Microsoft Exchange Server – Tipps und Tricks Teil IV

Outlook Web Access als sichere Alternative zur Outlook-Client-Version

Bei einem Zugriff vom Internet auf die Firmenserver gibt es potentielle Gefahrenstellen beim Datentransport und bei der Identifikation von Sender und Empfänger. Auf dem Punkt gebracht, es wird Datenintegrität, Authentizität und Vertraulichkeit benötigt. Um dies zu erreichen, müssen Daten verschlüsselt und die Identifikation des Senders und Empfängers über entsprechende Zertifikate gewährleistet sein.

Vor der Einrichtung von Sicherheitsmaßnahmen sollten die Zugriffmodalitäten und das Sicherheitsbedürfnis der Organisation oder Firma erläutert werden. Eine Gefährdung von öffentlichen Computern kann nie hundertprozentig ausgeschlossen werden, sodass von dieser Zugriffsvariante Abstand genommen werden sollte.

Folgende Stichwörter charakterisieren die Vorteile von OWA:

• Plattformunabhängig, d.h. auch Benutzer von Linux, MacOS und anderen Betriebssystemen können via Microsoft Explorer oder Mozilla Firefox auf den Exchange Server zugreifen.

• IP-Adressen-unabhängig

• Schutz über SSL und Zertifikate

• Schutz über Benutzerauthentifizierung

Szenario – Aufbau der Netzwerkinfrastruktur

Der Artikel setzt eine Absicherung des Intranets über einer DMZ (Demilitarisierte Zone, auch Perimeternetzwerk genannt) voraus, was eine typische Netzwerkinfrastruktur darstellt. Abbildung 1 zeigt einen möglichen Aufbau einer DMZ.

Eine Frontfirewall gewährleistet dabei den Schutz zum Internet und öffnet alle notwendigen Ports, wie beispielsweise für IP (80), SSL (443) SMTP (25), FTP, usw. Idealerweise kann als Backfirewall ein ISA Server 2006 verwendet werden, je nachdem, wo der Exchange Postfachserver platziert ist (siehe Abbildung 2). Der Einsatz eines ISA Servers hat den Vorteil, dass nicht nur ein Exchange Server „veröffentlicht“ werden kann, sondern auch in einfacher Weise ein Exchange-Webclientzugriff eingerichtet werden kann.

Für beide Funktionen stellt der ISA Server ein Gateway zu einem internen (oder in der DMZ liegenden) Exchange- bzw. Webserver her. Die im ISA Server 2006 befindlichen Assistenten leiten den Administrator durch alle wichtigen Konfigurationsschritte, was Fehlerquellen auszuschließen hilft.

Clientzugriff auf OWA

Exchange Server 2003 und 2007 bieten eine Website an, über die sich Internetbrowser verbinden können. OWA ist in Exchange voreingestellt aktiviert und lässt sich über die Exchange-Oberfläche konfigurieren. Des Weiteren wird der Webzugriff über die Website gesteuert, was bedeutet, dass diese Aufgaben über die IIS-Verwaltung einstellbar sind.

Benutzer melden sich voreingestellt an der SSL-aktivierten Website wie Folgt an:

• Für Exchange Server 2003: https://<Hostname>/exchange/<Postfachname>

• Für Exchange Server 2007: https://<Hostname>/owa

Selbstverständlich kann der Hostname und der Verzeichnis-Alias für die Website auch geändert werden, was aus Sicherheitsgründen auch zu empfehlen ist.

Planungsaspekte

Bei beiden Exchange-Versionen müssen folgende Aspekte berücksichtigt sein:

• Es muss ein Zertifikat für die SSL-Verschlüsselung vorliegen (für den Gebrauch über den IIS)

• Das Protokoll http ist aktiviert und Einstellungen für den virtuellen Exchange Server sind berücksichtigt (siehe Abbildung 3).

• Eine formularbasierte Anmeldung ist eine Option für öffentliche und private Computer. Über ein Formularfenster im Browser geben Benutzer Anmeldedaten ein.

• Ein zusätzlicher ISA Server 2006 bietet ein sicheres Gateway zum Exchange Server mit einem externen Aliasnamen für die OWA-Website.

• Zusätzlich installierte Client-Computer-Zertifikate beschränken den Zugriff von ausgewählten Computergeräten. Hierfür ist die Einrichtung einer firmeneignen, Active Directory integrierten PKI-Infrastruktur (Public Key Infrastructure) sinnvoll.

• Der individuelle Clientzugriff wird über die Benutzereigenschaften in Active Directory (siehe Abbildung 4) eingestellt.

Unterschiede zwischen Exchange Server 2003 und Exchange Server 2007

Ein Unterschied zwischen neuer und alter Exchange-Version ist, dass die neue bereits viele notwendige Konfigurationen im IIS einstellt, die man sonst manuell einrichten müsste. Exchange Server 2007 richtet automatisch eine virtuelle Website ein, die über SSL und Port 443 angesprochen werden kann. Verwendet wird ein von Exchange Server 2007 generiertes Zertifikat. Besitzt eine Firma eine eigene Zertifizierungsstelle, sollte das Exchange 2007-Zertifikat durch das „eigene“ ersetzt werden.

Exchange Server 2003 installiert ebenfalls eine virtuelle Website, die allerdings voreingestellt kein Zertifikat zugewiesen bekommt. SSL und Zertifikate müssen hier manuell erstellt und zugewiesen werden. Unter Exchange Server 2007 können zusätzlich die Zugriffsmodalitäten auf firmeninterne Server und SharePoint-Dienste eingestellt werden (siehe Abbildung 5).

Zugriffe beschränken

Um den externen Zugriff auf den Internetserver einzuschränken, sollten Clientzertifikate obligatorisch verwendet werden. Der Anwender ist hierbei ausschließlich auf das Computergerät (zum Beispiel sein Laptop) beschränkt, wo das Zertifikat installiert wurde (siehe Abbildung 6). Eine formularbasierte Anmeldung kann dann entfallen, da ohnehin nur ausgewählte Computer Zugriff haben. Würde nur eine formularbasierende Anmeldung existieren, reicht die Kenntnis von Anmeldename und Kennwort für einen Zugriff aus. Zertifikatsschlüssel zur Authentifizierung wären hingegen ungleich schwerer zu fälschen oder abzufangen.

Wenn ein Außendienstmitarbeiter sich mit seinem Postfach verbinden möchte, benötigt er einen normalen Internetzugang mit einem geöffneten Port 443. Da die meisten Firmen ihren externen Beratern oder Subunternehmern den Internetzugang gestatten, dürfte es aus Sicht des Externen auch kein Problem sein, sich beispielsweise mit „seinem“ absolut virenfreien MacBook in das fremde Netz einzuloggen.

Fazit

Outlook Web Access (OWA) ist eine sinnvolle Alternative zu Outlook Anywhere, dem direkten Zugriff von Outlook auf den Exchange Server. OWA bietet sich insbesondere dann an, wenn Außendienstmitarbeiter andere Betriebssysteme als Microsoft benutzen und ein Internetbrowser verwendet werden soll. OWA wird dann ein sicheres Instrument, wenn gleichzeitig SSL und Clientzertifikate obligatorisch vorgeschrieben sind.