Exchange Server: Throttling Parameters and Policies
Exchange ortamındaki kaynaklar sistemin performansı üzerinde önemli bir role sahiptir. Bu kaynakların en uygun şekilde kullanılması gerekmektedir. Aksi halde güvenliğin temellerinden olan “Availability” zarar görür. Bu sebeple; HTS, ETS, MBS ve CAS üzerinde kaynak kontrolü için Throttling İlkeleri adı verilen kurallar uygulanmaktadır. Kısacası, Throttling ilkeleri sunucularda kaynakların yetersiz durumuna gelmesini önlemek için posta ve bağlantılara konulan limittir. Böylece hem DoS gibi saldırılara karşı önlem alınmakta, hem de sistemin işleyişi kontrol altında tutulmaktadır.
Microsoft Exchange Throttling servisi, MBS üzerinde çalışması gereken kritik bir servistir.
HTS & ETS için kurallar
Bu sunucular taşıdıkları postalar için maliyet bilgisini tutarlar. Taşınan postanın maliyeti yüksek ise öncelik maliyeti daha düşük olan postaya verilir. Bu önceliklendirmenin yanında bir takım kısıtlar uygulanır. Bu kısıtlar, HTS ve ETS rollerine sahip sunucularda bulunan Send ve Receive Konektörleri üzerinde uygulanmaktadır. Uygulanabilecek bazı kısıtlamalar şu şekildedir:
- HTS’nin, MBS’a posta göndermek için veya MBS’dan mail alabilmek için açabileceği en fazla iş parçacığı(threads) sayısı kısıtlanmalıdır.
- ETS’a veya HTS’a bir dakikada açılabilecek en fazla bağlantı sayısı kısıtlanabilir. Bu kısıtlama gelen postalar için Receive Konektör’de, giden postalar için Send Konektörde ayarlama yapılmalıdır. Ayrıca kısıtlama belli bir kaynak veya hedef ile olan iletişim için de belirlenebilir. Limit belirtilmezse, saldırı sırasında bağlantı sayısı çok artış gösterir ve posta ile iletişim gerçekleştirilemez. Ayrıca belli bir domaine giden posta sayısının kısıtlanması da sağlanmalıdır.
- Açık bir SMTP bağlantısının posta alımı veya gönderimi yapılmadan geçen süre için zaman aşımı uzunluğu kısıtlanmalıdır.
- Posta alınmasının devam etse bile, Receive Konektörü’nün bir bağlantıyı sürdürmesi için gerekli zaman aşımı süresi kısıtlanmalıdır.
- Bir SMTP bağlantısı boyunca, Send Konektör’ünden gönderilebilecek en fazla posta sayısı kısıtlanmalıdır.
- Tarpitting aralığı makul bir süre olarak belirlenmelidir.
CAS & MBS için kurallar
Bir kullanıcının yapacağı işlem tüm sistem üzerine çok büyük bir yük getirebilir. Örneğin bir arama işlemi bile sistemi çok fazla yorabilir. MBS, RPC yoğunluğunun arttığını tespit ettiğinde kaynak kısıtlamasına giderek interaktif kullanıcılara öncelik verir. Bu önceliklendirmenin yanında bir takım kısıtlar uygulanır. Uygulanabilecek bazı kısıtlamalar şu şekildedir:
- POP3 komut büyüklüğü kısıtlanmalıdır.
- Sunucunun kabul edeceği gelebilecek POP3 ve IMAP4 bağlantı sayısı kısıtlanmalıdır. Bu kısıtlama IP bazında, kullanıcı bazında veya toplam bağlantı sayısı bazında gerçekleştirilmelidir.
- CAS bağlantısı öncesi, kimlik doğrulama süresi kısıtlanmalıdır.
- CAS bağlantısı olan kullanıcının oturumu, bir süre işlem yapılmazsa zaman aşımına uğramalıdır.
- Bir istemcinin CAS üzerinde gerçekleştireceği işlemlerin süresi kısıtlanmalıdır. Bu süre; AD ile olan kimlik doğrulama için gerekli LDAP sorgu süresi, MBS ile olan RPC talebi süresi ve CAS üzerinde gerçekleştirilen işlemler için geçen sürenin toplamıdır. Bu süreler için kısıtlama ayrı ayrı olarak da gerçekleştirilmelidir.
- Bir kullanıcının postayı en fazla iletebileceği ve gönderebileceği alıcı sayısı kısıtlanabilir. Bunun yanında bir kullanıcının gönderebileceği en fazla posta sayısı için de kısıt uygulanabilir.
- ActiveSync ile kurulabileceği ve silebileceği ortaklık sayısı kısıtlanabilir.
- Exchange Web Services, OWA, POP, RCA (RPC Client Access) veya ActiveSync kullanıcısının aynı anda yapabileceği bağlantı sayısı kısıtlanabilir.
- Bir posta içeriğinin veya ekinin büyüklüğü kısıtlanmalıdır. Böylece hem MBS üzerinde kaplanılan alan, hem de kullanılan bant genişliği kontrol altına alınır.
