Artigo MVP de Segurança do Mês - Abril de 2005
Como o ISA Server 2004 Fornece Funcionalidade VPN do SSL para o Outlook Web Access e RPC sobre HTTP
Publicado em 13 de Abril de 2005
O acesso remoto para recursos hospedados na rede corporativa se tornou um requisito para organizações que procuram competir, de maneira bem sucedida, no panorama corporativo conectado à Internet dos dias de hoje. Funcionários off-site, trabalhadores em regime de home-office, executivos que viajam e representantes de vendas requerem acesso a qualquer hora, de qualquer lugar a informações hospedadas na rede corporativa. Devido a essas necessidades de informação, o Microsoft Exchange Server é um dos recursos mais críticos que as companhias mantêm em suas redes corporativas.
O desafio para profissionais de TI e de segurança é intensificar a posição competitiva de suas companhias fornecendo acesso remoto aos recursos do Exchange Server de maneira privativa, segura e confiável.
Os departamentos corporativos de TI tradicionalmente fornecem, ao VPN de nível de rede, acesso à rede corporativa. O problema com as VPNs de nível de rede (baseadas nos protocolos PPTP ou L2TP/IPSec VPN) é que elas fornecem uma conexão privada, mas não necessariamente garantem uma conexão segura. O acesso VPN de nível de rede utiliza protocolos nativos do Exchange Server Remote Procedure Call (RPC) para permitir acesso a toda a faixa de recursos da informação do Exchanger Server. As conexões VPN de nível de rede de acesso remoto tornam os clientes os nós virtuais da rede corporativa. Esses clientes VPN podem então acessar recursos em qualquer servidor na rede corporativa, usando qualquer protocolo, da mesma maneira como os hosts diretamente conectados à rede Ethernet. Como a maioria dos hosts conectados diretamente, esses clientes VPN não filtram, de maneira agressiva, aquelas conexões no gateway VPN.
Isso pode causar resultados muito desastrosos. Diferente dos dispositivos que nunca deixam a rede corporativa bem gerenciada, os computadores clientes de VPN, por definição, são dispositivos usados para acesso remoto, tendo sido conectados para redes não gerenciadas ou mal gerenciadas. Isso os expõe aos vírus, worms e spyware. Esses dispositivos infectados podem espalhar a carga útil maliciosa a qualquer outro dispositivo em redes às quais eles se conectam, incluindo a rede corporativa através de um link VPN de nível de rede.
Há diversas maneiras de se minimizar esses riscos. Um excelente método conhecido de acesso remoto é o Secure Sockets Layer (SSL) VPN. Com sua habilidade de fornecer acesso remoto a usuários em uma base por aplicação, o SSL VPN oferece a privacidade da VPN de nível de rede e adiciona um nível de segurança difícil de obter com VPNs tradicionais de nível de rede.
Diferente das VPNs de nível de rede, em que as principais diferenças entre elas são o canal de controle e metodologias de criptografia, a SSL VPNs representa uma coleção diversa de métodos de acesso remoto significativamente diferentes, compartilhando o SSL (atualmente TLS) como seu método de encriptação comum. Entre as variantes das SSL VPNs estão:
| • | Web proxy reverso para aplicações habilitadas pela Web |
| • | Web proxy reverso com gateways de aplicação para aplicações não habilitadas para a Web |
| • | Proxy de aplicação para protocolos HTTP de cliente/servidor encapsulados |
| • | Extensão da Rede |
Enquanto existem diferenças significativas nas tecnologias usadas para implementar a conexão SSL VPN, todas as SSL VPNs compartilham as seguintes vantagens de VPNs tradicionais de nível de rede:
| • | As SSL VPNs permitem que os clientes VPN se conectem através de firewalls e dispositivos NAT que não fornecem acesso de saída para conexões de modo de túnel PPTP, L2TP/IPSec ou IPSec a servidores remotos VPN. |
| • | As SSL VPNs representam uma coleção heterogênea de tecnologias de acesso remoto que permitem a você limitar o acesso do servidor e da aplicação a usuários baseados em credenciais. Isso reduz muito o risco de os usuários acessarem recursos dos quais eles não precisam na rede. |
| • | As SSL VPNs simplificam muito a experiência do usuário final. Os usuários não precisam entender as questões envolvidas com a conectividade virtual de rede. Aos usuários são apresentadas páginas claras e intuitivas, contendo links a recursos permitidos. |
| • | As SSL VPNs podem pré-autenticar os usuários antes de encaminhar conexões a um serviço de back-end. Isso previne potencialmente as conexões maliciosas não-autenticadas de alcançar o servidor de back-end. |
| • | Os gateways da SSL VPN podem desempenhar uma inspeção da camada de aplicação das comunicações HTTP de chegada e saída para ajudar na prevenção de ataques contra o gateway SSL VPN e Web services hospedados por esse gateway da SSL VPN. |
Você não precisa adquirir um mecanismo SSL VPN dedicado se a sua empresa requer acesso do tipo SSL VPN para os recursos do Exchange Server. A Microsoft incluiu a funcionalidade SSL VPN para acesso remoto aos dados hospedados no Microsoft Exchange Server através de duas principais tecnologias:
| • | Suporte da Web integrado para Outlook Web Access, Outlook Mobile Access e Exchange ActiveSync |
| • | Encapsulamento do protocolo HTTP de comunicações nativas do Exchange Server RPC usando o Outlook 2003/Exchange Server 2003 RPC sobre o protocolo http. |
O ISA Server 2004 fornece suporte reverso ao Web proxy e inspeção da camada de aplicação HTTP tanto para as comunicações dos serviços do Exchange Server como para os protocolos do RPC sobre HTTP.
Conectividade SSL VPN do Outlook Web Access
Com o Outlook Web Access (OWA), os usuários podem acessar as informações hospedadas no Exchange Server através de um navegador. A versão Exchange Server 2003 do OWA fornece uma rica experiência de usuário que se assemelha à interface vista no Microsoft Office Outlook 2003. O OWA no Exchange Server 2003 fornece acesso à quase todos os recursos e dados que seriam acessíveis usando o cliente Outlook 2003.
O ISA Server 2004 pode ser combinado com o OWA a fim de fornecer a segurança aprimorada encontrada nas soluções completas da SSL VPN:
| • | Acesso Remoto sem cliente aos recursos do Exchange Server. |
| • | Habilidade de realizar túneis através de firewalls que não permitem acesso de saída para firewalls tradicionais de nível de rede. |
| • | Limitação rigorosa sobre os quais recursos corporativos podem ser acessados através da SSL VPN. O OWA permite acesso somente aos serviços do Exchange Server. |
| • | A inspeção da camada de aplicação dos comandos e dados HTTP criptografados que se movem pelo firewall do ISA Server 2004 para o Exchange Server. O SSL para o recurso de ligação do SSL do ISA Server 2004 permite a inspeção da camada de aplicação dos dados que seriam escondidos dentro do túnel SSL criptografado. |
| • | O ISA Server 2004 fornece uma página atrativa e intuitiva que deixa claro ao usuário que ele está acessando o site do OWA. |
| • | O ISA Server 2004 é capaz de pré-autenticar os usuários antes de encaminhar a conexão ao site do OWA. |
| • | O recurso de autenticação baseada em formulários, incluído no ISA Server 2004, pode reforçar as paradas de conexão, cancelar o logon do usuário assim que ele sair do site do OWA e prevenir o download de anexos. |
Todos esses recursos estão ligados ao site do OWA através de um firewall do ISA Server 2004 virtualmente indistinguíveis do que seria com um dispositivo SSL VPN dedicado.
Outlook 2003 RPC sobre HTTP para o Microsoft Exchange Server 2003
O Outlook 2003 tem a capacidade de encapsular os protocolos nativos do Exchange Server RPC que o cliente completo do Outlook MAPI geralmente utiliza para se comunicar com o Exchange Server. As comunicações nativas RPC são encapsuladas em um cabeçalho HTTP criptografado (SSL) e então encaminhadas para um RPC sobre o proxy HTTP na rede corporativa. O RPC sobre o proxy HTTP remove o cabeçalho HTTP e encaminha as comunicações do protocolo nativo RPC ao Exchange Server. Depois que o Exchange Server envia respostas ao RPC sobre o proxy HTTP, o proxy re-encapsula as comunicações RPC em um cabeçalho HTTP (SSL) criptografado, retornando a resposta ao cliente do Outlook 2003.
Embora a solução do RPC sobre o proxy HTTP não satisfaça o aspecto ausente de cliente da conectividade SSL VPN, ela fornece muitos outros recursos vistos nas conexões SSL VPN dedicadas:
| • | O RPC sobre HTTP pode projetar um túnel através dos firewalls que não suportam conexões tradicionais VPN de nível de rede. |
| • | Os usuários do Outlook 2003 têm acesso somente aos serviços do Exchange Server. |
| • | O ISA Server 2004 pode realizar um proxy reverso para as comunicações do RPC sobre HTTP. |
| • | O ISA Server 2004 pode realizar a inspeção da camada de aplicação das comunicações do HTTP entre o cliente Outlook 2003 e o RPC sobre o proxy HTTP. |
| • | A pré-autenticação da conexão do RPC sobre o proxy HTTP pode acontecer no firewall do ISA Server 2004. Isso pode prevenir possíveis ataques do RPC sobre HTTP contra usuários não-autenticados. |
Assim como o acesso remoto ao site do OWA, a combinação do Outlook 2003, Exchange Server 2003 e ISA Server 2004 fornece a conectividade do SSL VPN sem exigir servidores SSL VPN dedicados.
Conclusão
As conexões tradicionais VPN de nível de rede podem fornecer aos clientes de acesso remoto uma conexão privada, mas não necessariamente segura, para a rede corporativa. As tecnologias SSL VPN vêm se tornando conhecidas, pois fornecem conexões privadas para clientes de acesso remoto usando comunicações SSL criptografadas, permitindo acesso somente a recursos realmente necessários aos usuários. As conexões clientes do Outlook Web Access e do Outlook 2003 RPC sobre HTTP para o Microsoft Exchange Server 2003 fornecem muitos recursos de privacidade e segurança vistos nas implementações do dispositivo SSL VPN dedicado.
Veja outro Artigo MVP de Segurança das Colunas Mensais (em inglês).
