Tải bản đầy đủ (.pdf) (10 trang)

Tài liệu Bảo vệ luồng thư SMTP an toàn giữa các tổ chức Exchange Server 2007 khác nhau pdf

Bạn đang xem bản rút gọn của tài liệu. Xem và tải ngay bản đầy đủ của tài liệu tại đây (522.47 KB, 10 trang )

Bảo vệ luồng thư SMTP an toàn giữa các tổ chức Exchange Server 2007
khác nhau
Ngu
ồn : quantrimang.com 
Trong bài này, tôi sẽ chỉ cho các bạn cách tạo luồng thư luân chuyển
SMTP an toàn giữa các hệ thống Exchange Server 2007 trong nhiều tổ
chức Exchange khác nhau. Bảo vệ lưu lượng SMTP giữa các tổ chức
Exchange 2007 đơn giản hơn nhiều so với những phiên bản trước đó của
nó.
Những vấn đề cơ bản

Bảo vệ lưu lượng SMTP giữa các Exchange Server khác nhau có cần thiết?
Chúng ta hãy thử một kiểm tra nho nhỏ sau.

Khởi động chương trình dò mạng với trình phân tích lưu lượng yêu thích nhất
của bạn. Ở ví dụ này, tôi dùng Microsoft Network Monitor 3.0. Trong khi chương
trình dò mạng đang chạy, khởi động phiên Telnet trong Exchange Server với
cổng 25 và gửi một thư qua đó. Ngừng chương trình dò tìm bằng Netmon và lọc
lưu lượng được đóng gói bởi giao thức SMTP. Bạn thấy những gì? Vâng, toàn
bộ chương trình thẩm định của phiên SMTP là v
ăn bản thuần tuý!

Hình 1: Dò tìm mạng SMTP với Netmon

Hình 2: Gửi một thư SMTP qua Telnet
Bây giờ, bạn biết là cần phải triển khai một số chương trình bảo mật giữa các
Exchange Server. Nhưng giải pháp nào là tốt nhất? Nếu sử dụng IPSEC thì ý
nghĩa của nó sẽ như thế nào khi động? Ít nhất, bạn phải sử dụng các khoá “tiền
chia sẻ” để triển khai IPSEC giữa các server. Và chương trình sẽ hoạt động tốt
nếu s
ố lượng server Exchange của bạn chỉ dừng ở con số khiêm tốn là một vài.


Giải pháp khác, triển khai IPSEC trên nhiều hệ thống Exchange Server, sử dụng
các chứng chỉ. Nếu muốn triển khai chứng chỉ giữa các Exchange Server, bạn
sẽ cần một PKI (Public Key Infrastructure).

Có một giải pháp mới khác trong Exchange Server 2007 là sử dụng hàm dựng
sẵn.

Exchange Server 2007 sử dụng một số phương thức dưới đây nhằm đảm bảo
tính toàn vẹn và mã hoá cho thư:

Mutual TLS

Opportunistic TLS

Direct Trust

Domain Security
Mutual TLS

TLS (Transport Layer Security), tức giao thức bảo mật tầng giao vận là sự nối
tiếp của Secure Sockets Layer (SSL) - giao thức tầng socket bảo mật. SSL được
dùng để mã hoá luồng thư trong Exchange 2007. Thuật ngữ Multual nghĩa là cả
hai hệ thống Exchange Server trong tiến trình giao vận thư sẽ kiểm tra chứng chỉ
TLS trước khi kết nối được thiết lập. Mutual TLS được triển khai ở cấu hình,
trong đó cả người gửi và người nh
ận đều thẩm định lẫn nhau trước khi gửi dữ
liệu.

Opportunistic TLS


Opportunistic TLS là thành phần mới trong Exchange 2007. Exchange Server
2007 cố gắng đảm bảo an toàn cho luồng thư tới một hệ thống Exchange 2007
khác, hoặc tới hệ thống nhận thư bên ngoài. Nó cũng cố gắng cho phép một
phiên TLS với hệ thống nhận thư khác ở dạng yêu cầu TLS nặc danh. Đây là
điểm khác so với Exchange 2003. Ở Exchange 2003, bạn ph
ải cho phép TLS
“một cách thủ công” giữa hai hệ thống Exchange Server khác nhau.

Direct Trust

Tất cả lưu lượng thư đều được mã hoá tự động giữa các hệ thống Exchange
Server, bất kể vai trò được sử dụng là Hub Transport hay Edge Transport. Direct
Trust không dùng cơ chế thẩm định tính hợp lệ của chứng chỉ X.509 tổng hợp.
Thay vào đó, nó dùng cơ chế xác nhận trực tiếp sự hiện diện của một ch
ứng chỉ
trong Active Directory. Bạn sẽ không gặp phải vấn đề gì nếu sử dụng các chứng
chỉ tự ký hoặc chế độ thẩm định chứng chỉ nội bộ.

Domain Security

Domain Security là sự kết hợp các kỹ thuật và thành phần khác nhau, như
chương trình quản lý chứng chỉ, chức năng bộ kết nối Exchange Server và hoạt
động của các dịch vụ hỗ trợ thư điện tử (Microsoft Outlook 2007). Mục đích xây
dựng Domain Security trong Exchange Server 2007 cũng nhằm thiết lập kết nối
an toàn với Mutual TLS.

Triển khai TLS bảo mật

Nhằm mục đích an toàn cho dòng lưu chuyển mail v
ới mutual TLS, bạn có thể

dùng các server Hub Transport. Hoặc nếu như đã triển khai Edge Server, bạn
cũng có thể dùng nó với các hệ thống Exchange Server.

Ở bước đầu tiên, bạn phải thiết lập một chứng chỉ qua Forest đáng tin cậy với
hai tổ chức Exchange. Ít nhất bạn phải thêm chứng chỉ Root CA từ cơ chế thẩm
định Certification authority (CA) bên ngoài vào chứng chỉ Root CA đáng tin cậy
lưu trữ trên Hub Transport hoặc Edge Transport Server. Nếu có nhiều Server
Edge ho
ặc Hub Transport, sẽ tốt hơn khi triển khai chứng chỉ CA tin cậy hoặc
thêm chứng chỉ Root CA vào nơi lưu trữ Trusted Root CA qua các Group Policy.
Hình minh hoạ dưới là ảnh chứng chỉ Root CA của tổ chức B.

Hình 3: Chứng chỉ Root CA đến từ tổ chức Exchange khác.
Subject Name

Subject Name (tên đối tượng) giữ vị trí quan trọng trong các chứng chỉ dùng bởi
Exchange 2007. Tên đối tượng của một chứng chỉ TLS được dùng bởi các dịch
v
ụ nhận dạng DNS. Dịch vụ nhận dạng DNS sẽ gọi tên đối tượng của một chứng
chỉ và so sánh nó với yêu cầu. ISA Server là một ví dụ điển hình. Khi đưa ra
Outlook Web Access hoặc Outlook Anywhere trong một cầu HTTPS, tên của
chúng trên chứng chỉ phải khớp hoàn toàn với tên trong URL, dùng để truy cập
OWA hoặc Outlook Anywhere. Trường Subject Name trong một chứng chỉ rằng
buộc chứng chỉ đó với một server đơn hoặc một tên miền đặc biệt.

Bảng sau cung cấp cho bạn tổng thể một số tên Relative Distinguished Names,
tức RDN sử dụ
ng thường xuyên.
Tên
Viết

tắt
Kiểu
Kích
thước
lớn
nhất
Tần suất\Mức
lớn nhất\Mức
nên dùng trong
chứng chỉ\Yêu
cầu
Trật tự
trong
đối
tượng
Nước/Vùng C ASCII 2 1\1 1
Domain
Component
(thành phần
miền)
DC ASCII 255 Nhiều 1
Bạng hoặc
Tỉnh
S Unicode 128 1 2
Vị trí L Unicode 128 1 3
Tổ chức O Unicode 64 11 4
Đơn vị có
tính tổ chức
OU Unicode 64 Nhiều\nhiều 5
Tên chung CN Unicode 64 Nhiều\1 6

Bảng 1: Các tên Relative Distinguished Name được dùng phổ biến.
Yêu cầu chứng chỉ

Bước tiếp theo là yêu cầu chứng chỉ, thông qua Exchange Management Shell.
File yêu cầu chứng chỉ có thể được dùng để cấp phát một chứng chỉ từ CA nội
bộ.

×