none
Outlook Web Access(OWA)をDMZに配置したらよいか、それとも社内LANが良いのか、ご意見お伺いします RRS feed

  • 質問

  •  

    いつもお世話になっております。

     

    Exchange2007の展開を計画しています。

    Technetの資料を何度か見ているのですが、以下の疑問が晴れずに困っています。

     

    ・ ホテルなどのインターネット・ホットスポットから、

      HTTPS経由で、OWAにアクセスしたい

     

    この場合、OWAの機能を有する「クライアントアクセス(CA)」の役割を、

    社内LAN、DMZのどちらに配置するほうが良いか、ご意見いただきたいと思ってます。

     

    DMZに配置する場合、OWAがActiveDirectory(AD)にアクセスするために、

    ファイアウォールにいくつかの抜け道を作る必要があると思います。

     

    一方、社内LANに配置する場合、OWAとADとのアクセスはファイアウォールを経由

    しなくなりますが、ホテルなど外部からのアクセスのために、NATなどを使って

    OWAにグローバルIPを持たせて、外部からのHTTPSアクセスを構成する必要が

    あると思います。

     

    自分の考えでは、後者の配置(社内LANにOWAを配置)するほうが、よいかな、と

    思いますが、こういうやり方はやめたほうが良い、などの意見があれば

    よろしくお願いします。

     

    いただいたご意見を問題整理のネタとして検討したいと思います。。

     

    2008年4月10日 7:26

回答

  • DMZには基本的にはドメインに参加するサーバーは置かない方が良いと思います。せっかくのファイヤーウォールに多くの穴を開けなければならなくなりますので。

    ちょっと古い情報ですが、これくらいポートを考慮する必要が出てきてしまいます。

    ・ファイアウォール経由の Exchange 2000 と Windows 2000 の接続
     ・http://support.microsoft.com/kb/280132/ja
    ・Exchange Server の静的ポートの割り当て
     ・http://support.microsoft.com/kb/270836/ja

    よくある構成では、DMZにはISAなどのリバースプロキシサーバーを設置し、そこからCASにアクセスしてOWAに、というパターンがあります。WAN→LANの直接NATも構成としては考えられますが、セキュリティを考えるとDMZで1クッション置くのをお勧めします。
    2008年4月10日 10:55
  • 結論からするとOWAの機能を提供するサーバーはDMZにはおかないことをお勧めします。

    弊社の構成例をご紹介します。

    マイクロソフトのベストプラクティスにもあるように、DMZ上にISA Serverを展開してOWAとしてExchangeを公開するルールを作成しました。

    ISAサーバー自体はドメインに参加せず、認証情報の転送はRADIUSプロキシを経由して社内のIASサーバーに送っています。

    ISAサーバーでは着信したHTTPSオフロード処理を行いHTTPに変換してからCASに転送することでパケットの内部を検査することが可能です。

    このように配置をすればDMZ上のサーバーにはドメインの情報がありませんので安全だと思います。

     

    ISA サーバーを使用するメリットとして以下の点が挙げられます。

    ・単純にTCP:443ポートを開放するだけでなく、HTTPパケットの中身をスキャンすることで悪意のあるリクエストをブロックできる

    ・OWAにログオンする際の認証情報をクライアントPCから確実に削除できる

    ・ファイアウォールの構成がウイザードに従えば簡単に行える

     

    そのほかにも多くのメリットがありますが、結論としてOWAを外部ユーザーからアクセスさせるためには

    HTTPまたはHTTPSでの通信をExchangeに伝える必要があります。

    電子メールでやり取りされる情報には多くの機密情報が含まれるためポート開放だけでなくパケット インスペクションも考慮することをお勧めします。

     

    また、HTTPSで使用する電子証明書は社内CAの独自署名を採用しました。

    基本的に社員が利用するので証明書が信頼できない警告がでても問題ないという判断です。

    ただし一部のWebブラウザでは信頼できない証明書を使用するWebサイトへのアクセスが出来ない可能性があるので注意が必要です。

     

    余談になりますが、Outlook Anywhereという機能を使うと普段使用しているOutlook(特に会社から割り当てられたNotePC)を起動するだけでHTTPSを経由してExchangeに接続することが出来ます。

    これも簡単にISAサーバーを使用することで実現可能です。

    本来はVPN接続を行った上でOutlookを起動するのですが、弊社では不用意な社内リソースへのアクセスを防止するためにこの機能を取り入れています。使ってみるとわかりますがとても便利な機能です。

     

    以上、何かの参考になれば幸いです。

     

     

     

    2008年4月15日 16:43
  • ご存知とは思いますが補足です。

     

    OWAの機能はCASを実行しているサーバが提供します。

    OWAの画面はCASサーバが提供しているわけですがOWAを機能させる為には

    CASサーバからADとメールボックスサーバへのアクセスが必要になります。

    したがってDMZに配置した場合はAD向けとメールボックスサーバ向けの通信に

    対してファイアーウォールの設定を行う必要があります。

     

    また、OWAが提供するWEB画面はASPXでコーディングされた物とExchange

    DLLとJava&Scriptが発生させるコードによって様々な情報が提供されます。

     

    お分かりと思いますがDMZに配置してクラックされた場合は簡単にコードを変更

    されて「情報漏えい局」になりますのでご注意下さい。

     

    社内へ配置したOWAへのアクセスは前述のようにISA経由かセキュアVPNを

    社内まで通してから直接利用する方法が良いと思います。

     

    忘れてましたCASが提供する機能に個々のユーザの空き時間情報やAutoDiscover

    等もあるのでDMZに配置した場合、社内のメールボックスサーバからそれらの

    情報への逆アクセスも発生します。ろくな事にはなりませんので下記の構成が

    無難です

     

    Edge/ISA DMZエリア  |F/W| HTS/CAS/MBS/AD/DNS 社内エリア

     

    特に社内エリアに配置した  HTS/CAS/MBS/AD/DNS は一蓮托生

    なので分割しない事をお勧めします。

    2008年4月19日 3:44

すべての返信

  • DMZには基本的にはドメインに参加するサーバーは置かない方が良いと思います。せっかくのファイヤーウォールに多くの穴を開けなければならなくなりますので。

    ちょっと古い情報ですが、これくらいポートを考慮する必要が出てきてしまいます。

    ・ファイアウォール経由の Exchange 2000 と Windows 2000 の接続
     ・http://support.microsoft.com/kb/280132/ja
    ・Exchange Server の静的ポートの割り当て
     ・http://support.microsoft.com/kb/270836/ja

    よくある構成では、DMZにはISAなどのリバースプロキシサーバーを設置し、そこからCASにアクセスしてOWAに、というパターンがあります。WAN→LANの直接NATも構成としては考えられますが、セキュリティを考えるとDMZで1クッション置くのをお勧めします。
    2008年4月10日 10:55
  • 結論からするとOWAの機能を提供するサーバーはDMZにはおかないことをお勧めします。

    弊社の構成例をご紹介します。

    マイクロソフトのベストプラクティスにもあるように、DMZ上にISA Serverを展開してOWAとしてExchangeを公開するルールを作成しました。

    ISAサーバー自体はドメインに参加せず、認証情報の転送はRADIUSプロキシを経由して社内のIASサーバーに送っています。

    ISAサーバーでは着信したHTTPSオフロード処理を行いHTTPに変換してからCASに転送することでパケットの内部を検査することが可能です。

    このように配置をすればDMZ上のサーバーにはドメインの情報がありませんので安全だと思います。

     

    ISA サーバーを使用するメリットとして以下の点が挙げられます。

    ・単純にTCP:443ポートを開放するだけでなく、HTTPパケットの中身をスキャンすることで悪意のあるリクエストをブロックできる

    ・OWAにログオンする際の認証情報をクライアントPCから確実に削除できる

    ・ファイアウォールの構成がウイザードに従えば簡単に行える

     

    そのほかにも多くのメリットがありますが、結論としてOWAを外部ユーザーからアクセスさせるためには

    HTTPまたはHTTPSでの通信をExchangeに伝える必要があります。

    電子メールでやり取りされる情報には多くの機密情報が含まれるためポート開放だけでなくパケット インスペクションも考慮することをお勧めします。

     

    また、HTTPSで使用する電子証明書は社内CAの独自署名を採用しました。

    基本的に社員が利用するので証明書が信頼できない警告がでても問題ないという判断です。

    ただし一部のWebブラウザでは信頼できない証明書を使用するWebサイトへのアクセスが出来ない可能性があるので注意が必要です。

     

    余談になりますが、Outlook Anywhereという機能を使うと普段使用しているOutlook(特に会社から割り当てられたNotePC)を起動するだけでHTTPSを経由してExchangeに接続することが出来ます。

    これも簡単にISAサーバーを使用することで実現可能です。

    本来はVPN接続を行った上でOutlookを起動するのですが、弊社では不用意な社内リソースへのアクセスを防止するためにこの機能を取り入れています。使ってみるとわかりますがとても便利な機能です。

     

    以上、何かの参考になれば幸いです。

     

     

     

    2008年4月15日 16:43
  •  

    tfunakoshi 様、 山本 晃

     

    とても参考になるご回答ありがとうございました。

     

    私にとってははじめての内容なので、事前に評価してよい結果が得られれば、

    現場へ適用といった流れで動いていきたいです。

     

    ありがとうございました。。

     

    2008年4月18日 2:56
  • ご存知とは思いますが補足です。

     

    OWAの機能はCASを実行しているサーバが提供します。

    OWAの画面はCASサーバが提供しているわけですがOWAを機能させる為には

    CASサーバからADとメールボックスサーバへのアクセスが必要になります。

    したがってDMZに配置した場合はAD向けとメールボックスサーバ向けの通信に

    対してファイアーウォールの設定を行う必要があります。

     

    また、OWAが提供するWEB画面はASPXでコーディングされた物とExchange

    DLLとJava&Scriptが発生させるコードによって様々な情報が提供されます。

     

    お分かりと思いますがDMZに配置してクラックされた場合は簡単にコードを変更

    されて「情報漏えい局」になりますのでご注意下さい。

     

    社内へ配置したOWAへのアクセスは前述のようにISA経由かセキュアVPNを

    社内まで通してから直接利用する方法が良いと思います。

     

    忘れてましたCASが提供する機能に個々のユーザの空き時間情報やAutoDiscover

    等もあるのでDMZに配置した場合、社内のメールボックスサーバからそれらの

    情報への逆アクセスも発生します。ろくな事にはなりませんので下記の構成が

    無難です

     

    Edge/ISA DMZエリア  |F/W| HTS/CAS/MBS/AD/DNS 社内エリア

     

    特に社内エリアに配置した  HTS/CAS/MBS/AD/DNS は一蓮托生

    なので分割しない事をお勧めします。

    2008年4月19日 3:44
  • こんにちは。フォーラムオペレータの栗原麻里 です

     

    回答者の皆様、丁寧なご回答ありがとうございます。

     

    Kumaぽんず さん、フォーラムのご利用ありがとうございます。
    その後いかがでしょうか?参考になる情報が得られてよかったですね!

     

    有用な情報だと思いましたので、回答者の皆様の回答へ回答済みチェックをつけさせていただきました。
    追加の質問等ありましたら、ぜひ投稿してください!

     

    回答済みチェックが付くことにより、フォーラムをご利用していただいている皆様が、有用な情報を
    見つけやすくなります。
    回答された情報が有用だと思われましたら、ぜひ回答済みボタンを押してチェックを付けて
    くださいね!

     

    Kumaぽんず さんはチェックを解除することもできますので、ご確認ください。

     

    それでは、ぜひまたご活用ください!

    2008年4月25日 6:26