Microsoft Exchange Server 2016, cambios en la arquitectura

Hola de nuevo lectores del blog.

Hoy os quiero hablar de los cambios en Microsoft Exchange Server 2016 a nivel de arquitectura para realizar un despliegue con seguridad.

Con Exchange Server 2013

En la versión anterior, Exchange Server 2013, teníamos 2 roles, de tal manera, que quedaban el rol Client Access Server para dar acceso a clientes (HTTPS, POP, IMAP, SMTP, ActiveSync, EWS) donde no se almacenaba ningún dato, y Mailbox Server, donde almacenábamos las bases de datos con los buzones de nuestra organización.

[embeber alt=»Ex2013-roles» embedtype=»image» format=»fullwidth» id=»3307″]

Como es de lógica, esta estructura de roles permitía tener el CAS en la DMZ aislado y el MBX en la LAN, con los datos almacenados de manera segura.

Ahora con Exchange Server 2016

Con esta nueva versión han vuelto a cambiar los roles, manteniéndose en dos roles, pero algo cambiados.

Por un lado, tenemos el rol de Servidor de Buzones, el cual tiene las bases de datos de los buzones y además tiene la parte de Client Access, por lo que se publica los servicios de acceso (HTTPS, POP, IMAP, ActiveSync, EWS) para los usuarios tanto internamente como externamente. El otro rol es el de Transporte Perimetral, el cual se usa para la entrada de correos SMTP desde el exterior, así como funciones mejoradas de Antispam y control de Malware.

Como podéis intuir no podemos establecer el servidor de acceso externo en la DMZ, pues estaremos exponiendo nuestros buzones a posibles ataques directos.

[embeber alt=»ex2016-arquitectura» embedtype=»image» format=»fullwidth» id=»3308″]

Opciones más seguras

Para solucionar este problema, Microsoft tiene un servicio en Windows Server 2012 que se llama Active Directory Federation Server (ADFS) y otro Web Application Proxy (WAP). Estos servicios nos permitirán montar un servidor en nuestra DMZ de tal modo que el acceso de clientes lo redirigiremos desde este WAP hacia nuestro servidor de buzones, consiguiendo de este modo una mayor seguridad de acceso. Como contra, hemos de ser conscientes que esta implementación requerirá servidores adicionales y servicios, que deberemos mantener para que nuestra infraestructura no se vea afectada en la caída de alguno de ellos.

Otra opción, para protegernos de las conexiones externas contra nuestro servidor de buzones, es usar un Firewall de nueva generación, y sus respectivos módulos de seguridad, por ejemplo, IPS para protegernos de ataques externos. Esta opción dependerá mucho del dispositivo y el control que hagamos de los ataques, teniendo en cuenta que un acceso no autorizado estará en el servidor de datos de Exchange Server.

[embeber alt=»ex2016-logo» embedtype=»image» format=»fullwidth» id=»3309″]

Como podemos ver Exchange Server, en cada versión, cambia su manera de entender la plataforma de correo electrónico y a nosotros no nos queda otra que adaptarnos o subir al cloud, porque sin correo electrónico ¿qué empresa sobreviviría a estos tiempos de comunicación instantánea?

Espero que haya sido de utilidad este post y si tenéis que implementar Exchange Server ¡no dudéis en contactar con Ncora, estaremos encantados de ayudaros!

¡Saludos y hasta el próximo post!

 

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *