Как использовать Windows 2003 SP1 — ознакомление с настройкой портов и применением опций фильтрования для защиты вашего Exchange сервера.
Введение
Windows XP SP2, предоставляет полный пересмотр системы безопасности для клиентской части операционной системы Microsoft. На самом деле, она стала новой операционной системой, из-за почти полного изменения исходных кодов. Результатом больших усилий по написанию новых исходных кодов и тестированию, стало создание Windows Firewall, Microsoft версии по созданию персонального Firewall. Персональный Firewall это часть программного обеспечения, которое фильтрует входящие и исходящие пакеты TCP/IP для одной рабочей станции, используя специальный сетевой драйвер.
Гарантировано, было и сейчас имеется много персональных firewall. Эти firewall всегда были большой головной болью для центров поддержки, так как очень часто они были несовместимы с каким либо приложением, либо не позволяли осуществить доступ к каким либо важным ресурсам. Также, после установки новых патчей или сервиспаков они переставали работать.
Microsoft первоначально предоставил очень ограниченную возможность для фильтрования портов для Windows XP, называемую фильтрованием Интернет соединений, которая блокировала доступ из Интернета, пока он не был разрешен пользователем. Windows 2000/3, имела более продвинутые возможности для фильтрования портов, которые едва использовались из-за серьезных ограничений.
Новый Windows Firewall должен был быть легким в использовании и достаточно гибким, чтобы не мешать производительности. Он был специально спроектирован, что бы компьютеры и пользователи могли входить в домен до применения ограничений на порты. Он также имел возможность централизованно изменять конфигурацию, используя групповую политику.
Заражение вирусами и неправильное использование корпоративной компьютерной сети, при использовании P2P приложений, которые используют типично открытые порты (такие как порт 80) , означает, что применение Windows Firewall в организациях стало правильным выбором, особенно в компаниях, где безопасность имеет высокий приоритет.
Windows 2003 SP1 это первый Microsoft сервер, операционная система которого имеет свой персональный firewall, который во многом очень похож на версию Windows XP SP2.
Цель статьи рассмотреть возможности защиты Exchange сервера, используя персональный firewall. Это может стать правильным выбором для серверов с ISP хостингом, удаленных филиалов, которые не имеют корпоративного firewall и для компаний желающих увеличить внутреннюю безопасность.
Интерфейс Windows Firewall
Windows Firewall, когда активирован, блокирует все TCP/IP порты. Вы можете открыть порты, указывая номер порта, либо разрешив доступ какому-либо приложению ко всем портам.
Вы можете также решить выбрать «Scope» (границы) когда разблокируете порт или приложение для ограничения соединения, используя сеть или маску подсети
Вы также имеете общие сервисы, уже определенные и готовые для использования. Для Exchange сервера, например, было бы типично открыть SMTP порт, если это подразумевает получение электронной почты из Интернета.
В конфигурации, указанной выше, я открыл HTTPS (port 443) чтобы разрешить приложению Outlook Web Access доступ к серверу.
Вход в сеть это вторая по важности вещь для firewall после блокирования соединений.
Мастер настройки по конфигурированию системы безопасности (SCW)
Windows 2003 SP1 предоставляет Мастер настройки который упрощает процедуру настройки доступа к серверным приложениям. Он также производит некоторые настройки операционной системы и позволяет вам запретить ненужные сервисы.
SCW не устанавливается по умолчанию, когда вы устанавливаете Windows 2003 SP1, поэтому для того чтобы запустить его вам нужно установить его вручную, выбрав на панели управления «Add or Remove Programs».
Вы можете запустить его из папки Administrative Tools или напечатав SCW в командной строке.
Следующий шаг решающий, потому что он определяет открытые порты.
Как вы можете видеть, Windows использует достаточно много портов. В нашем случае, все эти порты были выбраны, потому что мой тестовый сервер является также контроллером домена.
Если Exchange не установлен по умолчанию по адресу («%program files%\exchsrvr»), вам нужно будет помочь SCW найти расположение файлов Exchange, указав путь вручную.
Об этом рассказывается в указанной статье Microsoft KB Article:
http://support.microsoft.com/?id=896742
SCW добавляет входящий доступ ко всем портам, которые прослушивает Exchange. Поэтому, после запуска SCW, вы можете обнаружить, что ваш сервер не так хорошо защищен, даже если некоторые порты и закрыты. Для того чтобы сделать ваш сервер более защищенным, вы можете ограничить входящую активность, выбрав определенные IP адреса, введя с помощью опции «Advanced» разрешенные маски подсети.
Ограничение на использование портов приложением Outlook
Итак, после запуска SCW как описано выше, вы откроете Exchange для внутренней сети. Но как насчет открытия его для Интернета или для другой внешней сети, чтобы можно было использовать Outlook?
Сделать это можно применением RPC через HTTP(используя порт 443) или ограничив RPC соединения к серверу.
RPC использует несколько портов. Так как Windows Firewall не позволяет вам определять ряд портов, вам нужно ограничить доступ к портам Exchange, используя реестр.
В статье Microsoft KB 270836 указывается, как сделать это:
http://support.microsoft.com/default.aspx?scid=kb;en-us;270836Затем вы можете открыть требуемые порты для Интернет используя либо SCW, либо Windows Firewall.
Конфигурирование нескольких серверов
Установки SCW сохраняются в XML файле. Вы можете использовать этот файл для настройки других серверов.
Либо вы можете объединить все ваши Exchange серверы в один OU и определить групповую политику для них.
Заключение
Windows 2003 SP1 Firewall, SCW и групповая политика предоставляют вам большой выбор для обеспечения безопасности вашего сервера Exchange 2003 , используя множество правил применение которых отличается для внутренних и внешних соединений.
Это не подразумевает полную замену корпоративного firewall, но как показано выше, указанные приложения могут быть удобными, гибкими и надежными средствами для построения второго уровня защиты, системы безопасности компьютерной сети.
