چگونه سرور Exchange خود را امن کنیم؟
امروز می خواهیم درباره امنیت سرور Exchange بحث کنیم. فاکتور های مهمی در Microsoft Exchange Server وجود دارد که فاکتور های مهمی در تامین امنیت سرور ما دارد که در ادامه درباره این فاکتور ها و چگونگی ساختار آنها صحبت می کنیم.
1-Relay Restrictions:
شاید یکی از مهمترین عامل های حفظ امنیت سرور Exchange استفاده و تنظیم Relay Restrictions باشد. Hacker ها از نبودن Relay Rstrictions استفاده می کنند و به سرور شما نفوذ می کنند. Relay Restrictions یا همان محیط محدود کننده پیام های Incoming شما می باشد که از ارتباط Spammer ها یا همان افرادی که برای آلوده کردن سرور Exchange شما برای شما پیام های Spam ارسال می کنند جلوگیری می کند. در صورتیکه Relay Restriction بر روی سرور Exchange فعال نباشد باعث می شود که IP هکر ها و Spammer ها مخفی و پنهان باشد و در زمان نفوذ و آلوده کردن سرور شما شناسایی نشوند.
بعد از راه اندازی و تنظیم این گزینه وقتیکه میخواهید ایمیل ارسال کنید به شما پیامی برگشت داده می شود که پیام ارسالی شما سالم است و Spam نمی باشد. زیرا وقتی که Relay Restriction تنظیم نباشد حتی ایمیل های ارسالی شما هم دچار مشکل میشود. بدین صورت که IP سرور Exchange شما Block شده و در داخل Blacklist سازمان ها و میل سرور های دیگر قرار می گیرد حتی اپر ایمیل ارسالی شما Spam نباشد. زیرا اکثر میل سرور ها و سازمان ها محیط های Open Relay را از نظر امنیتی قبول ندارند و برای ارتباط با آنها حتما محیط ارتباطی شما باید Relay Restriction باشد. (مانند Yahoo و Gmail و Hotmail و ...)
حال این بحث به وجود می آید که چگونه میتوان Relay Restriction را بر روی سرور Exchange تنظیم کرد؟
ابتدا کنسول مدیریتی سرور یعنی Exchange Management Console را باز می کنیم. سپس مانند شکل ذیل وارد قسمت Server Configuration شده و سپس با کلیک بر روی گزینه Hub Transport وارد قسمت Receive Connectors می شویم.
حال سرور خود را انتخاب کرده و روی گزینه New Receive Connector کلیک میکنیم و یک Connerctor جدید می سازیم. بعد از ساختن این Connector جدید روی آن راست کلیک کرده و روی گزینه Properties کلیک میکنیم . حالا وارد قسمت Permission Group می شویم و تیک گزینه Exchange Servers را میزنیم. سپسوارد قسمت Authentication می شویم و تیک گزینه Externally Secured (for example with IPsec) را میزنیم. خلا توانسته ایم که Relay Restriction را تنظیم کنیم.
2-Virus Protection:
زمانی که شما می خواهید از File Server و یا یک Domain Controller در برابر تهدیدات و ویروس ها محافظت کنید خیلی از آنتیویروس می توانند این کار را برای شما انجام دهند. ولی وقتی قضیه محافظت از Exchange Server به میا می آید ماجرا کمی متفاوت تر و تخصصی تر می شود.
زمانی که شما یک سرور Exchange در داخل سازمان خود دارید فایل ها و پیام ها همیشه در حال انتقال هستند. این فایل ها و پیام ها باید از نطر ویروسی بودن و یا نبودن کنترل و آنالیز شوند. حالا ما اینجا دو انتخاب برای انتخاب یک آنتی ویروس داریم. گزینه اول همان آنتی ویروسی است که میتوانیم برای محافظت از سیستم عامل Exchange Server ما نصب کنیم و دیگری که مهمترین است آنتی ویروسی است که بر پایه Exchange و کاملا تخصصی برای این محصول ساخته شده است.
این نوع آنتی ویروس کاملا متفاوت با یک آنتی ویروس معمولی بوده و میتواند با دسترسی داشتن به دیتابیس Exchange و Mailbox های ما تمام فعالیت ایمیل ها و فایل های انتقالی و دریافتی مورد آنالیز و بررسی قرار دهد در صورتیکه یک آنتی ویروس معمولی هرگز نمی تواند به دیتابیس و Mailbox Server دسترسی داشته باشد.
حال شاید این سوال برایتان پیش آید که بهترین گزینه محافظت از سرور Exchange چیست که هم از نظر امنیتی خوب باشد و هم کاملا با Exchange سازگار باشد. بهترین گزینه Forefront for Exchange میباشد که از خانواده محصولات امنیتی مایکروسافت یعنی Microsoft Forefront می باشد که می تواند تمام ترافیک های ورودی و خروجی Exchange Server شما را آنالیز و از ورود Malware ها و سایر برنامه های مخرب جلوگیری نماید.
3-RPC Over HTTP:
راه های زیادی برای تنظیم Exchange Server وجود دارد که Remote Client ها بتوانند به سرور دسترسی داشته باشند. معمول ترین روش ها برای این کار استفاده از Outlook Web Access و VPN می باشد. اگر سازمان شما اجازه متصل شدن کاربران خارجی توسط VPN Connection به شبکه داخلی را بدهند کاربران میتوانند ایمیل های خود را چک کرده و ایمیل ارسال و دریافت کنند. ولی آیا VPN راه حلی امن برای این کار است؟
بلی VPN هرگز نمیتواند راه حلی امن برای این هدف باشد زیرا که وقتی کاربران بوسیله VPN به شبکه متصل می شوند به غیر از استفاده از ایمیل ها می توانند از منابع دیگر شبکه نیز استفاده کنند که این کار باعث کاهش امنیت ما و سازمان ما می شود. به طور مثال حتی اگر در داخل سازمان بخواهید که کاربران بتوانند بوسیله Microsoft Outlook به ایمیل های خود دسترسی داشته باشند باید به فکر راه اندازی RPC Over HTTP باشید. در حقیقت کانکشن RPC Over HTTP ارتباطی است که حتی اگر هم Remote User و هم Exchange Server پشت فایروال قرار گرفته باشند نیز کارایی دارد.
حالا حتما درک کرده اید که استفاده از RPC Over HTTP بسایر بهتر و امن تر از VPN است. زیرا این ارتباط محدود شده و اختصاصی برای ارتباط با سرور Exchange می باشد.
4-Protecting front-end Servers:
تنپیمات front-end یا backend شمال قرار دادن یک فایروال مثل ISA Server در جلوی Exchange Server می باشد. نظریه ای که پشت این قضیه وجود دارد این است که کاربر خارجی هرگز نتواند به صورت مستقیم با سرور Exchange داخلی ما ارتباط برقرار کند.
ISA دقیقا در اینجا کار یک Proxy Server را انجام می دهد و HTTP Request ها را به آنالیز کرده و به سمت سرور ما Forward می کند. سرور ISA یک فایروال معمولی نمی باشد و توانایی تنظیم و اعمال Rule های زیادی بر پایه ترافیک های دریافتی و ارسالی این سرور را دارد.
حال یکی از قویترین و پایدار ترین Solution ها در باره این موضوع این است که ما ابتدا یکی فایروال سخت افزاری را جلوی Exchange Server قرار دهیم و سپس بعد از آن یک سرور ISA قرار دهیم که ترافیک پس از آنالیز شدن توسط فایروال سخت افزاری به سمت ISA فرستاده شود و ISA هم پس از کنترل دوباره آن ترافیک آن را به سمت سرور Forward کند.
5-Keep Exchange up-to-date:
یکی از مهمترین عوامل دیگر که در امنیت Exchange Server نقش بسزایی دارد آپدیت کردن سیستم عامل و سرویس Exchange می باشد. باید دقت کنیم که همیشه Exchange Server خو د را با آخرین Patch ها و Rollup ها آپدیت نگه داریم.
این کار باعث می شود که اگر یک Security Bug در سرور ما وجود داشته باشد می تواند بر پایداری و سرویس دهی آن تاثیر منفی گذاشته و امنتیت ما را به شدت پایین بیاورد. زیرا بسیاری از هکر ها به دنبال سیستم های آپدیت نشده و سرور هایی هستند که دارای آخرین Patch های امنیتی نباشند که بتوانند راحت تر به آنها نفوذ کرده و آنها را آلوده کنند.
حال امن ترین و مطمئن ترین راه برای آپدیت کردن Exchange Server استفاده از WSUS می باشد که به صورت امن آپدیت ها و Patch ها را گرفته و به سرور منتقل می کند.