- PR -

ISA2004のリバースプロキシを利用したExchange2003のOWA

1
投稿者投稿内容
ロビンマスク
ベテラン
会議室デビュー日: 2006/08/02
投稿数: 53
投稿日時: 2007-01-24 13:59
お世話になっております。
現在、ISA2004を利用し外部から内部ExchangeサーバのOWAへのアクセスを許可する構成を考えております。
ネットワークの構成として、ファイアウォールがありWAN・DMZ・LANに分かれており、DMZにISA2004、LANにExchange2003があります。
セキュリティを考えて、外部からのアクセスの際の認証方法を最も推奨されてものにしたいと考えております。最も推奨されている認証方法とは何になりますでしょうか?
またOWAを公開する際、DMZのサーバが認証に使用するため個人情報を持たせることになるのでしょうか?持つとなるとセキュリティ的に不安があります。

長々となりましたが、ご存知の方、また詳しく書かれたサイトご存知の方いらっしゃいましたらお願い致します。
kaz
ぬし
会議室デビュー日: 2003/11/06
投稿数: 5403
投稿日時: 2007-01-24 14:42
こんにちわ.
引用:

ロビンマスクさんの書き込み (2007-01-24 13:59) より:

セキュリティを考えて、外部からのアクセスの際の認証方法を最も推奨されてものにしたいと考えております。最も推奨されている認証方法とは何になりますでしょうか?

security は認証方法だけで考えるものではありません.
ちなみに,ISA での「認証方法」は世間一般で
「普通」と見なされるものではないと思いますよ.
※例えば Active Directory と連携するとか.
引用:

またOWAを公開する際、DMZのサーバが認証に使用するため個人情報を持たせることになるのでしょうか?持つとなるとセキュリティ的に不安があります。

前述通り,Active Directory と連携させるなどの方法はあります.
が,その Server 単体での security は当然考慮のうちでしょうし,
そこが陥落すれば,個人情報を何らかの形で入手できる手段は得られます.
外か内かはそれほど重要ではないように思われます.

security は利便性と相反することが多いので,
「どの程度なら容認できるか?」が重要かと.

以上,ご参考までに.
ロビンマスク
ベテラン
会議室デビュー日: 2006/08/02
投稿数: 53
投稿日時: 2007-01-29 10:43
kaz 様
ご返答ありがとうございました。

ご意見を参考に、今後の対応を考えいきたいと思います。
ありがとうございました。
チャブーン
大ベテラン
会議室デビュー日: 2006/11/25
投稿数: 149
投稿日時: 2007-01-31 04:02
チャブーンです。

とりあえず MS がらみのドキュメントが必要ということであれば、こういう資料はありますね。

http://www.microsoft.com/japan/technet/prodtechnol/isa/2004/plan/owa.mspx

もっとわかりやすい概念図としては、こういうものもあるようです。

http://www.atmarkit.co.jp/fsecurity/rensai/exchange07/exchange04.html

うえの図式では、ISA はドメインコントローラに認証をおこなう前提となり、単純に運用するにはメンバサーバとして稼働させる必要があります。ISA をドメインメンバにした場合、要塞ホストとしての観点から、必ずしもセキュリティ的に十分でない部分も存在します。

http://www.microsoft.com/japan/technet/security/prodtech/windowsserver2003/w2003hg/s3sgch12.mspx

これによりセキュリティ上問題がある場合は、RADIUS認証と連携させて ISA 自身はワークグループとして設定するといった方法になるようです。下の資料にチラリとしか書いてありませんが。

http://www.microsoft.com/japan/technet/prodtechnol/isa/2004/plan/exchage2003.mspx

基本的にはうえの要件をふまえてご自身で決めていただくことになるでしょう。

ちなみに ISA2006 では LDAP ベースでのダイジェスト認証が使えるので、ISA がワークグループのまま、ドメインコントローラに認証をおこなわせることができるようになりますね。

http://www.atmarkit.co.jp/fsecurity/rensai/forefront02/forefront01.html
ロビンマスク
ベテラン
会議室デビュー日: 2006/08/02
投稿数: 53
投稿日時: 2007-02-05 16:43
チャブーン 様

返信が遅くなり大変申し訳ありませんでした。
大変詳しい情報ありがとうございます。
参考になりました。
最近ISA2006にバージョンアップしたところでしたので"LDAP ベースでのダイジェスト認証"は初耳でした。助かりました。
ただ、上司からFWにLDAPポートを空けさせてもらえるかが問題ですが・・・。
大変ありがとうございました。
1

スキルアップ/キャリアアップ(JOB@IT)