Защита мобильных устройств с помощью служб Exchange 2003 ActiveSync и OMA

Все чаще у пользователей возникает необходимость просматривать электронную почту вдали от своих рабочих мест. Далеко в прошлом остались дни, когда пользователи за терминалами принимали почтовые сообщения с мэйнфреймов. Мощность современных мобильных карманных устройств, в частности моделей серии BlackBerry фирмы Research In Motion (RIM), G100 компании Good Technology, различных продуктов на базе Windows Mobile и телефонов Smartphone с операционной системой Palm OS компании PalmSource, достаточна, чтобы открывать и редактировать присоединенные файлы, а также обрабатывать сложные сообщения HTML. Растет число владельцев сотовых телефонов, совместимых с протоколом WAP (Wireless Application Protocol — протокол беспроводного доступа). Благодаря WAP даже владельцы миниатюрных и сравнительно малоинтеллектуальных устройств получают доступ к сложным Web-приложениям, хотя и с потерями в скорости и функциональности.

Благодаря разнообразным продуктам и службам для устройств с ограниченной функциональностью Exchange Server 2003 должен удовлетворить растущий спрос на мобильный доступ к Exchange. Два новейших компонента этого комплекта — Exchange ActiveSync (EAS) и Outlook Mobile Access (OMA). Информация о других компонентах мобильного доступа в Exchange приведена во врезке «Поддержка мобильных информационных систем в Exchange».

EAS и OMA

Служба синхронизации данных Exchange ActiveSync обеспечивает беспроводную синхронизацию устройств, работающих с программой Pocket Outlook, папкой «Входящие» почтового ящика, календарем и списком контактов. Она очень напоминает Microsoft Office Outlook 2003, использующий вызов удаленных процедур (Remote Procedure Call, RPC) через протокол HTTP Secure (HTTPS). При активной функции Always Up-To-Date (AUTD, отмечена как Up-to-date Notifications на экране 1) устройство автоматически синхронизирует папку «Входящие» локального почтового ящика с ящиком на сервере, и пользователь может увидеть новые почтовые сообщения в своем устройстве. Если существует беспроводное соединение с сервером Exchange, то все функции Pocket Outlook доступны через Exchange ActiveSync. Кроме того, владельцы Pocket Outlook с активной службой Exchange ActiveSync могут читать кэшированные почтовые сообщения локально в автономном режиме.

Экран 1. Управление доступом к OMA и ActiveSync

Во многих сотовых телефонах для связи с WAP-совместимыми приложениями применяется WAP 2.x. Учитывая широкое распространение WAP 2.x-совместимых устройств, компания Microsoft дополнила Exchange 2003 службой OMA. Для работы OMA на сервере Exchange необходимо наличие ASP.NET. С помощью OMA можно установить соединение в реальном времени с Exchange с беспроводного Internet-устройства, например сотового телефона. Совместимые устройства могут обращаться к сообщениям в папках Exchange Inbox, Calendar и Tasks. В отличие от IMAP и Exchange ActiveSync, OMA не предоставляет автономный доступ. В целом служба OMA обеспечивает базовый интерфейс с данными Exchange и предназначена для снижения требований к пропускной способности канала связи, так как плата с большинства пользователей WAP взимается в зависимости от объема переданных данных.

Первый вопрос, который многие администраторы задают об OMA и Exchange ActiveSync, касается их надежности. Обеспечить надежную защиту настольного компьютера — трудная задача, а проблема защиты множества автономных мобильных устройств кажется и вовсе неразрешимой. Какие меры приняты в OMA и Exchange ActiveSync, чтобы аутентифицировать пользователя, защитить устройства и трафик в каналах связи и управлять доступом?

Безопасность соединений

Для сквозной защиты сеансов HTTP в OMA обычно используется механизм Secure Sockets Layer (SSL). Для устройств WAP провайдер беспроводной связи должен обеспечить использование протокола WTLS (Wireless Transport Layer Security — беспроводной протокол защиты на транспортном уровне), построенного на базе стандартного Internet-протокола Transport Layer Security (TLS). WTLS используется для беспроводных соединений между устройством и шлюзом WAP; HTTPS защищает Internet-трафик между шлюзом WAP и сервером OMA. Ни пользователь, ни администратор Exchange не могут контролировать применение WTLS. Связь между шлюзом и сервером по протоколу HTTPS возможна, если провайдер шлюза WAP доверяет сертификату сервера. Если на сервере используется внутренний сертификат, то, скорее всего, администратору придется получить сертификат доверенной организации, такой как VeriSign или Thawte.

Организация мер безопасности Exchange ActiveSync не слишком сложна. Exchange ActiveSync использует HTTPS для связи с сервером Exchange, поэтому необходимо открыть порт 443 на внешнем (front-end) сервере. Кроме того, следует продумать оптимальный способ передачи локально генерируемых или самостоятельно подписанных сертификатов клиентским устройствам. В обоих случаях нельзя изменить порты, используемые OMA и Exchange ActiveSync по умолчанию, применение шифрования не зависит от администратора — оно применяется всегда. Microsoft выполняет свое обещание предоставить продукт, «защищенный по умолчанию»!

Аутентификация

Администратор Exchange 2003 может управлять процессом аутентификации клиентов на сервере. OMA и Exchange интегрированы с Exchange ActiveSync, поэтому способы контроля и управления здесь те же, что и для IMAP, POP и Outlook Web Access (OWA). Клиенты Exchange ActiveSync устанавливают связь с виртуальным каталогом Exchange, так же как OWA и другие клиенты технологии WWW Distributed Authoring and Versioning (WebDAV).

Если активизирована аутентификация на базе форм (forms-based authentication, FBA) или если для связи с виртуальным каталогом требуется SSL, то OMA и Exchange ActiveSync могут прекратить работу, сообщив об ошибке HTTP 500. Точнее, если активизировать FBA или SSL, то откажет Exchange ActiveSync; при активизации SSL отказывает OWA.

Актуальность данной проблемы в сети зависит от конфигурации SSL. Если SSL защищает соединение внешнего сервера с Internet, то можно отключить SSL в виртуальном каталоге внутреннего (back-end) сервера Exchange, и OMA и Exchange ActiveSync будут успешно функционировать. Самый важный участок канала связи — между клиентом и внешним сервером. Однако если требуется использовать SSL и на внутреннем сервере, то для корректной работы Exchange ActiveSync и OMA придется воспользоваться обходным путем. Точный выбор операций зависит от того, что хочет сделать администратор.

  • Если требуется только OMA и нужно использовать FBA, но не SSL, никаких действий предпринимать не следует.
  • Чтобы OMA работал с активным протоколом SSL в виртуальном каталоге Exchange, следует создать альтернативный виртуальный каталог с помощью Exchange System Manager (ESM) или оснастки IIS Manager консоли управления Microsoft Management Console (MMC).
  • Если нужно использовать Exchange ActiveSync и активизировать SSL или FBA в виртуальном каталоге Exchange, требуется создать виртуальный каталог с помощью оснастки IIS Manager. При создании виртуальных серверов из ESM флаг use FBA копируется с существующего сервера. Затем можно направить OMA на альтернативный виртуальный каталог. В статье Microsoft «Cannot Access Exchange Server 2003 by Using Outlook Mobile Access When the Exchange Virtual Directory Requires SSL or Uses Forms-Based Authentication» (http://support.microsoft.com/?kbid=817379) рассказано, как это сделать.

Если требуется создать новый виртуальный каталог, то необходимо настроить Exchange ActiveSync и OMA на использование нового каталога по умолчанию. Для этого нужно записать имя нового виртуального каталога в раздел реестра HKEY_LOCAL_MACHINE SYSTEM CurrentControlSetServicesMasSyncParameters ExchangeVDir (тип данных REG_SZ). Необходимо также установить ограничение для IP-адреса в Microsoft IIS, чтобы запретить соединения со стороны внешних компьютеров. Следует разрешить соединения только из 127.0.0.1.

Управление доступом

Не всем пользователям нужен доступ к OMA или Exchange ActiveSync, и специалисты Microsoft предвидели эту ситуацию. Exchange ActiveSync и OMA устанавливаются по умолчанию, но OMA отключена для всех пользователей до тех пор, пока администратор не активизирует службу в диалоговом окне Mobile Services Properties. Эти параметры применяются на каждом сервере; в большинстве случаев оптимальный подход — активизировать Exchange ActiveSync и OMA только на внешних серверах и только если внешние серверы обеспечивают соответствующую службу.

Когда серверы будут приведены в порядок, можно разрешить или запретить доступ к OMA и Exchange ActiveSync индивидуальным пользователям с помощью оснастки Active Directory Users and Computers консоли MMC. Необходимо открыть диалоговое окно Properties учетной записи пользователя и щелкнуть на вкладке Exchange Features (экран 1). На этой вкладке показан статус компонентов Outlook Mobile Access, User Initiated Synchronization (Exchange ActiveSync) и Up-to-date Notifications (AUTD). Выбирая соответствующие компоненты и щелкая на Enable или Disable, можно определить, какие из них будут доступны пользователям. По умолчанию пользователям предоставляется доступ OMA и Exchange ActiveSync, хотя служба OMA поначалу блокирована.

Однако выбирать компоненты по одному — занятие утомительное. Чтобы активизировать или блокировать службы для групп пользователей, можно составить сценарий для записи значения в атрибут msExchOmaAdminWirelessEnable свойств каждой учетной записи пользователя в Active Directory (AD). Значение представляет собой битовую маску; разряды 1, 2 и 3 управляют пересылкой OMA, просмотром OMA и синхронизацией Exchange ActiveSync соответственно.

Безопасность устройств

До сих пор я не упоминал о такой весьма важной задаче, как защита самих устройств. Чем миниатюрнее и дороже модель, тем выше вероятность, что она может быть потеряна, украдена или взломана. Каждый год определенный процент устройств теряется по вине пользователей, поэтому следует принять меры, чтобы свести неприятные последствия потерь к минимуму.

Например, пользователям следует напомнить о необходимости применения функции блокирования устройства. Большинство телефонов и PDA можно настроить на запрос PIN при включении устройства. Кроме того, во многих устройствах можно ввести другой PIN при разблокировании устройства после заранее заданного периода бездействия. В устройствах Windows Mobile 2003 можно назначить алфавитно-цифровой пароль. Независимые поставщики предлагают и другие функции безопасности, в частности устройства считывания отпечатков пальцев.

Кроме того, некоторые устройства (например, Good G100 и различные модели BlackBerry) можно отключать дистанционно. Администратор должен знать, какие удаленные устройства можно отключить и как быстро сделать это в случае потери или кражи. Вероятно, оптимальный уровень предосторожности будет найден, если убедить пользователей относиться к PDA и телефонам как к корпоративным кредитным картам и бережно хранить их.

Если пользователь теряет устройство, необходимо немедленно принять следующие меры.

  • Изменить пароли учетной записи пользователя. Это очень важно, так как устройство со службой Exchange ActiveSync располагает паролем пользователя в AD и взломщик может, по крайней мере, выступить в роли пользователя.
  • Если потерян мобильный телефон, следует попросить провайдера сотовой связи отключить его. В результате взломщику будет труднее скрыто воспользоваться устройством для нападения или применить его как средство сетевого доступа для атаки против третьего лица. Вставив другой SIM-модуль в телефон GSM, взломщик может использовать телефон (с другим номером) для нападения на сеть
  • Если пользователь, потерявший телефон, имел доступ к конфиденциальным сведениям, следует выяснить, данные каких именно типов могли храниться в устройстве. Конфиденциальные данные в устройстве могут попасть в руки посторонних лиц, поэтому следует привлечь соответствующих сотрудников компании (специалистов по связям с общественностью, юристов) к составлению плана действий.

Преимущества мобильной связи

Exchange 2003 обеспечивает два способа получения электронной почты мобильными пользователями. Однако вместе с новыми возможностями возникают и новые опасности, которых можно избежать, если грамотно управлять доступом, аутентифицировать пользователей и защитить каналы связи.


Поль Робишо (getting-started@robichaux.net) — старший системный архитектор компании EntireNet, имеет сертификаты MCSE и MCT. Поддерживает Web-сайт www.exchangefaq.org


Поддержка мобильных информационных систем в Exchange

В состав Microsoft Exchange Server 2003 входят различные продукты и службы для мобильных информационных систем. Они отлично согласуются с иерархией клиентов с разнообразными функциональными возможностями.

  • Microsoft Outlook — самая многофункциональная, но и самая требовательная к ресурсам программа. Кроме того, это наименее переносимый из мобильных продуктов Exchange, как в отношении машин, так и с точки зрения операционной системы. Outlook работает только с Windows.
  • Exchange ActiveSync — служба синхронизации электронной почты, календаря и контактов с устройствами Pocket PC и Windows Powered Smartphone.
  • Outlook Web Access (OWA) обеспечивает функциональность, близкую к Outlook; но обращаться к службе необходимо через Microsoft Internet Explorer (IE) или другой браузер. Для OWA необходим экран с довольно высоким разрешением, поэтому для большинства мобильных устройств она непригодна. Некоторые портативные устройства успешно воспроизводят страницы OWA, но они плохо выглядят при разрешении ниже рекомендуемого 800x600. Самый существенный недостаток OWA для большинства пользователей — невозможность доступа при отключенной сети.
  • Знакомые службы POP и IMAP обеспечивают доступ к сообщениям почти с любых устройств, способных отображать текст и посылать пакеты TCP/IP. Большинство современных устройств PDA/телефон (например, Sony Ericsson P800, Kyocera 7135 и Samsung i600) располагают одной или обеими службами. Однако по сравнению с полной версией Outlook, ни один из этих протоколов не отличается мощными функциями. В частности, в POP отсутствует понятие папок, а большинство клиентов IMAP не поддерживают набор папок Outlook.
  • Outlook Mobile Access (OMA) — функция для просмотра данных, с помощью которой совместимые устройства обращаются к сообщениям в ящике Exchange Inbox, папкам Calendar и Tasks.