Zobrazit pro: mobil | klasicky
Technologie Exchange po mnoha letech vývoje dospěla k pestré nabídce možností, které nám poslouží jako dobrý demonstrační materiál.
Můžeme zde totiž vidět příklady mnoha moderních trendů: posun k webu, snahu omezit tunelování pomocí totálního přístupu VPN či zpřístupnit data prakticky odkudkoliv.
Ověření a přístup
Komunikační systém Exchange byl a je – v podstatě odnepaměti – koncipován tak, aby uživatelé mohli přistupovat ke svým poštovním datům pomocí „bohatší“ klientské aplikace, než se pro běžnou elektronickou poštu předpokládalo. Na vývoji této platformy je zpětně zřetelné, jak se výrobce prodíral houštinami očekávání zákazníků a možnostmi konkurenčních produktů.
Zpočátku nabízela serverová strana opravdu jen něco málo více než elektronickou poštu, a použití „tlustšího“ klientu Outlook se jevilo jako prapodivně nadbytečné. Spolu se zkvalitněním a rozšířením nabídky serverových služeb se Outlook postupně osvědčoval, avšak jeho závislost na robustním přenosovém protokolu MAPI a s ním spojené autentizaci z něj činila typickou aplikaci pro vnitřní síť – ovšem v době, kdy už bylo běžné přistupovat do e-mailových schránek prostřednictvím internetových protokolů, a po síti veřejné.
Tento všeobecný trend se odrazil v paralelním vývoji dvou přístupů ke schránkám Exchange: jak postupným vylepšováním publikovaného webového rozhraní Outlook Web Access, tak nabídkou tunelování protokolu MAPI pomocí osvědčené technologie SSL. Vedle zmíněných variant samozřejmě stále stojí plné připojení VPN a jeho následné využití.
Vývoj posledních let je především ve znamení vylepšování naznačených dosavadních koncepcí. Přístup pomocí webového prohlížeče dospěl do podoby tzv. Outlook Web App, nástupce zmíněného klientu OWA, a jeho průvodním znakem je enormní úsilí zpřístupnit co možná nejvíce možností z plnohodnotného Outlooku. Dřívější varianta tunelování MAPI (nazývaná RPC over HTTP) se proměnila v Outlook Anywhere, stále však na prověřené bázi SSL.
Z pohledu ověřování přistupujících uživatelů a souvisejících technik je dosti důležitý také vývoj v oblasti mobilních zařízení. Zde určitě můžeme říci, že Microsoft úspěšně zavedl a prosadil svou technologii ActiveSync, aby zároveň umožnil dobrou kooperaci se zařízeními a službami jiného proprietárního poskytovatele mobilních služeb jménem BlackBerry.
V následujících odstavcích se zaměříme na techniky ověření přistupujícího uživatele, jež jsou dobrou ukázkou aplikační bezpečnosti vůbec ve světle současných uživatelských nároků.
Bezpečí ve vnitřní síti
Výše jsme již zmínili, že dvojice server – klient, tedy v tomto případě Exchange – Outlook, je především navržena pro přístup k rozšířeným službám nad rámec běžné e-mailové pošty. I z tohoto důvodu je aplikace Outlook schopna nejen využít klasické poštovní protokoly, ale především přistupuje protokolem MAPI, který je od nástupu adresářové služby Active Directory pevně spjat s ověřovacím protokolem Kerberos.
Tento mechanizmus je dnes univerzálním prostředkem ověření uživatelů, počítačů a aplikací – služeb na bázi Windows a Outlook po něm sahá jako po primárním prostředku. Jeho architektura a výhody jsou na delší debatu, nás však zde zajímá především jeden klíčový aspekt: tento protokol vyžaduje přítomnost klientského počítače v uzavřené vnitřní síti, protože komunikuje se službami, jež nejsou publikovány do veřejného internetu, a často také proto, že využívá jména registrovaná v části domén DNS, které taktéž nebývá radno „pouštět ven“.
Právě tato význačná okolnost spojená s Kerberem, jinak velmi silným a bezpečným prostředkem ověření uživatele, nás uvězňuje ve vnitřní síti. Zajímavé je také srovnání s jiným význačným produktem ve zhruba stejné oblasti síťových služeb, platformou Lotus Notes. Ta si na rozdíl od Exchange udržela svou „schopnost“ spravovat databázi uživatelů na „vlastní pěst“, bez externí adresářové služby.
Kromě toho důsledně využívá mechanizmus certifikátů na straně serveru a jejich důvěryhodnost ze strany klientské aplikace je důsledně prověřována. Kerberos Active Directory pak, jako „služební protokol“, nabízí další současné možnosti jako ověření klienstkým certifikátem, třeba na chytré čipové kartě.
Překlenutí problému nedostupného Kerbera z vnějšku nabízí právě výše zmíněná varianta Outlook Anywhere (dříve RPC over HTTP), jež pak využívá vlastně dvojí ověření identity. Komunikace je založena na tunelu SSL, jehož sestavení je podmíněno přinejmenším tím, že klient přijme certifikát serveru a bude jej považovat za bezpečný a důvěryhodný.
Po ustavení tunelu SSL pak probíhá vlastní „limitovaná varianta“ virtuální privátní sítě, omezená jen na komunikaci Outlooku – může proběhnout samotné ověření klasickými protokoly (Kerberos, NTLM) se zachováním požadovaného soukromí a plné nabídky vymožeností Outlooku.
Kromě plného řešení pomocí MAPI nabízí Exchange též tradiční poštovní protokoly pro přístup k datům ve schránkách, jako jsou POP3 a IMAP4, a to i ve variantách tunelovaných pomocí SSL. Ačkoliv právě druhá zmíněná možnost, zabezpečená univerzálním tunelem SSL, nabízí přiměřené zabezpečení, bývají tyto protokoly často používány spíše ve vnitřní síti, pakliže po nich správci vůbec sáhnou.
Příště se podíváme na služby Exchange zvenčí a na možnosti mobilního přístupu.
Zobrazit pro: mobil | klasicky