Exchange Control Panel Microsoft Exchange Server Kurulumu yapılmış bir organizasyon kaç kullanıcıya hizmet verir? 10, yüz, 200, 500 yada bin kişi veya daha fazla kullanıcıya? Peki, bu Exchange Organizasyonunu kaç yönetici yönetmektedir. Bir, 2 en fazla 5 Exchange Yöneticisi olabilir.? Emin olun daha fazla yönetici bu tür Exchange organizasyonlarını yönetmez…

Exchange organizasyonumuzda Owa Erişimini kullanıcılarımızın hizmetine açabiliriz ve bir çok Exchange organizasyonu da bu erişim yöntemini istemektedir. Owa erişimi, Web arayüzünden her hangi bir Exchange Client’ina bağımlı olmadan e-postalarına erişim sağladıkları, okudukları ve cevap verdikleri bir Exchange Client Access Hizmetidir…

Owa erişimini, son kullanıcılara açarken aynı zamanda ECP olarak adlandırdığımız Exchange Control Paneli ‘de açmaktayız. Hâlbuki kullanıcılarımız bu yönetim ara yüzünü kullanmayacaktır!!! Aşağıda paylaşmış olduğumuz vlog içeriklerinden bu konu için detaylı paylaşımlarda bulunduk, izleyebilirsiniz.

Exchange Control Panel, Exchange üzerinde yapılan bütün yönetimsel işlemleri yapmamızı sağlayan bir ara yüzdür. Son olarak Exchange 2010 üzerinde bir yönetim Konsoluna sahiptik ve sonrasında gelen Exchange Server 2013 / Exchange Server 2016 ve Exchange Server 2019 sunucuları Exchange control panel üzerinden yönetilmektedir.

Bu yönetim arayüzünü OWA gibi dış dünyaya açmak yada ANY olarak herhangi bir ağ, bilgisayar üzerinden erişim vermek ciddi bir zaafiyettir ve geri dönüşü olmayacak problemleri oluşturacaktır.

Zararlı bir yürütülebilir yazılım, çok büyük olmasına gerek yok çok ama çok küçük bir script ile bütün kullanıcılarımızın posta kutuları silinebilir, maillerimiz başka bir domaine yönlenebilir ve çok daha fazlası olabilir.

1. ECP IP and Domain Restrictions

Yazımızın başında belirttiğim gibi, OWA erişimini dış dünyaya açmak zorunlu olsak bile Exchange Control Panel için bu zorunluluk yoktur ve önerilen de sınırlamanın yapılmasıdır.

Belirli bir bilgisayardan, belirli bir IP adresi arkasından Exchange Server ‘in yönetilmesi beklenir. Zaten yönetecek olan Exchange Yöneticileri de bir elin parmaklarını geçmemekte ve genellikle de bu kişiler uzman ve bu makalede anlatılan nedenleri anlayan kişilerdir.

Biz de şimdi, bu basit bu yapılandırmanın nasıl yapılacağını aktaracağız. yapacak olduğumuz bu değişiklik OWA erişimlerine etki etmeyecek sadece ECP erişimleri belirlemiş olduğumuz IP adreslerine sahip bilgisayarlar üzerinden yapılacaktır.

IP and Domain Restrictions

IP and Domain Restrictions

Exchange Server üzerinde zaten Web server bileşenleri yüklü durumda ve sadece IP and Domain Restrictions özelliğini de Exchange Server üzerine yüklüyoruz.

Exchange Control Panel Access

Exchange Control Panel Access

Exchange Server üzerinde IIS yönetim aracını açıyoruz ve Default Web Site altında bulunan /ecp virtual directory içine giriyoruz. Bu bölüme IP Address and Domain Restrictions sekmesinin geldiğini görebilmektesiniz. Giriş yapıyoruz.

IP Address and Domain Restrictions

IP Address and Domain Restrictions bölümüne giriş yaptıktan sonra Exchange yöneticilerimizin kullanmış oldukları bilgisayarların IP adreslerini yada Exchange Server IP adresleri bu bölüme tanımlıyoruz ve Allow kuralını yukarıda ki gibi yazıyoruz.

Yazmış olduğumuz bu IP adresi haricinde hiç bir IP adresinden talep edilen Exchange Control Panel erişimleri cevap vermeyecek. Sadece bu bölümde tanımlamış olduğumuz IP adresleri üzerinden ECP ‘e giriş yapılabilir durumda olacak.

Exchange Control Panel Restriction

Exchange Control Panel Restriction

Son olarak Exchange Control Panel virtual Directory üzerinde yazmadığımız IP adreslerinden gelecek olan taleplere karşı alınacak aksiyonu yazıyoruz. İzin kuralı içinde bulunmayan IP adresi arkasından ECP erişimi talep edildiği zaman talebin DENY kuralı ile engellenmesini ve talebin Not Found olarak yani boş sayfanın gelmesini belirledik.

Gerçekleştirmiş olduğumuz bu işlem sonrasında Exchange Server Control Panel erişimi yetkisiz kişi ve IP adresleri tarafından yapılacak olan işlemler engellenmiş oldu.

2. Web Application Firewall ile ECP Sınırlama

Birinci bölüm içinde paylaşmış olduğumuz bilgiler Microsoft Exchange server üzerinde yapacak olduğumuz Exchange Server Güvenlik sıkılaştırma işlemidir. Bir yada iki Exchange Server ‘in bulunduğu Exchange Organizasyonları için kullanılan, ücretsiz bir çözümdür.

Fakat organizasyon yapısı büyüdüğü zaman bu tür çözümlerde geçersiz kalacak yada yetmeyecektir. Çünkü bu çözüm bütün Exchange Server üzerinde tek-tek yapılması gereken ayarları içermektedir. Exchange Sunucusunun çok fazla olduğu organizasyonlar da bu çözüm yetersiz kalabilir.

Ayrıca, Exchange server üzerinde yapılacak olan Microsoft Exchange Server Cumulative Update Paketleri yükleme işlemi ve Exchange Server Security Update Paketleri yükleme işlemlerinde bu kuralın devre dışı bırakışması gerekmektedir. Bu kurallar aktif olduğu zaman güncelleme işlemleri hata verebilir yada Güncelleştirmesi Sonrası Yaşanılan ECP ve Owa Problemleri oluşabilir.

web application firewall

web application firewall

Exchange Server Control panel güvenlik işlemlerinde yapmış olduğumuz IP Address and Domain Restrictions işleminin yetersiz kaldığı yerlerde Exchange Server önüne Web Application Firewall konumlandırmamız gerekecektir.

WAF ürünü üzerinde yapılan Exchange Server Control panel güvenlik sıkılaştırma işlemleri, Exchange Server üzerinde yapılan IP Address and Domain Restrictions işlemlerine göre çok daha güvenli ve konforlu bir şekilde yapılmaktadır.

Aşağıda F5 WAF cihazı üzerinde yapmış olduğumuz bir IRUL tanımı bulunmakta. Paylaşmış olduğumuz komut içinde belirtilen X.Y.Z.0/24 bölümüne, Exchange Control Panel erişimi yapılacak network yada IP adresini yazmanız yeterlidir.

Bu F5 IRUL ile her bir Exchange Server üzerinde tek-tek IP Address and Domain Restrictions işlemini yapmıyor ve bu ayarları her bir Exchange server CU yada SU güncelleme işleminde devre dışı bırakmıyorsunuz. WAF üzerinde yapılan bu işlem Exchange Server Organizasyonuna etki etmeden, Exchange Server üzerinde değişiklik yapmadan koruma sağlayan bir çözümdür.