Comenzaremos con las fases de refuerzo de la seguridad de la infraestructura Exchange Server 2007, instalando el rol de transporte de perímetro. Para ello debemos contar con un equipo con las características de hardware necesarias (básicamente arquitectura x64, 2 GB de RAM o más y Windows Server 2003 SP1 x64 / 2008 x64 instalado), y que éste no pertenezca al dominio de Directorio Activo.
Además, instalaremos como requisitos previos:
-
.Net Framework 2.0
-
PowerShell v1.0
-
MMC 3.0
-
ADAM SP1
Una vez cumplidos todos estos requisitos, podemos comenzar con el proceso de instalación del rol de Exchange, seleccionando una instalación personalizada en el asistente. El proceso es bastante sencillo y rápido. En menos de 15 minutos debemos tener el servicio instalado y ejecutándose.
A continuación, ya sabemos que podemos mantener el rol como componente independiente de la organización, y por lo tanto con una administración aislada, o por el contrario suscribirlo a la organización y centralizar parte de su administración desde el Directorio Activo.
Si estamos implantando un entorno empresarial privado, es recomendable realizar el proceso de suscripción para que el servidor de perímetro se integre al resto de la organización. Si por el contrario, estamos implantando un entorno multiempresa, como un proveedor de servicios o simplemente un relay de internet, entonces no será necesaria esta suscripción.
En el escenario que yo planteo en este conjunto de artículos vamos a trabajar con una implantación de empresa, por lo tanto tendremos que hacer la suscripción.
El proceso de suscripción es uno de los elementos que refuerzan claramente la seguridad de la arquitectura final de transporte, ya que durante el proceso, se produce un intercambio de claves de cifrado y certificados para poder establecer una confianza mutua entre los servidores de perímetro (EDGE) y los servidores de transporte interno (HUB). Gracias a esta confianza mutua, Exchange Server 2007 puede garantizar la seguridad del transporte hasta la puerta de enlace, ya que la comunicación está por defecto cifrada y autenticada. Además, como beneficio adicional para el administrador, objetos como la lista de dominios aceptados, los conectores SMTP de envío, destinatarios, y lista de remitentes seguros de los usuarios se van a administrar directamente desde los servidores de transporte interno (HUB).
Esta último beneficio, permite el no tener que hacer una doble administración cada vez que se modifica algún elemento de configuración, y además repetirlo en cada uno de los servidores de perímetro que pudiéramos tener. Otras soluciones requieren tener que replicar manualmente la configuración cada vez que se modifica. Esto también reduce los errores humanos.
A este proceso de administración centralizada se le conoce como EdgeSync, o sincronización de perímetro y se produce cada 15 minutos aproximadamente.
Siguiendo con las tareas de implantación,una vez instalado el rol, debemos crear un fichero de suscripción, ejecutando los siguiente en el servidor de perímetro.
En donde –filename determina dónde queremos crear el fichero .xml
Atención con este fichero porque incluye un usuario y contraseña del ADAM que se ha creado específicamente para que el Directorio Activo pueda escribir en él. Por lo tanto debemos exportarlo al servidor de transporte interno (HUB) de forma segura. (A ser posible físicamente, mediante un lápiz de memoria u otro dispositivo), y lo eliminamos inmediatamente del servidor de perímetro.
Una vez que tenemos el fichero en el servidor de transporte interno (HUB), desde la etiqueta de suscripciones, en el área de organización, lo importamos al sistema. Es durante este proceso que se produce el intercambio de claves de cifrado para poder establecer canales seguros entre ambos servidores, además de establecer la autenticación mutua.
Un último paso es iniciar un primer proceso de sincronización, ejecutando ahora desde el servidor de transporte interno (HUB) lo siguiente:
Observaremos que los objetos configurables que he descrito anteriormente, se replican al servidor de perímetro y que ya no son configurables desde éste.
Ya hemos completado el primer paso para el reforzamiento de la seguridad de nuestra infraestructura de correo electrónico.
5a4f4fb2-46c5-4f6a-8f80-bf2d7913b9b8|2|5.0
Exchange Server 2007, Seguridad