En esta oportunidad veremos algunos aspectos en cuanto a seguridad en los mensajes.

Un poco de historia:
Con el crecimiento de Internet en los últimos 10 años, el correo electrónico ha sufrido un cambio en su utilización. Ya no es más una herramienta de mensajería interna en empresas, sino que se ha difundido en todos nosotros.

El protocolo adoptado para transmitir los correos fue SMTP (Simple Mail Transfer Protocol). El estándar SMTP posibilita el intercambio de correos desde diferentes plataformas. Históricamente este protocolo fue diseñado para enviar mensajes cortos, sin confidencialidad en redes cerradas, y principalmente no diseñado para transmitir información sensible através de una red mundial, como Internet. Básicamente SMTP transporta los mensajes de una manera que cualquiera puede leerlos (clear text).

S/MIME (Secure/Multipurpose Internet Mail Extension) fue desarrollado como estándar para reforzar la seguridad y confidencialidad de SMTP.
S/MIME fue desarrollado en 1995 por un grupo de vendors de seguridad. Fue una de las tantas especificaciones, como PGP. En 1998 se desarrolló la segunda versión de S/MIME, a diferencia de la versión 1 ésta ya estaba por considerarse como un estándar. En 1999, la versión 3 fue propuesta por la IETF con una serie de especificaciones técnicas.

S/MIME 3 fue altamente aceptado y los productos Microsoft que lo soportan son:

Microsoft Outlook 2000 SR-1 y superior
Microsoft Outlook Express 5.01 y superior
Microsoft Exchange 5.5 y superior

Qué beneficios brinda S/MIME?:

S/MIME provee dos servicios de seguridad: Firma digital y encripción de mensajes.
Estos dos servicios son la base en la seguridad en mensajes y los veremos en detalle a continuación:

Firma Figital
La firma digital es la contrapartida de la firma en un documento en papel. Como en las firmas legales, la Firma Digital provee:

* Autenticación: Valida la identidad. Como no hay autenticación en SMTP, no hay manera de saber quién envió el mensaje. Autenticación en una firma digital resuelve ese problema, permitiendo al destinatario del mensaje asegurarse que el mensaje fue enviado or quien dice haberlo enviado.

* No repudiación: Por ser única, la firma digital evita que el remitente del mensaje lo desconozca.

* Integridad de información: La integración de información es el resultado de una operación específica que hace posible la firma digital. Cuando el mensaje es enviado, se calcula el hash del mensaje. Cuando se recibe, el hash es calculado nuevamente y, si el mensaje fue modificado en tránsito, da un error en la firma digital.

***NOTA***: Muchos softwares que agregan discalimers a los mensajes hacen que las firmas digitales sean inválidas, ya que son modificados en tránsito cuando se les agrega la nota de pie de mensaje.

Los pasos, en líneas generales son:

Y cuando el mensaje es recibido, el cliente realiza lo siguiente:

Encripción de mensajes:

La encriptación del mensaje prevee una solución para evitar que terceros puedan tener acceso al contenido del mensaje, ya que el correo SMTP se transporta en texto plano.

Encriptar es el proceso de modificar el contenido para que no sea leído o entendido hasta que no se revierta la alteración producida. De esta manera encriptar un mensaje nos provee:

* Confidencialidad: Proteje el contenido del correo. Sólo el destinatario seleccionado puede desencriptar el correo y poder leerlo. Éste método provee confidencialidad mientras el mensaje está en tránsito o almacenado.

* Integridad de la información: Como en la firma digital, encriptar un correo provee integridad de información, como resultado de las operaciones que se efectúan sobre el mismo.

Al momento de enviar un correo, los pasos son los siguientes:

Y cuando se recibe:

Aunque encriptar el contenido del mensaje provea confidencialidad e integridad, no autentica el remitente de ninguna manera. Un mensaje encriptado, pero sin firma digital sufre los mismos problemas de suplantación de identidad que el correo común.

Rights Management Services (RMS):

Como alternativa tenemos un servicio llamado RMS. Dentro de los beneficios de implementar una solución basada en RMS, podemos encontrar:

 * Proteger la información confidencial contra un acceso o uso compartido con usuarios no autorizados

* La capacidad de controlar no únicamente el acceso a los datos, sino la manera en que se utilizan y distribuyen.

* Garantizar que el contenido de los datos esté protegido y sea resistente a la manipulación

* La capacidad de controlar la fecha de caducidad de los contenidos

Un mensaje protegido por RMS no puede ser reenviado, ni impreso. Cuando respondemos sobre ese mismo mensaje, el cuerpo original es eliminado. Además las funciones de captura de pantalla están deshabilitadas. No se puede mostrar en paneles de vista previa y no se muestran las primeras líneas del mensaje en la advertencia de escritorio de Outlook 2003.

En resúmen, podemos destacar las siguientes diferencias entre S/MIME y RMS:

La intención de esta primer parte es que puedan distiguir entra todas las alternativas de seguridad de mensajería que soporta Exchange..

Próximamente estaré mostrando cómo implementar todo esto, S/Mime y RMS en acción.

Saludos,
Vernocchi Pablo

En diversos escenarios es necesario mover las bases de Exchange de disco, carpeta, partición, etc.
En esta oportunidad cubriremos todos los aspectos técnicos para realizar esta operación satisfactoriamente.

Almacenes de Buzones y Carpetas Públicas:

Como primer paso abriremos la consola de Administración de Exchange. Expandimos “Servers”, ubicamos nuestro servidor, lo expandimos también, expandimos nuestro “Storage Group” y allí encontraremos los almacenes de buzones.

Una vez que tengamos ubicado el almacén de buzón que querramos mover, hacemos clic con el botón secundario sobre él, y luego propiedades:

Aparecerála siguiente ventana, donde se muestran las rutas de las bases actuales:

Para cambiar la ruta y mover automáticamente las bases, debemos hacer clic en browse y seleccionar la carpeta de destino:

Cuando tengamos casi todo listo, en la pantalla aparecerán las nuevas rutas a modo de confirmación.

Cuando presionemos “OK” saldrá una advertencia. El proceso de mover las bases de datos requiere que los buzones sean desmontados, por lo tanto no accesibles a los usuarios. Si estamos muy seguros de lo que estamos haciendo, y que lo estamos haciendo cuando nadie está trabajando, le decimos que SI.

Qué placer ver este tipo de carteles!! 🙂 :

Para el almacén de carpetas públicas es exactamente el mismo procedimiento.

 ***NOTA***
Para brindar adecuadamente los permisos NTFS a las bases de datos deberíamos configurar, en la carpeta de destino, los siguientes permisos:

Administrators: Full control
Authenticated Users: Read and Execute, List Folder Contents, Read
Creator Owner: Nada
Server Operators: Modify, Read and Execute, List Folder Contents, Read, Write
System: Full Controll
******

Logs de transacciones:

El procedimiento para mover los registros de transacciones es similar. Los logs son compartidos por todos los mailbox stores de un storage group, por lo tanto esta configuración debe ser realizada a nivel de SG:

Veremos una ventana similar a las anteriores, seleccionamos Browse y luego le declaramos la nueva ruta:

Nuevamente, si estamos seguros de lo que estamos haciendo y nadie está trabajando, podemos darle OK y saldrá la advertencia porque se desmontarán los buzones:

Y el breve pero relajante mensaje de:

Con eso ya hemos movido las bases de mensajes y registros de transacciones de disco.

Recursos adicionales:

How to move Exchange databases and logs in Exchange Server 2003
http://support.microsoft.com/kb/821915/en-us

XADM: How to Move Exchange Databases and Logs in Exchange 2000 Server
http://support.microsoft.com/kb/257184/en-us

Optimizing Storage for Exchange Server 2003
http://www.microsoft.com/technet/prodtechnol/exchange/guides/StoragePerformance/fa839f7d-f876-42c4-a335-338a1eb04d89.mspx

Saludos,
Vernocchi, Pablo