В первой части этой, посвященной публикации OWA сайта на одном сервере Exchange, мы рассказали о основных принципах, необходимых для работы, а затем создали правило публикации Web Publishing Rule, которое публикует OWA сайт.
Если вы пропустили предыдущую часть этой статьи, то, пожалуйста, прочитайте: Использование 2006 ISA Firewall (RC) для публикации сайтов OWA – Сценарий с единственным сервером Exchange (Часть 1).
В этой второй части этой статьи мы закончим исследование настроек правила Web Publishing Rule для увеличения безопасности для опубликованного OWA сайта. Мы также приведем обзор впечатлений пользователя от просмотра OWA сайта с использованием watered-down версий OW, и то, как пользователь может изменить свой пароль с помощью OWA интерфейса.
С этого момента правило публикации OWA Web Publishing Rule может работать, и пользователи смогут подключаться к OWA Web сайту с помощью этого правила. Однако, существуют некоторые моменты, для которых вам понадобится настроить правило. Дважды щелкните на правиле OWA.
В диалоговом окне OWA Properties (свойства), нажмите на закладку To. Здесь у вас есть настройка, позволяющая указать, каким образом брандмауэр ISA будет совершать соединение с опубликованным OWA Web сайтом. Настройка по умолчанию — Request appear to come from the ISA Server computer (запрос исходит от сервера ISA). Однако, если вы хотите записать оригинальный IP адрес клиента в файл журнала вашего Web сервера, то вы можете выбрать Requests appear to come from the original client (запрос исходит от оригинального клиента). Обратите внимание, что если вы выберите, чтобы брандмауэр ISA сохранял оригинальный IP адрес клиента, то опубликованный Web сервер должен быть настроек для работы в качестве клиента SecureNET.
Рисунок 1
Нажмите на закладку Traffic. Здесь у вас есть две настройки:
Нажмите на закладку Application Settings (настройки приложения).
Здесь вы можете измените тип входа (Logon type), предоставляемый сервером Exchange Server, есть выбор из двух вариантов:
Эта настройка очень важна в контексте настроек, которые вы выбираете в окне Exchange Publishing Attachment Blocking frame. Здесь у вас есть настройка для блокирования вложений к электронным письмам от клиентов, которые подключаются от общих (Public) и/или частных (Private) компьютеров.
Хотя это и здорово, что у вас есть настройка для блокирования вложений от общих компьютеров, и разрешения их от частных компьютеров, но проблема заключается в том, что у брандмауэра ISA нет механизма определения, является машина общей (public) или частной (private). Решение полностью лежит на пользователе. Итак, вы можете выбрать настройку для блокирования вложений от общих компьютеров, но разрешить их от частных компьютеров.
Я предполагаю, что вы можете установить настройку Always public в окне Logon type, предоставляемым выпадающим окном Exchange Server, и это позволит контролировать доступ к вложениям для всех пользователей. Но с другой стороны, вы можете поставить обе галочки. Не очень понятно, почему вы должны заботиться о том, какой тип входа выбрал пользователь.
Нажмите на закладку Listener и нажмите на кнопку Properties. В диалоговом окне свой свойств Properties, выберите закладку Forms. В окне Password Management (управление паролем) у вас есть настройка, с помощью которой вы можете предоставить возможность пользователям изменять их пароль, и напоминать им об изменении пароля по прошествии “X” дней, благодаря использованию настроек Allow users to change their passwords (разрешать пользователям менять пароли) и Remind users that their password will expire in this number of days (напоминать пользователям о смене пароля за это количество дней).
Нажмите на кнопу Advanced в диалоговом окне свойств слушателя Properties и вы увидите настройки, относящиеся к куки (cookies) и продолжительности сессии (session timeouts).
Persistent cookies (постоянные куки) позволяют клиенту использовать одни и те же куку внутри приложения, и предоставляют пользователю дополнительное удобство, но при это снижают безопасность, т.к. куки потенциально можно украсть. По умолчанию стоит настройка разрешать постоянные куки (persistent cookies) только на частных машинах. Это является ответом на вопрос, который я задал выше относительно того, должны ли вы предоставлять пользователям возможность типа клиента. Настройка общий (Public) – частный (Private) компьютер не только контролирует отношение к вложениям, но и также контролирует отношение к куки. Другие две настройки для Persistent Cookies — Never use persistent cookies (никогда не использовать постоянные куки) и On all computers (на всех компьютерах).
Настройка Ignore browser’s IP address for cookie validation (игнорировать IP адрес клиента для проверки куки) позволяет клиенту использовать одни и те же куки для различных IP адресов, например, если клиент располагается за балансировщиком нагрузки (load balancer), который сообщает другой IP адрес при подключении к внешнему интерфейсу брандмауэру ISA.
Рисунок 2
Окно Client Security Settings на рисунке выше позволяет вам настраивать продолжительность сессии (session timeout). По умолчанию она настроена на максимальное время простоя, для которого настроен Web слушатель. Вы можете настроить этот параметр, выбрав Treat as maximum session duration (рассматривать в качестве максимальной продолжительности сессии) и установить предел времени для public computers (общих компьютеров) и private computers (частных компьютеров). Вы также можете устанавливать параметр Apply session timeout to non-browser для клиентов Outlook RPC/HTTP и клиентов ActiveSync. Если вы не подключите эту настройку, то продолжительность сессии будет такой же, как максимальное время простоя (maximum idle time).
Хотя предварительная аутентификация (pre-authentication) и авторизация (authorization) являются важными функциями для безопасности, которые брандмауэр ISA firewall предоставляет для защиты вашего OWA сайта, брандмауэр ISA firewall может гораздо больше. Особенно, брандмауэр ISA firewall может гарантировать, что потенциально опасные HTTP соединения не пройдут через брандмауэр ISA firewall на опубликованный OWA сайт сервера Exchange. Брандмауэр ISA firewall способен сделать это благодаря использованию двух основных технологий:
Связка SSL позволяет брандмауэру ISA проверять содержимое зашифрованного туннеля (encrypted tunnel). В отличие от аппаратных брандмауэров (hardware firewall), которые не в состоянии просматривать содержимое SSL туннеля, и пропускают опасные вложения через этот туннель на Web сервер, который находится за ним, брандмауэра ISA умеет просматривать SSL туннель и производить на прикладном уровне проверку содержимого, а затем заново шифровать соединения и передавать их по безопасному SSL туннелю на опубликованный Web сервер.
HTTP фильтр безопасности (Security Filter) производит HTTP проверку потенциально опасных соединений, которые могут прийти по SSL соединению. Т.к. мы знаем, что это “заведомо хорошее” соединение при подключении к сайту OWA site, то мы можем настроить HTTP фильтр безопасности (Security Filter) таким образом, чтобы он проверял, чтобы соединение удовлетворяло определенным параметрам, а если это не так, то разрывал соединение.
Для настройки HTTP фильтра безопасности (Security Filter), нажмите правой кнопку мыши на OWA правиле и выполните команду Configure HTTP. В результате откроется диалоговое окно Configure HTTP policy for rule, как показано на рисунке ниже.
Рисунок 3
В таблице ниже отображена информация, которая вам необходим для того, чтобы завершить настройку HTTP фильтра безопасности (Security Filter) для правила публикации OWA Web Publishing Rule.
| Setting and rule | Outlook Web Access |
|---|---|
| General tab | |
| Maximum headers length | 32768 |
| Maximum payload length | 10485760 |
| Maximum URL length | 16384 |
| Maximum query length | 4096 |
| Verify normalization | Yes |
| Block high bit characters | No |
| Block responses containing Windows executable content | Yes (Note 1) |
| Methods tab | |
| Allow only specified methods | BCOPY BDELETE BMOVE BPROPPATCH DELETE GET MKCOL MOVE POLL POST PROPFIND PROPPATCH SEARCH SUBSCRIBE |
| Extensions tab | |
| Action taken for file extensions | Block specified extensions (allow all others) |
| Extension list | .asax .ascs .bat .cmd .com .config .cs .csproj .dat .dll (Note 2) .exe (Note 1) .htr .htw .ida .idc .idq .ini .licx .log .pdb .pol .printer .resources .resx .shtm .shtml .stm .vb .vbproj .vsdisco .webinfo .xsd .xsx |
| Block requests containing ambiguous extensions | No |
| Headers Tab | |
| Blocked headers | None |
| Signatures Tab | |
| Blocked signatures: Request URL | ./ \ .. (Note 3) % (Note 3) & (Note 3) |
Таблица 1: Настройки HTTP фильтра безопасности (Security Filter) для правила публикации OWA Web Publishing Rule
Примечание: Блокирование расширения .exe и подключение настройки Block responses containing Windows executable content для Outlook Web Access блокируют доступ к управлению S/MIME. Если требуется управление S/MIME для Outlook Web Access на Exchange Server 2003, не включайте расширение .exe в список блокируемых расширений или подключите настройку Block responses containing Windows executable content.
Примечание: Блокирование расширения .dll для Outlook Web Access блокирует доступ к проверке правописания в режиме реального времени, который встроен в Outlook Web Access.
Примечание: Включение строк типа «..», «%» и «&» позволит избежать некоторые потенциально опасные типы атак, но также снизит доступ уровень доступа к определенным электронным сообщениям. Строка с темой электронного сообщения формирует часть URL для доступа к сообщению, и в результате этого, если электронное сообщение содержит один из вышеперечисленных символов, то оно будет заблокирована. Баланс должен быть достигнут между повышенной безопасность и функциональностью. Не включайте символ «:» в этот список, т.к. в результате этого окажется заблокировано большинство сообщений. У многих сообщений в теме стоят символы RE: и FW: в случае, если они были ответами, или их пересылали другим пользователям
Давайте посмотрим теперь, как все, что мы рассмотрели, работает на практике. Запустите ваш браузер и введите в строке адреса https://owa.msfirewall.org/exchange, а затем нажмите на кнопку ENTER. Вы увидите страницу входа на OWA, которая показано на рисунке ниже.
Рисунок 4
Обратите внимание, что вы можете выбрать следующие настройки:
Когда вы входите, то появится OWA сайт, который можно увидеть на рисунке ниже.
Рисунок 5
Когда вы нажмете на кнопку Log Off в интерфейсе OWA, вы увидите большую страницу, как на рисунке ниже.
Давайте взглянем на Outlook Web Access Light. Пользователь выбирает настройку Use Outlook Web Access Light на странице входа на OWA и вводит свое имя пользователя и пароль.
Почтовый ящик OWA появится в браузере с менее функциональным интерфейсом.
Теперь давайте посмотрим, что случится, когда пользователь захочет изменить свой пароль. В окне входа на OWA, пользователь выбирает настройку I want to change my password after logging on (хочу изменить свой пароль после входа) и вводит свое имя пользователя и пароль.
Появится окно для изменения пароля, в котором пользователь должен ввести свой старый пароль и затем дважды набрать свой новый пароль. После этого он должен нажать на кнопку Change Password.
После нажатия на кнопку Change Password, появится окно, которое информирует пользователя о том, что пароль был изменен и пользователь будет автоматически направлен в свой почтовый ящик. Если пользователь не был автоматически отправлен то, он может просто нажать на кнопку Continue.
В этой статье из двух частей, посвященной публикации сайта OWA, мы сфокусировались на процедурах, используемых для публикации одного OWA сайта с помощью новых методов брандмауэра ISA. Мы подробно рассмотрели настройки для конфигурации, и как их можно использовать для улучшения безопасности, которую может предоставлять брандмауэр для удаленных соединений к вашему OWA сайту. Мы завершили рассмотрением опыта пользователя от входа на OWA, и узнали, как пользователь может изменить свой пароль с помощью интерфейса OWA.
www.isaserver.org
Tags: domain, Exchange, ISA Server, nat, search, traffic, tun, tunnel