Những tính năng bảo mật của OWA (P.1)

Outlook Web Access (OWA) ban đầu có tên có tên là Exchange Web
Connect, đây là một dịch vụ Webmail được tích hợp lần đầu tiên
trong phiên bản Microsoft Exchange Server 5.0 và sau đó được
Microsoft tiếp tục sử dụng trong các phiên bản tiếp theo.

Giao diện web của Outlook Web Access có giao diện phỏng theo giao
diện của Microsoft Outlook. OWA là một công cụ truy cập vào các ứng
dụng trong Microsoft Outlook, truy cập vào tài liệu trong các trang
Microsoft SharePoint và mạng chia sẻ, Ngoài ra nó còn hỗ trợ người
dùng kết nối từ xa thông qua một ứng dụng trình duyệt Web.

Outlook Web Access của Exchange 2007 trong Exchange 2007 đã được
cải tiến khá nhiều những tính năng bảo mật so với những phiên bản trước
đó. Để giúp các bạn có cái nhìn trực quan hơn, trong loạt bài viết này
chúng ta sẽ khám phá một số tính năng bảo mật của OWA và phương
pháp hoạt động của chúng.

Định vị Client Access Server

Trước tiên chúng ta sẽ tìm hiểu một tính năng bảo mật quan trọng của
OWA trong Exchange 2007 đó là khả năng bảo mật máy chủ cung cấp
OWA có tên Client Access Server. Trong Exchange 2000 và Exchange
2003, máy chủ giao tiếp không giống với Client Access Server trong
Exchange 2007. Đôi khi có trường hợp nhiều hệ thống triển khai máy chủ
giao tiếp trong một mạng ngoài mà không biết rằng máy chủ đó có phù
hợp với vị trí đó hay không, dù sau đó máy chủ giao tiếp này sẽ thực hiện
kết nối tới máy chủ thư tín phụ trợ. Tuy nhiên, cấu hình như vậy thường
không phù hợp vì việc đặt máy chủ giao tiếp trong một mạng ngoài sẽ
yêu cầu mở nhiều cổng bổ sung trên hệ thống tường lửa giúp chia cắt

mạng ngoài với mạng nội bộ (chứa máy chủ mail phụ trợ). Cần nhớ rằng
trong Exchange 2007 không hỗ trợ đặt Client Access Server vào mạng
ngoài do đó bạn cần tính toán trước khi lên kế hoạch bố trí các Client
Access Server.

Tiếp theo, chúng ta sẽ tìm hiểu những tính năng bảo mật quan trong khác
của OWA, bắt đầu với mã hóa Secure Sockets Layer (SSL) và những
chứng nhận được sử dụng vào mục đích này.

Secure Sockets Layer

Một trong những cải tiến bảo mật lớn của OWA trong Exchange 2007 đó
là khả năng mã hóa SSL được kích hoạt theo mặc định. Để thực hiện mã
hóa qua SSL, Exchange 2007 sử dụng những digital certificate (chứng
nhận số). Thông thường khi nhắc tới lthuật ngữ này chúng ta sẽ nghĩ nagy
tới những chứng nhận quyền nhóm ba như Verisign, hay một chứng nhận
quyền tương thích với môi trường Active Directory. Dù đánh giá này là
chính xác thì chứng nhận SSL mặc định do Exchange 2007 tạo trong quá
trình cài đặt thực ra là một chứng nhận tự cấp. Điều này có nghĩa là
những chứng nhận phân quyền nhóm ba sẽ cấp những chứng nhận mà nó
tạo ra, những chứng nhận tự cấp do Exchange 2007 tạo sẽ được chính
Exchange 2007 chấp thuận.

Hình 1 hiển thị một chứng nhận tự cấp được một máy chủ Exchange 2007
tạo với một tên NetBIOS của CCR-SRV1. Hình 2 hiển thị trường Subject
Alternative Name của cùng loại chứng nhận.



Hình 1: Tab General của một chứng nhận tự cấp trong Exchange

2007.



Hình 2: Trường Subject Alternative Name của chứng nhận tự cấp
trong Exchange 2007.

Trong hình 2 bạn có thể thấy chứng nhận đó có một trường Subject
Alternative Name được cài đặt với tên NetBIOS của máy chủ và Fully
Qualified Domain Name (FQDN). Ngoài ra, hình 1 còn cho thấy chứng
nhận tự cấp này theo mặc định không đáng tin cậy như những chứng nhận
nhóm ba. Nói cách khác, bạn cần phải copy chứng nhận này tới Trusted
Root Certificate Store trên mỗi máy tính từ vị trí dự định kết nối tới
Client Access Server, như khi sử dụng OWA từ ứng dụng trình duyệt của
một máy tính. Nếu không copy chứng nhận này bạn sẽ nhận được cảnh
báo như trong hình 3.


Hình 3: Cảnh báo đọ tin cậy chứng nhận của ứng dụng trình duyệt.

Nếu không quan tâm tới cảnh báo trên, bạn vẫn có thể sử dụng chứng
nhận tự cấp khi sử dụng OWA để truy cập vào hòm thư. Tuy nhiên, cần
nhớ rằng, những công cụ truy cập máy trạm khác như Outlook Anywhere
sẽ không hoạt động với chứng nhận tự cấp vì vậy tốt nhận bạn nên triển
khai một chứng nhận từ một chứng nhận quyền nhóm ba từ chứng nhận
quyền ban đầu, hoặc có thể từ một chứng nhận quyền nội bộ. Một vấn đề
cần chú ý khác với chứng nhận tự cấp đó là việc quản lý không hề đơn
giản. Ví dụ, những chứng nhận tự phân chỉ có hiệu lực trong vòng một
năm với bản Exchange 2007 Service Pack 1, sau đó bạn sẽ phải làm mới
chúng bằng lệnh New-ExchangeCertificate. Đôi khi quản trị viên có thể

quên thời điểm hết hạn của những chứng nhận này dù đã có những công
cụ như System Center Operations Manager (SCOM) trợ giúp. Những
chứng nhận nhóm ba hay những chứng nhận phân quyền Active
Directory có thể có thời gian hiệu lực dài hơn.

Trong thực tế, một chứng nhận SSL được cài đặt mặc định trên Client
Access Server sẽ cho phép sử dụng bộ mã hóa SSL giữa máy trạm và
máy chủ Client Access Server khi áp dụng những giao thức mà Client
Access Server hỗ trợ như HTTP, POP3, …Bạn có thể thực hiện thao tác
này bằng cách sử dụng nhiều thư mục ảo khác nhau được tạo trong
Internet Information Services (IIS) trên Client Access Server cần mã hóa
SSL. Bạn có thể thấy những thông tin này trong thuộc tính của nhiều loại
thư mục ảo. Ví dụ, hình 4 hiển thị thư mục ảo /owa đang chạy trong IIS6
trên một máy chủ Windows 2003.


Hình 4: Những yêu cầu SSL cho thư mục ảo /owa.
Chứng nhận phân quyền

Mặc dù mục đích của loạt bài viết này là khám phá tính năng bảo mật
trong OWA của Exchange 2007, nhưng chúng ta cũng cần tìm hiểu đôi
nét về chứng nhận phân quyền. Như đã đề cập trước đó, chúng ta có thể
sử dụng những chứng nhận tự cấp trong Exchange 2007 hay sử dụng
những chứng nhận từ nguồn khác. Những nguồn khác này bao gồm một
chứng nhận quyền nội bộ của Microsoft, một chứng nhận quyền nội bộ từ
công cụ không phải của Microsoft, hay một chứng nhận quyền nhóm ba
như Verisign, GoDaddy, … Tất nhiên, việc sử dụng chứng nhận nhóm ba
phụ thuộc khá nhiều vào máy chủ đang được bảo vệ. Ví dụ, giả sử, một
hệ thống có địa chỉ URL là cung cấp khả
năng truy cập ngoài tới OWA từ từ những địa chỉ từ xa và máy chủ Client

Access Server đó hỗ trợ truy cập OWA từ xa được ISA 2006 bảo vệ. Tốt
nhất bạn nên triển khai một chứng nhận quyền trên máy chủ ISA cho
URL OWA ngoài mạng từ một chứng nhận quyền nhóm ba để đảm bảo
rằng dù đang sử dụng máy trạm hay ứng dụng trình duyệt nào để truy cập
OWA thì cũng không gặp phải các vấn đề liên quan tới độ tin cậy của
chứng nhận. Tuy nhiên, chứng nhận cho Client Access Server không cần
phải mua từ chứng nhận quyền nhóm ba cùng loại vì chính ISA Server sẽ
giao tiếp trực tiếp với Client Access Server mà không phải máy trạm
ngoài mạng. Do đó, đôi khi các hệ thống có thể triển khai các chứng nhận
được tạo từ một chứng nhận quyền nội bộ cho Client Access Server thực.

Bạn có thể sử dụng những chứng nhận nhóm ba chuyên dùng, nhưng bạn
nên sử dụng chứng nhận quyền nội bộ để dễ dàng tạo và cấp chứng nhận,
và có thể tạo lại khi có sự cố xảy ra. Ví dụ, một chứng nhận Client Access
Server cần nhiều tên bổ sung trong trường Subject Alternate Name và rất
có thể bạn sẽ quên bổ sung những tên này vào yêu cầu chứng nhận ban
đầu.

Hiện có rất nhiều hệ thống, đặc biệt là những hệ thống nhỏ chưa cài đặt
một chứng nhận Microsoft nội bộ tương thích với môi trường Active
Directory. Do đó, lần đầu cài đặt Exchange 2007, những hệ thống này cần
cân nhắc sử dụng chứng nhận tự cấp hay sử dụng chứng nhận số từ một
chứng nhận quyền nhóm ba. Hoặc là triển khai một chứng nhận quyền
nội bộ và tôt nhất nên triển khai chứng nhận quyền nội bộ sử dụng
Microsoft Certificate Services.

Việc triển khai một hệ thống Exchange 2007 không phải là lí do duy nhất
để xem xét triển khai chứng nhận quyền nội bộ dựa trên công cụ của
Microsoft. Những sản phẩm khác của Microsoft, như Office
Communications Server. System Center Operations Manager và System

Center Configuration Manager cũng sử dụng những chứng nhận này.

Kết luận

Trong phần đầu tiên này chúng ta đã đi sâu tìm hiểu chứng nhận SSL rất
cần thiết để bảo mật OWA trong Exchange 2007. Trong phần tiếp theo
của loạt bài viết này chúng ta sẽ tìm hiểu phương pháp thẩm định quyền,
như thẩm định quyền nền tảng forrm cũng như phương pháp thẩm định
quyền chuẩn như thẩm định quyền Integrated Windows.