Comments 24
Советы очевидные и много раз озвученные, но спасибо за хорошую подачу и не далеко лишнее напоминание!
Жду продолжения про Exchange hybrid )
Если релизовать пункты 1, 2, 3, 4, то компания остается без доступа к почте на внешке, что фактически является бредом, как таковым.
Второй пункт: аутентификация по сертификатам не является какой-то убер защитой и зачастую является еще большим дном. Там, где я видел реализацию сертов, пароли на токены и сертификаты были уровня "говнобомжа123" и все одинаковые еще зачастую. Это раз.
Два: ActiveSync умеет только в ИЛИ-ИЛИ: или пароли, или certificate-based. Не завидую тем, кто видел инфру с certificate-based и потом решил однажды, что ему надо назад. Ах да, это я, который столкнулся с этой проблемой. Нет, можно пойти методом колхоза: сделать еще один бэкэнд. Но для этого нужен еще один хостнейм и еще один IP. И опять же: сильная модификация Exchange сервера, которая добавит лучей поноса от того, кто однажды накатит новую CU и потеряет подобные все изменения.
Впрочем, чем больше изменений в IIS и конфигах, тем больше лучей поноса будет при обновлении CU. Ведь никто, как обычно, ничего не задокументировал, что наделал за 5-10 лет на Exchange сервере, да?
Три: Certificate-Based auth ломает встроенные пробы Exchange по мониторингу ActiveSync. Добро пожаловать в мир ошибок по ActiveSync-у в ивентлоге, HealthReport статусе и ServerHealth статусе.
Четыре: Токены (Smart card is required for interactive logon) ломает еще кучу всякого. Например, многие SSO интеграции не сделать, если у юзера зафорсена авторизация через токен. И еще куча нюансов вылезает, что в большой инфре приводит к инфракту жопы: "сколько мне теперь всего нужно сделать и сколько потратить времени, чтобы избавиться от этого бредового решения: токены и сертификаты с паролем жопа123 жи бизапасна"..
Третий пункт, как и первый: Если в компании более 300-500 человек, не реализуемо практически от слова совсем. Бизнес пошлет далеко и надолго с такими желаниями. В большинстве компаний никому не интересно, что кого-то там взломают сегодня или завтра. "Ну взломают? Ну утащат весь адресбук? Ну фишинг разошлют внутри компании? Ничего же не случится. А вот я не смогу письмо важное после работы увидеть с телефона". Это должна быть идеальная компания в сферическом вакууме, построенная на ИТ с нормальными людьми в хай-менеджменте, чтобы такие хотелки работали.
И да. Почему-то все забыли, что /ecp открыт для всего мира в дефольных настройках и стоит хотя бы накатить модули IP whitelist-а на IIS.
И еще. Не заворачивать Exchange через WAF в 2к24 - считаю глупостью вселенского маштаба. Как минимум проблему балансинга DAG-а никто не отменял и ДНС балансер вообще не то, на что можно расчитывать.
Всегда есть тот же Sophos UTM, нынче XG - бесплатный для "home use only". Настроить и потестить хватить. Или если уж очень хочется: выбрать любой другой балансер под DAG.
Ну и в дополнение. Всё еще не понимаю, почему почтовые клиенты используют древний ActiveSync вместо EWS.
В 2023 году я волевым решением оставил сотрудников компании без почты извне. Совсем всех. И ТОПов тоже. Это около 1000 сотрудников. И ничего, процессы были перестроены буквально за 3 недели. Если риски КБ велики, то нужно действовать.
Процессы перестраиваются на личную почту на яндексе и прочих, админ то конечно теперь может спать спокойно, но тогда зачем вообще свой почтовый сервер?
Поверьте, не во всех компаниях админ занимается и кибербезопасностью и почтой и антивирусы устанавливает. Если до Генерального донести недопустимые события, то он и за запрет использования личной почты в рабочих процессах и много чего еще.
Но можно как на подводной лодке, появилась дырка - латай, потом беги к другой. Но это немного не к тегу "Информационная безопасность".
Большинству генеральных плевать на недопустимые события. Как и исполнительным директорам. Как и ИТ лидам. Все работают, как последний день. Получают ЗП, а дальше что будет - никого не колышет. И таких компаний больше, чем тех, где вам повезло это реализовать.
Ну либо вторая сторона ада: огромные корпорации, вроде банков, на 10-50к людей. Где список ченджей исчисляется очередью в тысячу, а список апеляций еще в 500. В итоге: "приходите через полгода"
Я, например, не имею не малейшего желания биться о стену, когда это еще и не моя работа: не хотите делать, как я говорю? - ок. Вот примерные риски, о которых я прокричал на каждом углу и сохранил их в папочку. На выходных и после работы не звоните, ваши проблемы. В иных случаях: нанимайте ит лида, СТО, охапку секьюритистов и прочих. Мне, как архитектору инфры - глубоко и далеко: хотели сэкономить - поздравляю, ваши проблемы теперь, я не собираюсь быть затычкой в каждой проблеме фирмы, которая происходит не по моей вине.
Пара дополнений:
Сохранение конфигурации большинства сервисов при обновлениях появилось полтора года назад в CU13.
Для ограничения доступа к ECP есть Client Access Rules.
Сам ещё не проверял, но в Office 2024 должна появиться аутентификация через ADFS для MAPI.
Ну и в целом лучше один раз пройти EXRAP, чем десять аудитов от ИБшников.
Насколько хорошо работает это в 2019ом? Стандартные изменения под Apple девайсы в активСинке, изменения под сертификаты и прочее как успешно сохраняется при накатывании нового CU?
Это есть только в 2019 Эксчендже. В 2016, если мне не изменяет память, такого добра нет и не будет. Поэтому только доп. модуль IIS
У меня почти нет модификаций, но конфигурация OWA сохраняется при обновлениях.
Как вариант на Exchange 2016 ещё можно вынести административную ECP на отдельный сайт и порт в IIS, скопировав всё содержимое исходного каталога (и копируя потом файлы руками после установки CU) или вынести администрирование на отдельный небольшой сервер (на отдельном сайте местами кривовато работает), а потом запретить интерфейс администрирования на основном ECP совсем на всех доступных публично серверах при помощи Set-ECPVirtualDirectory -Identity "<server_name>\ecp (default web site)" -AdminEnabled $False
Если релизовать пункты 1, 2, 3, 4, то компания остается без доступа к почте на внешке, что фактически является бредом, как таковым.
Это не бред, а нормальная практика.
Если у вас только наземный Exchange - VPN на разрешённых устройствах.
Если гибрид - Outlook Services + MAM / MDM прекрасно справляются с задачей. Публикация сервисов Exchange on-prem не на весь Интернет, а только на скоп адресов M365 работает и работает уже не первый год.
Использование почты на яндексах / гуглах в корп целях пресекается 1) административно (политика) 2) технически (DLP + SIEM)
что /ecp открыт для всего мира в дефольных настройках
Нормально настройте internal / external Virtual Directory URL + балансеры/firewall перед CAS и будет всё хорошо.
нормальная практика
Нормальная практика - Для кого? Где? В какой сфере? При каком кол-ве работников в компании? Сколько процентов энтерпрайза закрывают почтовую коммуникацию снаружи? 1? 2? 0.0001?
Нормально настройте
Нормально настроить можно и огромный ДАГ кластер на петабайт ящиков с лаггед репликацией с Л2 линком выделенным между ними в разных локациях. Вот только ключевое слово здесь: "дефолтно". Я уже промолчу, что не все Firewall-ы умеют в WAF. Пальто (ПалоАльто), например, успешно НЕ умеет.
Нормальная практика - Для кого? Где? В какой сфере?
Нефтедобыча, как пример. Если есть грамотная ИБ , как выделенная независимая служба, то это скорее правило, чем исключение, закрывать прямую публикацию CAS сервисов в Интернет.
Нефтедобыча и подобные стратегические объекты будут исключением из всех правил. 2-3 месяца (вместо пары недель или месяца) будешь утвержать любую правку конфига в фаерволе и доказывать, зачем оно нужно, перед этим расписав риски и последствия. 200 раз еще пожалеешь, что выдвинул инициативу.
В таком случае, соглашусь, будет работать. Такое же будет на каком-нибудь автоматизированном завод по фарме: будет 5 митов на тему измененея 1 строки конфига, полное описание последствий, описание всего и вся на внутренний вики "что делать, если упало или сломалось" и подобное. То есть любое мелкое изменение занимает месяца 2-3, кучу митов с разными людьми и подобное, т.к. любой чендж может положить автоматику завода и вылиться в большую копеечку.
В обычной же компании среднего-большого размера - не будет работать. Выделенный секьюритист там может и будет, но будет иметь такую занятость, что врагу не пожелаешь. А в большинстве случаев - его просто не будет, как многие компании, в которых работал я и мои коллеги на моей локации.
Либо ты сам будешь имееть работу "станка" без права на "думать", как во всяких KPMG, Censora (AmersourceBergen) и других подобных им.
Даже с учетом выделенных секьюритистов в компаниях, я, даже будучи из другого георегиона (не CIS), наслышан о приколах с микротиками и не только, в тех же РЖД и других ру-компаниях, которые вроде стратегические.
В обычной же компании среднего-большого размера - не будет работать.
Отлично работает. Как интегратор уже несколько раз предлагал такое решение и успешно его продавал и внедрял, описывая риски от отказа. )
Что голый Exchange, что гибрид с MAM.
Все зависит от хай менеджмента и желания долбиться в стену.
В этой или другой теме писал: видел минимум в 4х компаниях отношение к описанным рискам и проблемам по многим проблемам, которые могут возникнуть, если их не фиксить, где после мелкого аудита СТО и/или директора говорили: "да нам похеру, у нас и так всё работает, мы не видим проблемы, лет через Н может быть решим, сейчас не горит". :) В таких случаях предпочитаю успешно убежать, как доктор Зойдберг в закат и попросить не звонить :)
Это еще из крупных рисков. Хватает кучу мелких, когда у клиентов MSSQL, РДП и прочее открыто жопой в мир, им брутфорсом вешают сервисы, а они в носу ковыряют и не хотят ничего делать, т.к. это дополнительные деньги. Рабоатет? Работает. Худо бедно :) Так что, зачастую, это даже не проблема админа/архитектора/интегратора
У меня сейчас вообще Эксченджи висят жопой в мир с IMAP и SMTP клиентскими в свободном доступе. Никто не телится на риски, никому не интересно, что очередного юзера сбрутфорсили в очередном месяце и разослали нигерийского спама с адресов компании. Что лог ПалоАльты полон попыток перебора метасплоитами и брутфорс исчисляется тысячами попыток в час. О рисках говорилось много раз (: От сетевиков тоже помощи, как с козла молока в плане настройки ПА в сторону секьюрности, чтобы лимитировать переборы паролей банальные. От компании тоже толку 0, чтобы закрыть IMAP и SMTP на вайтлисты, проведя аудит учеток и адресов, с которых нужны IMAP/SMTP, а остальное (MAPI, OWA, ActiveSync и т.п.) хотя бы геолокацией ограничить по странам. (: Так и живем.
З.Ы. Попкорн всегда держу при себе
У меня сейчас вообще Эксченджи висят жопой в мир с IMAP и SMTP клиентскими в свободном доступе.
Могу только посочувствовать. Это грустно.
Особенно RDP - это, считай, компрометация домена гарантирована. Я один раз недавно лабу по недосмотру оставил с RDP наружу на кастомном порту. Продержалась не ломаная сутки )
Откуда потребность в клиентском доступе через IMAP/SMTP?
MAPI или EWS не умеет только Linux (экспериментальная поддержка в Thunderbird не работает), но там мизерная доля пользователей и большинству хватает OWA.
Очень умные люди понаделали интеграций в виде AdHoc решений: Jira, ServiceDesk, всякие банкоматы, мониторинги на коленке и прочее-прочее.
Часть бранч офисов возможно решила еще: "а зачем нам покупать офис пакет, у нас же есть Thunderbird бесплатный".
Фактически: юзеров выкинуть надо. Пересадить или на офис пакет или на OWA (работа L1-L2, которая тянется уже 4 месяца). Для остальных жеский вайтлист рул по IP в фаерволе. Все остальные: в денай. Учеткам: всем остальным отключить в Exchange через скрипт и группы ненужные протоколы, включая новых юзеров.
Вывод: очень плохо, когда ты не own-ишь всю ИТ инфру, а поддерживаешь свою внутреннюю группу фирм на уровне "клиента". Тогда начинается нытье "Это же клиент, он прав. Сделайте, как он хочет. И до обеда"
Очень умные люди понаделали интеграций в виде AdHoc решений: Jira, ServiceDesk, всякие банкоматы, мониторинги на коленке и прочее-прочее.
Это всё работает в доверенной сети, как и филиалы.
Для этого нужно перестать самовольно распихивать серваки опять же методом "AdHoc Just Works" по всяким гуглоклаудам, азурам, AWS-ам и под столами в рандомных местах. И начать делать это через ИТ отдел с определенной структурой и документацией, а не "мне захотелось какать кверху жопой, я решил, что так круто, т.к. сейчас все какают кверху жопой - это модно"
А также все филиалы завязать нормально на Site-to-Site, а не "где как". Для этого есть сетевики, но большинство же сетевиков обычно уровня: "Порты? А что порты? Тебе 24 или 48?"
Фактически, это охапка сконфиганных микротиков для бранчей, две недели работы, заказанный курьер во все офисы и plug-n-play. Всё. Но до этого еще нужно дойти фирме. Уровнем, умом, желанием, скиллами.
Отличная статья, большое спасибо! Как раз нужно был хоть какое-то систематизированное руководство к действию. Потому что да, бОльшая часть этого и так где-то упомянута, но собирать это все по всему майкрософту и интернету очень утомительно.
У меня Exchange обновлен и огорожен со всех сторон postfix и nginx с fail2ban, но ваши рекомендации считаю очень полезными.
Почту на прокачку: повышаем защиту MS Exchange