Tres posibles soluciones o métodos que pueden seguir para poder llevar a cabo la publicación de Exchange 2003, por Leonardo Morales Arellano


Artículo cedido en colaboración
Nombre del usuario: Leonardo Morales Arellano
NickName en el blog/foro: Reiza_system
Localización: Nopalucan, Puebla. Mexico

Aquí están tres posibles soluciones o métodos que pueden seguir para poder llevar acabo la publicación de Exchange 2003.

Espero que me hagan muchos comentarios y que sea de utilidad esto con lo que estoy colaborando.

1. Publicación a través de un solo servidor Exchange detrás del firewall ISA Server. Como se puede apreciar en la Figura 2.2, esta estrategia consiste en:

• Dejar la infraestructura de red igual.
• Configurar Outlook Web Access (OWA) en el servidor Exchange actual.
• Configurar una regla de publicación en ISA Server para permitir el tráfico hacia el interior la red interna por medio del puerto 443/TCP.

Ventajas:

• Sólo se modifica una regla de publicación en ISA Server.
• No es necesario comprar equipo nuevo.
• La configuración es rápida y sencilla.
• El tiempo de implantación es mínimo.

Desventajas:

• La seguridad de la red interna se puede ver comprometida a algún ataque externo mal intencionado.
• El performance del servidor Exchange se vería muy comprometido, ya que tendría que satisfacer peticiones de correo interno y externo.


2. Publicación de Exchange a través de un escenario de FE-BE, detrás de ISA Server.- Como se puede apreciar en la Figura 2.3, esta estrategia consiste en:

a. Cambiar al servidor Exchange existente al rol de BE y configurar la topología FE-BE.
b. Instalar en un nuevo equipo Exchange Server 2003, darle el rol a topología FE y Configurar Outlook Web Access en él.
c. Configurar una regla de publicación en ISA Server para permitir el tráfico hacia el interior la red interna por medio del puerto 443/TCP.

Ventajas:

• Se mejora el performance de Exchange, dado que el servidor Exchange FE solucionaría peticiones de correo externo y las transferiría hacia el servidor Exchange BE. Esto resolvería la sobre carga de peticiones directas al servidor Exchange BE tanto del interior como del exterior de la empresa.
• Solo es necesario invertir en un equipo que funcione como FE.
• La configuración es relativamente rápida y sencilla.

Desventajas:

• La seguridad de la red interna se puede ver comprometida a algún ataque externo mal intencionado.
• La topología FE-BE tendría pocas razones de implementarse, dado que la comunicación entre los servidores Exchange FE-BE seria sólo dentro de la misma red interna.

3. Publicación de Exchange a través de un escenario FE-BE en una DMZ, como se puede apreciar en la Figura 2.4, esta estrategia consiste en:

a. Instalar en un nuevo equipo Exchange Server 2003, darle el rol de BE y mover las bases de datos del servidor Exchange anterior al nuevo servidor.
b. Instalar en un nuevo equipo Exchange Server 2003, darle el rol a topología FE y Configurar Outlook Web Access en él.
c. Instalar en un nuevo equipo ISA Server 2004, mover las reglas de configuración del servidor ISA anterior, y definir la zona DMZ en ISA Server.
d. Colocar al servidor Exchange FE en la DMZ.
e. Encriptar los datos entre el servidor Exchange FE en la DMZ y el servidor Exchange BE en la red interna por medio de IPsec en modo túnel.
f. Configurar la encriptación SSL para garantizar una comunicación segura entre los usuarios externos y el servidor Exchange FE.
g. Configurar una regla de publicación en ISA Server para permitir el tráfico desde el exterior (Internet) hacia el interior la red (DMZ) por medio del puerto 443/TCP.
h. Configurar una regla que permita el tráfico seguro entre el servidor Exchange FE en la DMZ y el servidor Exchange BE en la red interna, con los respectivos puertos de seguridad habilitados.

Donde:
• La comunicación entre el exterior (Internet) y el servidor Exchange FE (DMZ) será por medio de SSL.
• La comunicación entre el servidor Exchange FE (DMZ) y el servidor Exchange BE (red interna) será por medio de IPsec modo túnel.
• La comunicación entre el servidor Exchange BE y el Domain Controller será de confianza por formar parte de la red interna.

Ventajas:

• Se mejora el performance de Exchange BE, dado que el servidor Exchange FE solucionaría peticiones de correo externo y las transferiría hacia el servidor Exchange BE.
• Se disminuye el riesgo de acceso no autorizado a la red interna.
• La seguridad en la comunicación entre los servidores Exchange FE-BE seria poco vulnerable a algún ataque externo mal intencionado.
• La integridad de la información entre el usuario externo y el servidor Exchange BE seria confiable.

Desventajas:

• Es necesario invertir en equipo más robusto.
• El tiempo de configuración de la seguridad entre cliente externo (Internet) y la DMZ es muy desmedido.
• La configuración de la seguridad entre la red interna y la DMZ es más compleja.
• El tiempo de implementación de esta opción es mayor.

¿Qué es a lo que conlleva esta solución?

La estrategia número tres conlleva en varias etapas que van desde las cotizaciones del equipo hasta la configuración de los distintos puntos de acceso. A continuación se describe de mejor manera en que consiste cada etapa que se analizó y planteó para llevar a cabo la implementación de la opción elegida:

• Tomando en cuenta los tres equipos de cómputo por adquirirse, se pretende:

1) Instalar en el primer equipo de cómputo el firewall ISA Server 2004 y mover las reglas de seguridad del servidor ISA Server existente al nuevo equipo.
2) En el segundo equipo instalar Exchange 2003, mover las bases de datos del servidor Exchange existente al nuevo equipo y darle el rol a topología BE Server.
3) El tercero de igual forma instalar Exchange Server y asignarle el rol de a topología FE Server.

Para que la unión de las herramientas y servicios de cada software, ofrezca una mejor rapidez en la comunicación entre los distintos puntos de la red. A su vez esto brindara un mayor control en el tráfico que viajara entre la red interna y la red DMZ.

• Configurar IPsec en modo túnel en un escenario Microsoft© Exchange Server 2003 FE–BE con Microsoft© Windows Server R2 teniendo en cuenta que ambos servidores están en distintos segmentos de la red y que se configurara IPsec en modo túnel, encriptando de esta manera la información que viajara entre estos servidores.

• Configurar Outlook Web Access (OWA) en el servidor Exchange FE, herramienta que brinda la interfaz gráfica al cliente, y permite que este se conecte a su cuenta de correo interno.
• Al configurar los servidores Exchange Server en una topología FE–BE la comunicación entre estos debe ser asegurada por ISA Server, ya que se tiene el diseño donde el servidor FE esta ubicado en la red DMZ y el Servidor BE en la red interna.

Nota: Esto implica que en el firewall se deben configurar varias reglas que permitan el tráfico desde la red interna (LAN) hacia la red opcional (DMZ) y viceversa con los respectivos puertos habilitados.

• Configurar Secure Sockets Layer para asegurar la comunicación entre los usuarios externos y el servidor Exchange FE, dado que al iniciar la comunicación al servidor FE solicitará un certificado de seguridad para comprobar la identidad de la persona que requiere el servicio.

¿Por qué es necesario implementar esta solucion?

Cada una de las etapas efectuadas para la correcta implementación del proyecto IPSAR, se consideraron tomando en cuenta cada una de las dificultades que podrían surgir durante la realización de este proyecto.

• Adquisición de nuevos equipos: Dada la configuración a implementarse se requiere que los servidores posean mayor velocidad de procesamiento de la información. Esto es para mejorar el rendimiento en la comunicación entre el sistema operativo y el software instalado, para que la información entre ellos, sea más efectiva y más rápida.

• Instalación de ISA Server en un nuevo equipo de cómputo: La nueva configuración y definición de la DMZ implica que el servidor pueda brindar mejor performance para satisfacer las peticiones de cada una de las interfaces configuradas en este nuevo esquema de red.

• Instalación Microsoft© Exchange Server 2003 y configuración de la topología Front End – Back End: Dado que la configuración a implementarse exige que exista como base un servidor FE y un BE. Al nuevo servidor Exchange instalado se le asignara la topología BE, se moverán las bases de datos del servidor Exchange anterior al nuevo servidor Exchange BE. Así mismo la instalación de otro servidor con Exchange Server en el segmento de red DMZ configurado con topología FE, esto para disminuir el número de peticiones realizadas directamente al servidor Exchange BE. Asimismo reducir la relación directa entre los usuarios externos y el servidor Exchange BE.

• Configuración de IPsec en modo túnel entre los servidores Exchange FE y BE: La configuración de las directivas IPsec en modo túnel en una topología FE–BE con Microsoft© Windows Server R2 asegura la comunicación entre estos servidores, que están en diferentes segmentos de la red (uno en la red LAN y otro en la DMZ), dado que IPsec modo túnel brinda servicios de seguridad y encriptación de los paquetes.

• Configuración Outlook Web Access en el servidor Exchange FE: Este servicio permitirá manipular los buzones de correo interno desde el servidor Exchange FE en código html el cual es interpretado por cualquier navegador Web, desde cualquier lugar del planeta que cuente con una conexión a Internet y un navegador de Internet.

• Configuración de la regla de seguridad en el firewall para la publicación del OWA: Esta regla permitirá que los clientes externos puedan acceder a sus buzones de correo interno por medio del servicio de OWA, y permitir el tráfico por el puerto 443/TCP que corresponde al protocolo SSL.

• Configuración de SSL para garantizar la comunicación segura entre los usuarios externos y el servidor Exchange FE: El servidor Exchange FE utiliza OWA para enviar el tráfico hacia el cliente de correo hasta el navegador Web por medio de http (basado en TCP, puerto 80) y en texto plano, lo que significa que personas con fines maliciosos puedan ver los paquetes que se intercambiarían entre el servidor Exchange FE y el usuario externo. Por lo cual es necesario garantizar la transmisión de la información entre estos, cifrando la información que se transmite mediante el uso de SSL proporcionando autenticación y privacidad de la información entre los extremos involucrados en el uso de criptografía.

Aquí dejo algunos enlaces de algunas páginas que les servirán para publicar Outlook Web Access, claro que esto es recomendado por si eligen la solución numero tres. Que fue la que implemente.

• Cómo mover Exchange 2003 a un nuevo hardware y mantener el mismo nombre de servidor [PWWW6b], Fecha de consulta: Octubre de 2007, Dirección:
http://go.microsoft.com/fwlink/?LinkId=3052&kbid=822945
• Configurar IPSec en un escenario MS Exchange Server 2003 Front End – Back End con MS Windows Server 2003 R2 [PWWW8], Fecha de consulta: Octubre de 2007, Dirección:
http://www.microsoft.com/latam/technet/recursos/howto/windows2003r2/ipsecexchange.mspx#

• Front-end Back-end Exchange Server Trihomed DMZ Network Scenario [PWWWT], Fecha de consulta: Octubre de 2007, Dirección:
http://www.isaserver.org/articles/2004dmzfebe.html

Sin categoría

Deja una respuesta