Correo seguro con Microsoft Exchange Server 2007 (III)

by Josh Saenz G. 5. noviembre 2008 13:42

Comenzaremos con las fases de refuerzo de la seguridad de la infraestructura Exchange Server 2007, instalando el rol de transporte de perímetro. Para ello debemos contar con un equipo con las características de hardware necesarias (básicamente arquitectura x64, 2 GB de RAM o más y Windows Server 2003 SP1 x64 / 2008 x64 instalado), y que éste no pertenezca al dominio de Directorio Activo.
Además, instalaremos como requisitos previos:

  • .Net Framework 2.0

  • PowerShell v1.0

  • MMC 3.0

  • ADAM SP1

Una vez cumplidos todos estos requisitos, podemos comenzar con el proceso de instalación del rol de Exchange, seleccionando una instalación personalizada en el asistente. El proceso es bastante sencillo y rápido. En menos de 15 minutos debemos tener el servicio instalado y ejecutándose.

A continuación, ya sabemos que podemos mantener el rol como componente independiente de la organización, y por lo tanto con una administración aislada, o por el contrario suscribirlo a la organización y centralizar parte de su administración desde el Directorio Activo.

Si estamos implantando un entorno empresarial privado, es recomendable realizar el proceso de suscripción para que el servidor de perímetro se integre al resto de la organización. Si por el contrario, estamos implantando un entorno multiempresa, como un proveedor de servicios o simplemente un relay de internet, entonces no será necesaria esta suscripción.

En el escenario que yo planteo en este conjunto de artículos vamos a trabajar con una implantación de empresa, por lo tanto tendremos que hacer la suscripción.

Arquitectura de perímetro de Exchange Server 2007

El proceso de suscripción es uno de los elementos que refuerzan claramente la seguridad de la arquitectura final de transporte, ya que durante el proceso, se produce un intercambio de claves de cifrado y certificados para poder establecer una confianza mutua entre los servidores de perímetro (EDGE) y los servidores de transporte interno (HUB). Gracias a esta confianza mutua, Exchange Server 2007 puede garantizar la seguridad del transporte hasta la puerta de enlace, ya que la comunicación está por defecto cifrada y autenticada. Además, como beneficio adicional para el administrador, objetos como la lista de dominios aceptados, los conectores SMTP de envío, destinatarios, y lista de remitentes seguros de los usuarios se van a administrar directamente desde los servidores de transporte interno (HUB).

Esta último beneficio, permite el no tener que hacer una doble administración cada vez que se modifica algún elemento de configuración, y además repetirlo en cada uno de los servidores de perímetro que pudiéramos tener. Otras soluciones requieren tener que replicar manualmente la configuración cada vez que se modifica. Esto también reduce los errores humanos.

A este proceso de administración centralizada se le conoce como EdgeSync, o sincronización de perímetro y se produce cada 15 minutos aproximadamente.

Siguiendo con las tareas de implantación,una vez instalado el rol, debemos crear un fichero de suscripción, ejecutando los siguiente en el servidor de perímetro.

  • New-edgesubscription –filename C:\Suscripcion.xml

En donde –filename determina dónde queremos crear el fichero .xml

Atención con este fichero porque incluye un usuario y contraseña del ADAM que se ha creado específicamente para que el Directorio Activo pueda escribir en él. Por lo tanto debemos exportarlo al servidor de transporte interno (HUB) de forma segura. (A ser posible físicamente, mediante un lápiz de memoria u otro dispositivo), y lo eliminamos inmediatamente del servidor de perímetro.

Una vez que tenemos el fichero en el servidor de transporte interno (HUB), desde la etiqueta de suscripciones, en el área  de organización, lo importamos al sistema. Es durante este proceso que se produce el intercambio de claves de cifrado para poder establecer canales seguros entre ambos servidores, además de establecer la autenticación mutua.

Un último paso es iniciar un primer proceso de sincronización, ejecutando ahora desde el servidor de transporte interno (HUB) lo siguiente:

  • Start-edgesynchronization

Observaremos que los objetos configurables que he descrito anteriormente, se replican al servidor de perímetro y que ya no son configurables desde éste.
Ya hemos completado el primer paso para el reforzamiento de la seguridad de nuestra infraestructura de correo electrónico.

Actualmente calificado con 5.0 por 2 personas

  • Currently 5/5 Stars.
  • 1
  • 2
  • 3
  • 4
  • 5

Tags:

Exchange Server 2007 | Seguridad

E-mail | Kick it! | DZone it! | del.icio.us
Permalink | Comentarios (0) | Post RSSRSS comment feed

Añadir comentario


 

  Country flag

biuquote
  • Comentario
  • Vista previa
Loading



Powered by BlogEngine.NET 1.4.5.0
Theme by Mads Kristensen

Acerca del autor

Microsoft MVP 2009 Josh Saenz G. es actualmente consultor y experto en productos Microsoft. Nacido en Madrid, aunque ha vivido en paises como Canada, Estados Unidos, Mexico y Nicaragua. Se graduó como Ingeniero de Sistemas en la Universidad Americana de Managua en Nicaragua y en Madrid obtuvo su titulo de Master en Admininistracion de Empresas (MBA) en el IEN - UPM. Es MCP, MCTS y MCTS Exchange Server 2007 y ha sido nombrado MVP de Microsoft Exchange Server en 2008 y 2009. Además es experto en otros productos y tecnologías de gestión de sistemas como MOM, SMS, SC Operations Manager,SC Configuration Manager, ISA Server y Project Server.