Exchange Server: Giriş

Exchange Server: Giriş

E-Posta Sistemleri 
Günümüzde sosyal mühendislik gibi bir çok saldırı posta yolu ile gerçekleşmektedir. Bu sebeple posta sunucularının güvenliğine önem vermek gerekmektedir.

Elektronik posta (e-posta) sistemleri iki öğeden oluşur:

• Elektronik posta sunucular (mail server) : Exchange Server, Lotus Notus Mail Server, Send Mail, Qmail ve Postfix gibi genellikle sunucu üzerinde çalışan ve e-posta hizmeti veren programlardır.
• Elektronik posta istemciler (mail client) : Outlook Express, Thunderbird, PowerMail gibi kullanıcı bilgisayarlarında çalışan ve adımıza açılmış olan bir e-posta hesabına erişmek için kullandığımız uygulama programlarıdır.

Güvenilir Bilgi İşleme 
Daha önceki Exchange Server sürümlerinde posta kutusu (mailbox) ve kullanıcı işlemlerinin tamamı, Aktif Dizin üzerinden gerçekleştirilirdi ve bu durum Aktif Dizin üzerine büyük bir yük oluşturmaktaydı. Exchange Server 2007 ile birlikte bu işlemler Exchange Server Management Console (EMC) veya PowerShell üzerinden gerçekleştirilebilmektedir.

Exchange Server 2007 ile birlikte kurulum ile beraber güvenlik sağlanmaktadır. Güvenlik için sıkılaştırma işlemlerinin bir çoğu yapılmış olarak kurulumla gerçekleşmektedir. Exchange Server 2007 ve sonraki sürümlerde Microsoft tarafından Güvenilir Bilgi İşleme (Trustworthy Computing) metodu kullanılmaktadır. Kullanılan SDLC (Security Development Lifecycle) ile daha güvenilir bir sistem hazırlanmıştır. Trustworthy Computing, temel olarak aşağıdaki başlıklarda güvenliği kapsamaktadır:

• Tasarımda Güvenlik: Ürünün tasarlanması sırasında güvenilir kod geliştirmek için gerekli olan araçlar ve tekniklerden faydalanılmıştır.
• Kendiliğinden Güvenlik: Güvenilir bir sistemin sağlanması için en önemli konulardan birisi iletişimin güvenilir hale getirilmesidir. Bu amaçla SMB (Server Message Block) ve bazı UM (Unified Messaging) iletişimleri hariç tüm iletişimlerde Kerberos protokolü, sertifika, SSL (Secure Sockets Layer), diğer bazı endüstriyel şifreleme teknikleri kullanılmaktadır.
• Zararlılara Karşı Güvenlik: SPAM maillere karşı ajanlar yüklü olarak gelmektedir. Daha önceki versiyonlarda ajanlar kullanılmamaktaydı. Bunun yanında Microsoft Forefront Protection ile virüslere karşı önlem oluşturulmuştur.
• Dağıtımda Güvenlik: Exchange Server kurulumu sırasında en iyi alıştırmalara göre “Microsoft Exchange Server Best Practices Analyzer” ile sistem analizi gerçekleştirilebilmektedir. Bunun yanında mail sunucuda yapılacak işlemler için yönetici ve standart kullanıcılar için En Az Yetki Prensibi’ne göre hazırlanmış rol tabanlı bir izin modeli oluşturulmuştur.

İletişim Protokolleri 
Exchange ortamında temel olarak 5 adet protokol kullanılmaktadır:

• HTTP: Veriler ağ üzerinden açık olarak geçmektedir.
• IMAP4 & POP3: Yerel kullanıcıların uzaktaki bir e-posta sunucusuna erişmesini sağlayan bir uygulama katmanı protokolüdür. Veriler ağ üzerinden açık olarak geçmektedir. IMAP ile E-Posta sunucusuna bağlantı kurulduğunda, kutuda birikmiş e-postaların sadece başlık bilgilerini istemciye getirir. POP3 ise bütün mesajları istemciye çeker.
• SMTP: Posta gönderilmesi için kullanılan protokoldür. Tek yönlü bir protokoldür (sadece gidiş).  E-posta, e-posta sunucuları arasında aktarılırken de SMTP kullanılır. Veriler ağ üzerinden açık olarak geçmektedir. İstemci bilgisayar SMTP sunucusuna bağlanarak gerekli kimlik bilgilerini gönderir.  Onay verildiğinde posta SMTP sunucusuna iletilir.
• MAPI: Posta uygulamalarının sunuculardan posta alırken veya posta gönderirken kullandıkları arabirim protokolüdür. Exchange Server 2010 öncesinde kullanıcılar MAPI (Messaging Application Program Interface) aracılığıyla Mailbox sunucusuna ulaşabiliyorlardı. 2010 ile beraber bu değişmiştir. Mailbox server diğer sunucu rolleri ile MAPI bağlantısı üzerinde konuşur. Sadece ortak klasörlere (public folder) erişmek için MAPI kullanan son noktalar direk olarak Mailbox’a ulaşır.

Not: Posta iletişiminin sağlanabilmesi için DNS’e MX kaydının girilmesi gerekmektedir.

Not: Ortak klasörler ile Exchange sisteminde dosya, kontakt, takvim, mail, forum gibi kaynaklar tek kopya üzerinden bir çok kullanıcının erişimine açıldığı klasörlerdir. Exchange Server 2013 mimarisinde bu klasörler artık veritabanı yerine özel olarak dizayn edilmiş posta kutusu (mailbox) bazlı olarak oluşturulmaktadır.

AD-CS: Sertifikalar

Aktif Dizin Sertifika Servisi: Sertifikalar

Microsoft Office Communications Server (OCS), Microsoft Exchange Server, IIS sunucular ve bir çok Microsoft sistemi sertifikalara ihtiyaç duymaktadır. Bu sertifikaların üretilmesi, geçerliliğinin kontrol edilmesi, yetkilendirme yapılması gibi merkezi bir yönetimin sağlanması, sertifika taleplerinin otomatik olarak gerçekleştirilebilmesi için bir otorite oluşturulması, PKI adı verilen bir alt yapının kurulması ihtiyaç olmuştur. Bu amaçla, Windows Server 2003’te Certificate Services olarak, Windows Server 2008’de ise Active Directory Certificate Service adı verilen bir hizmet kullanılmaktadır.

Burada bahsedilen otomatik talep (auto enrollment) ile Windows bilgisayarlar Enterprise olarak kurulum gerçekleştirilen CA’lar üzerinden otomatik olarak sertifika kaydı gerçekleştirebilirler. Bir bilgisayar etki alanından grup ilkelerini indirince sertifikalarını da günceller. Eksik tipte bir sertifika mevcutsa bu sertifikayı Enterprise CA’dan talep eder, geçersiz olanlar ya iptal edilir ya da güncellenir.

Sertifikaların Kullanım Alanları
AD-CS tarafından desteklenen uygulamalardan bazıları şu şekildedir:

• S/Mime (Secure / Multipurpose Internet Mail Extensions) ve elektronik posta iletişimi
• Kablosuz bağlantılarda güvenlik
• VPN
• IPSec ile güvenilir veri iletişimi
• Web browser’daki sertifika ile kimlik doğrulama
• EFS ile veri şifrelemesi
• Akıllı kart ile kimlik doğrulama ve oturum açma
• SSL ve TLS ile güvenilir veri iletişimi, LDAP
• Dijital imza ile belge imzalama

Yararları

• Klasik PKI tarafından sunulan yararlar Windows PKI tarafında da geçerlidir.
• AD CS, organizasyonlara sertifika yönetimi ve dağıtımı için düşük maliyetli, verimli ve güvenli bir yol sunar.
• Son kullanıcı AD üzerinde kimlik doğruladıktan sonra, kendilerine özel anahtarları kullanmaları sağlanır. Böylece transparanlık sağlanır.
• Yazılımcılar Windows tarafından sunulan API’leri kullanarak kendilerine özel uygulamalar geliştirebilirler.

Sertifikaların İptali
Sertifikaların iptal edildiği durumlarda, sertifikaların geçerliliğini doğrulama girişiminde bulunan kişilere, bilgisayarlara ve uygulamalara sertifika iptali bilgilerini dağıtma gereği ortaya çıkar. İptal bilgileri verme gereği ve bunların zamanlanması, uygulamaya ve uygulamanın sertifika iptali denetimine bağlı olarak değişir.

Sertifika durumu ile ilgili iletişim için iki yol vardır:

• Sertifika İptal Listeleri (CRL): Düzenli olarak dağıtılan ve iptal edilen veya askıya alınan tüm sertifikaların seri numaraları gibi bazı bilgileri içerir. Bir istemcinin sertifika iptal durumunu denetleyebilmesi için, CA tarafından iptal edilen tüm sertifikalarla ilgili bilgilerin yer aldığı bir CRL'yi karşıdan yüklemesi gerekir. Bu durum hem fazla bant genişliği harcanmasına hem de fazla depo alanı istemektedir. Ayrıca bu listelerin sık sık değişmesi maliyeti arttırırken, uzun süre değişmemesi ise güvenliğe tehdit oluşturmaktadır. Tüm iptal edilen sertifikaların bulunduğu listeye Full CRL, Full CRL alındıktan sonra güncelleme yapılan iptal listesine ise Delta CRL adı verilir.
• Çevrimiçi Yanıtlayıcı: Çevrimiçi Sertifika Durumu Protokolü'ne (OCSP) dayanır. Çevrimiçi Yanıtlayıcılar kullanıldığında, hedef istemciler tüm sertifika iptal verilerini almaz sadece sorgulama yaptıkları sertifikanın durumunu alır. Sertifika durumunu imzalı olarak döner. Sonuçta Sertifika Otoritesi’ndeki sertifika veritabanında iptal edilmiş kaç sertifika olursa olsun, istek başına alınan veri miktarı sabittir.

Grup ilkeleri ile sertifikaların yönetimi
Bir Active Directory Etki Alanı Hizmetleri (AD DS) ortamında, sertifikalarla ilgili bazı işlemleri yönetmek için grup ilkeleri kullanılabilir. Grup ilkeleri ile gerçekleştirilebilecek bazı işlemler şunlardır:

• Kimlik bilgisi dolaşımı: AD DS'deki bir kullanıcıya özel X.509 sertifikalarının, sertifika isteklerinin ve özel anahtarların kullanıcı profilinden bağımsız olarak depolanmasına ve ağdaki herhangi bir bilgisayarda kullanılmasına olanak sağlar. Böylece, istemcilerin sertifikaları ve gizli anahtarları, istemcinin oturum açtığı bilgisayar ile AD üzerinde senkron olarak saklanabilmektedir. Bu durumda, daha yeni olan sertifika veya anahtar diğerini günceller ve istemci başka bir bilgisayarda oturum açtığında, güncel sertifikaları kullanarak işlemlerini gerçekleştirir. Sonuç olarak, hem istemci eski anahtar ve sertifikaları kullanmamış olur, hem de sertifika ve anahtarların bir bilgisayardan diğerine taşınması için operasyon yapılmasına gerek kalmaz.
• Sertifikaların otomatik kaydı: Grup ilkeleri kullanılarak; kullanıcılar, bilgisayarlar veya hizmetler sertifikalara otomatik olarak kaydettirilir. Kullanıcı ve bilgisayarlara verilen kayıt işlemleri otomatik olarak gerçekleştirilirken, ya şablonlar kullanılmalıdır ya da grup ilkeleri yapılandırılmalıdır.
• Sertifika yolu doğrulama: Grup ilkelerindeki sertifika yolu doğrulama ayarları ile Ara (Intermediate) Sertifika Otoritesi’ne ait sertifikaları dağıtma, güvenilmeyen sertifikaları engelleme, kod imzalama için kullanılan sertifikaları yönetme, sertifikalar ve sertifika iptal listeleri (CRL) için alma ayarlarını yapılandırma gibi bir çok işlem gerçekleştirilebilir.
• Sertifika dağıtımı: Sertifikalara olan güvenin yönetilmesi sağlanır. Grup ilkeleri ile güvenilir sertifikalar belirlenebilir, Verisign gibi dış Sertifika Otoriteleri’nden alınan ve iptal edilemeyen sertifikaların kullanımı sınırlandırılabilir veya önlenebilir. Not: Grup ilkeleri ile, bilgisayarların Trusted Root Certification Authorities konteynırına Sertifika Otoritesi sertifikaları eklenebilirken, kullanıcıların grup ilkelerine eklenememektedir.

Okunası Makaleler: Sertifika / SSL

Sertifika / SSL Makaleleri

Prensip
Sign with MY Private, Encrypt with YOUR Public

Sertifika ve SSL Kavramları
Kaynak site:
http://www.cozumpark.com/blogs/gvenlik/archive/2010/09/25/sertifika-ve-ssl-kavramlar.aspx

Sertifika - Sertifika Oluşturma - Sertifika Türleri
Kaynak site:
http://www.bilgiguvenligi.gov.tr/guvenlik-teknolojileri/sertifika-sertifika-olusturma-sertifika-turleri.html

DDoS Attacks on SSL: Something Old, Something New
Kaynak site:
http://ddos.arbornetworks.com/2012/04/ddos-attacks-on-ssl-something-old-something-new/

Automate testing SSL/TLS clients for resistance against MITM attacks
Kaynak site:
http://www.gremwell.com/sslcaudit_files/doc/sslcaudit-user-guide-1.0.pdf

https nasıl çalışır
Kaynak site:
http://www.networkpentest.net/2011/08/https-nasl-calsr.html

SSL/TLS Deployment Best Practices
Kaynak site:
https://www.ssllabs.com/downloads/SSL_TLS_Deployment_Best_Practices_1.0.pdf

HTTP - Nass oluyor da oluyor? HTTPS - HTTP over SSL
Kaynak site:
http://umut-simsek.blogspot.com/2012/06/http-nass-oluyor-da-oluyor-https-http.html

CSR Decoder
Kaynak site:
http://www.sslshopper.com/csr-decoder.html

OpenSSL Public/Private Key Encryption
Kaynak site:
http://www.liatsisfotis.com/2012/04/openssl-publicprivate-key-encryption.html

Kısa Uzunluktaki Cipherlardan Kaynaklanan Zafiyetlerin Giderilmesi
Kaynak site:
http://www.cozumpark.com/blogs/gvenlik/archive/2013/01/27/k-sa-uzunluktaki-cipherlardan-kaynaklanan-zafiyetlerin-giderilmesi.aspx

Okunası Makaleler: DoS / DDoS

DoS/DDoS Makaleleri

DNS Hizmetine Yönelik Dos/DDoS Saldırıları
Kaynak site:
http://www.bga.com.tr/calismalar/dns_ddos.pdf

BGA 2011 DDoS Pentest ve Analiz Raporu
Kaynak site:
http://blog.bga.com.tr/2012/04/bga-2011-ddos-pentest-ve-analiz-raporu.html

DDoS Attacks on SSL: Something Old, Something New
Kaynak site:
http://ddos.arbornetworks.com/2012/04/ddos-attacks-on-ssl-something-old-something-new/

Siber Saldırı Aracı Olarak DDoS
Kaynak site:
http://www.bga.com.tr/calismalar/siber_savas_ddos.pdf

Hosting Firmalarına yönelik DDoS Saldırıları ve Çözüm Önerileri
Kaynak site:
http://www.bga.com.tr/calismalar/Hosting_DDoS.pdf

Netscreen Firewall DDoS Ayarları
Kaynak site:
http://www.bga.com.tr/calismalar/netscreen_ddos.pdf

DDoS Saldırı Analizi: DDoS Saldırılarında IP Analizi
Kaynak site:
http://www.bga.com.tr/calismalar/ddos_analizi.pdf

DDoS Saldırıları Nasıl Gerçekleştirilir?
Kaynak site:
http://www.bga.com.tr/calismalar/bga_ddos-botnet-ankara-2.pdf

SynFlood DDOS Saldırıları: SynFlood saldırıları ve korunma yolları
Kaynak site:
http://www.bga.com.tr/calismalar/synflood.pdf

Özgür Yazılımlarla DDOS Saldırılarını Engelleme
Kaynak site:
http://www.bga.com.tr/calismalar/opensource-ddos-engelleme.pdf

DOS, DDOS Atakları ve Korunma Yöntemleri
Kaynak site:
http://www.bga.com.tr/calismalar/ddos_ataklar_ve_korunma.pdf

DDoS Saldırıları ve Korunma Yolları
Kaynak site:
http://www.bga.com.tr/calismalar/ddos_ataklar_ve_korunma.pdf

Web Sunuculara Yönelik DOS/DDOS Saldırıları
Kaynak site:
http://www.bga.com.tr/calismalar/web_ddos.pdf

DDoS and Security Reports: The Arbor Networks Security Blog
Kaynak site:
http://ddos.arbornetworks.com/2012/05/stepping-forward-with-the-2012-world-ipv6-launch/

Why Firewalls and Intrusion Prevention Systems (IPS) Fall Short on DDoS Protection
Kaynak site:
http://www.arbornetworks.com/ddos/Why%20Firewalls%20and%20Intrusion%20Prevention%20Systems%20Fall%20Short%20on%20DDoS%20Protection.pdf

Protocol Analysis and Defeating DDoS in FreeBSD Kernel
Kaynak site:
http://www.nopcon.org/sunumlar/NebiSenol-FreeBSD.pdf

DDoS nedir, ne değildir?
Kaynak site:
http://www.siberguvenlik.org.tr/ddos-nedir-ne-degildir/

DDoS attacks, so simple so dangerous
Kaynak site:
http://securityaffairs.co/wordpress/8259/security/ddos-attacks-so-simple-so-dangerous.html?goback=%2Egde_37658_member_155139624

DDoS Türleri
Kaynak site:
http://blog.btrisk.com/2014/05/dos-turleri.html


DDoS Önlemleri: DDoS NEDİR, NE YAPMALIYIM?
Kaynak site:
http://ekaragol.blogspot.com.tr/2013/11/ddos-onlemleri.html


DoS DDoS Saldırıları ve Korunma Yöntemleri Kitabı
Kaynak site:
http://www.slideshare.net/bgasecurity/dos-ddos-saldrlar-ve-korunma-yntemleri-kitab