào OWA.
    • PrincipalName: Tham số này phù hợp với tùy chọn UPN trong hình 1 và nó yêu cầu người dùng nhập UPN để thẩm định quyền.
    • UserName: Tùy chọn này chỉ phù hợp với tùy chọn username only trong hình 1. Lưu ý, nếu sử dụng Exchange Management Shell để cài đặt tùy chọn này chúng ta sẻ phải cài đặt tùy chọn miền mặc định qua tham số DefaultDomain của lệnh Set-OwaVirtualDirectory.


    Sau khi thực hiện xong chúng ta sẽ phải khởi động lại IIS để áp dụng những thay đổi.

     Thẩm định quyền trong OWA – Standard Authentication

     Nếu đã hay đang quản lý môi trường Exchange 2000 hay 2003, có thể chúng ta đã làm quen với phương pháp Standard Authentication (thẩm định quyền chuẩn) của quá trình Basic Authentication (thẩm định quyền cơ bản), Digest Authentication (thẩm định quyền từng phần) và Integrated Windows Authentication (thẩm định quyền Windows tích hợp).

    Với Basic Authentication đã được cấu hình trên thư mục ảo /owa trong một Client Access Server, người dùng sẽ thấy hộp thoại thẩm định quyền như trong hình 4. Mặc định Basic Authentication sẽ không bảo mật nếu SSL không được bổ sung.


    Hình 4: Hộp thoại Basic Authentication.

     Integrated Windows Authentication rất hữu dụng trong trường hợp những thông tin đăng nhập hiện tại của người dùng được máy chủ sử dụng để xác thực người dùng. Với phương pháp này, người dùng không phải nhập lại các thông tin đăng nhập. Ví dụ, một người dùng có thể đăng nhập vào máy tính làm việc bình thường sử dụng thông tin tài khoản trong Active Directory, rồi truy cập vào Internet. Sau đó người dùng này có thể lựa chọn truy cập vào một Client Access Server đã được cấu hình sử dụng Integrated Windows Authentication. Trong trường hợp này người dùng này sẽ truy cập vào OWA ngay lập tức mà không phải đăng nhập lại. Tuy nhiên, nếu ISA Server được sử dụng để truy cập OWA ngoài, và đã được cấu hình với FBA, với những thủ tục thẩm định khác nhau tùy thuộc vào người dùng đó truy cập nội bộ hay truy cập ngoài có thể gây phiền phức cho người dùng. Do đó, có một số công ty triển khai FBA trên các Client Access Server riêng biệt chỉ thực hiện hỗ trợ cho các phiên OWA nội bộ.

    Digest Authentication cũng được sử dụng bởi người dùng có tài khoản trên miền Active Directory. Với Digest Authentication, khả năng bảo mật được tăng cường do các mật khẩu mà người dùng nhập vào được gửi như một giá trị Hash khi chúng được gửi qua mạng tới máy chủ thẩm định. Tuy nhiên, lưu ý rằng khi sử dụng Digest Authentication thì những thông tin thẩm định của người dùng sẽ lưu lại trên bộ nhớ tạm của OWA. Do đó chúng ta cần xem xét sử dụng FBA trong trường hợp có vấn đề bảo mật phát sinh.

    Kết luận

     Trong phần này chúng ta đã tìm hiểu các phương pháp thẩm định hiện có và đi sâu tìm hiểu các tùy chọn cấu hình của Forms-Based Authentication (FBA).

    Xian (Theo MSExchange)
    Hồ Vũ

    Số điện thoại : 0989178909
    Email :     hovu@wifipro.org
    Thành viên nhóm R&D Group VNPRO


    Comment

    Previous template Next
    Working...
    X