Exchange Server: Yapılandırma ve Protokol Güvenliği

Exchange Server: Yapılandırma ve Protokol Güvenliği

Güvenilir Yapılandırma
ETS Yapılandırması

• ETS rolü, diğer sunucu rolleri ile kullanılamaz.
• ETS rolü kurulan sunucu etki alanına dahil olmamalı, çalışma grubu olarak çalışmalıdır. 
• ETS hem Internet’teki tüm domain isimlerini çözümleyebilmeli hem de iç ağdaki HTS rolüne sahip sunucuya ulaşabilmelidir.
• ETS rolü zorunlu olmamakla birlikte, DMZ bölgesinde konumlandırılmalıdır. Bu sunucunun biri iç ağa, diğeri dış ağa bakan iki ağ arayüzü olmalıdır. Arkasında ve önünde farklı markaların güvenlik duvarları gibi koruyucu mekanizmaları bulunmalıdır. 

ETS rolünün bu şekilde yapılandırılmasını temel yararları şu şekildedir:

• ETS üzerinde herhangi bir şekilde kullanıcı bilgisi bulunmadığı ve etki alanına dahil olmadığı için, sunucu bir şekilde ele geçirilse bile saldırı alanı daraltılmış olacaktır. 
• Benzer şekilde kimlik doğrulaması işlemi ETS üzerinde gerçekleşmediği için arka taraftaki sistemlere gelen tüm isteklerin kimlik doğrulaması yapmış kullanıcılardan gelmesi sağlanır.
• İstemciler posta kutularının bulunduğu sunucu bilgilerini bilmesine gerek kalmadan tüm isteklerini ETS üzerinden gerçekleştirebilmektedir. Böylece arka taraftaki sisteme gerçekleşebilecek saldırı yüzeyi azalmaktadır.
• İstemciler sadece ETS rolüne sahip sunucunun alan adı ile işlemlerini gerçekleştirirler. Arka sistemde yapılacak bir değişiklik istemciye yansımayacaktır. Böylece esneklik sağlanmaktadır.

Diğer Sunucu Rollerinin Yapılandırılması

• CAS rolü, MB rolü ile farklı sunucularda kurulmuş ise aralarındaki bağlantının hızlı olması performansı arttırır.
• HTS, AD sorgularını Global Catalog Server üzerinde gerçekleştirir. Bu sebeple, HTS ve GCS aynı Aktif Dizin Site içerisinde yer almalıdır.
• HTS, AD sorgularını hızlı gerçekleştirmeli ve bu sorgulara hızlı cevap almalıdır. Bu sebeple, HTS ve AD arasındaki bağlantı hızlı olmalıdır.
• MBS rolünün olduğu her AD sitesinde ve Exchange organizasyonunda birer tane CAS ve HTS rolünde sunucu kurulması tavsiye edilmektedir.

MBS, CAS ve HTS rolleri olmazsa olmaz rollerdir ve temel Exchange yapısının vazgeçilmezleridir. Bu üç rolü aynı sunucu yada farklı sunuculara kurulabilir. Rollerin ayrı sunucularda tutulması maliyeti arttırsa da güvenliği de arttırmaktadır. Rollerin farklı sunucularda yapılandırılmasının 3 temel nedeni şunlardır:

• Enhanced Scalability (Ölçeklendirilebilirlik): Her rol farklı sunucu üzerinde kurulabilir ve her rol için için özel olarak ayarlar yaparak yüksek bir performans sağlanabilir.
• Improved Security (Güvenlik): Sadece ilgili rolün istediği ayarları aktif edip, diğer ayarlar kapatılarak güvenlik arttırılır.
• Simplified deployment and administration (Yönetilebilirlik): Yönetim işlemleri kolaylaşmaktadır.
• ISA Server 2006 ve Exchange Server 2010 birlikte çalışabilmektedir.

Protokol Güvenliği
Exchange ortamında kullanılan HTTP, SMTP, IMAP ve POP protokollerinde kullanıcı bilgileri açık metin olarak iletilmektedir. Bu durumda araya giren bir kullanıcı tarafından bu bilgiler elde edilebilmektedir. Bu sebeple belirtilen protokollerin güvenilir versiyonları tercih edilmelidir. Bu amaçla bu protokollerin TLS/SSL ile birlikte kullanılmalıdır.  HTTP yerine HTTPS, SMTP yerine SMTPS, IMAP yerine IMAPS, POP yerine POPS kullanılacak şekilde ayarlama yapılması önerilmektedir. Ayrıca güvenlik duvarları arasında sadece gerekli olan bu portlara izin verilmelidir. Bu protokollerin kullandığı portlar şu şekildedir:

• SMTPS : 465
• POP3S : 995
• IMAPS : 993