Microsoft Terminology Community Forum para Microsoft Exchange 2007

El día 18 de agosto se lanzó el proyecto Microsoft Terminology Community Forum para Microsoft Exchange 2007. Este foro brinda al usuario final la oportunidad de proporcionar sugerencias de traducción de terminología en español para Microsoft Exchange 2007.


Puedes enviar tus comentarios o sugerencias a las traducciones proporcionadas. El moderador del proyecto, el terminólogo de Microsoft para español, analizará las sugerencias y comentarios enviados y seleccionará los términos finales. Tu participación en este proyecto, de carácter voluntario, contribuirá enormemente a la mejora de la calidad de la terminología en español para Microsoft Exchange 2007.


Únete al foro MTCF http://www.microsoft.com/spain/technet/prodtechnol/exchange/2007/mtcf.mspx


Saludos

Carlos Salina  | Microsoft MVP Exchange

Seguridad en mensajes (Parte 3)

Ya tenemos todo configurado. Entendemos las diferencias entre las distintas posibilidades dentro de la seguridad ofrecida por estándares y aplicadas en Exchange.


Hemos logrado firmar un mensaje digitalmente y asegurarnos que el contenido no fue modificado en tránsito pero… ¿qué pasa si alguien más está husmeando las conexiones?


Acá les pego una porción de una conexión smtp con un mensaje sin cifrar:



Y acá tenemos los resultados de una comunicación estándar entre un servidor Exchange y un servidor de un tercero:


Si juntamos todos los pedazos de conexión obtenemos:



Así es, ese texto lo puede leer cualquiera que se interponga entre nuestro servidor y el servidor de destino. Pero, para todas los problemas tenemos una solucón.


En esta oportunidad, veremos como proteger la confidencialidad de un correo, evitando que cualquiera lo pueda leer, y veremos su resultado.


El primer intento de cifrar un mensaje, puede no ser tan exitoso:



Y justamente se debe a que el usuario de destino no tiene un certificado, por lo tanto no tenemos acceso a sus claves para cifrarlo. Sin mucho más, se le otorga un certificado a ese usuario y con eso se resuelve el inconveniente.


Para esta demo, iniciamos sesión con el usuario Jorge, e intentamos enviar un mail cifrado a Pablo:



También veremos en la pantalla un ícono diferente, pero esta vez azul, informando que el correo está encriptado:



Como medida de seguridad, ese mensaje no es accesible via “Vista previa”, solamente se puede leer al abrirlo:



Y, al abrirlo, nos encontramos con un batallón de íconos y candados:



Al hacer clic sobre el ícono azul, que indica encripción, podemos ver los detalles del certificado, aí como también el nivel de encripción utilizado:



Y ahora, la prueba final. Sniffeando una conexión SMTP enviando un correo encriptado, obtenemos los siguientes resultados:



Cumplimos nuestra meta, ahora el mensaje se transmite de manera tal que no se puede interpretar a simple vista.


Saludos,
Vernocchi Pablo

Seguridad en mensajes (Parte 2)

Se larga la segunda parte de este artículo!


En esta oportunidad vamos a ver cómo configurar las firmas digitales en los correos electrónicos, para agregar Integridad a la información transportada y, además, brindar Autenticación en el mensaje ya que esa firma sólamente nos pertenece a nosotros.


Paso a paso. Lo primero que vamos a necesitar para implementar S/MIME es un certificado. Podemos utilizar la infraestructura de Certificados que provee Microsoft o adquirir los certificados através de terceros como Verising (pago) o CACert.org (grauito), entre otros. Si optamos por la de Microsoft (gratuita, parte de Windows Server) necesitaremos instalarla. Para ello he redactado una pqueñísima guia disponible en http://www.itpros.com.ar/blog/como-instalar-una-ca-certificate-authority-en-windows-2003


***NOTA***


Este artículo utiliza la CA provista por Microsoft


******


Bien, como primer paso obtendremos un certificado digital para nuestra cuenta de usuario. Para ello abrimos el navegador y vamos a la URL de nuestra CA interna, iniciando sesión con nuestro usuario y contraseña:



En las tareas disponibles, seleccionamos “Request a Certificate”:



Como tipo de certificado, seleccionamos “User Certificate” y hacemos clic en submit:




Saldrá una advertencia de seguridad, diciéndonos que el sitio web está intentando obtener un certificado en nuestro nombre. Como confiamos en este sitio, elejiremos “Yes”:



Y ahora a instalar el certificado y nuevamente aceptar la ventana de advertencia de seguridad:





——————————————————


Primera etapa finalizada. Ya tenemos certificado para firmar digitalmente nuestros correos y para poder encriptarlos. Ahora, a proteger nuestra confidencialidad!:


Abrimos el Outlook, escribimos un mensaje nuevo y hacemos clic en el boton “Opciones”:



Luego, Opciones de Seguridad:



Y ahora sí, seleccionamos el checkbox “Add digital signature to this message”. Si queremos agregar nuestra firma a todos los correos salientes, por default, tenemos que ir (dentro del Outlook) a Herramientas –> Opciones –> Seguridad –> Tildar la segunda casilla:



Bien, ya tenemos escrito nuestro correo y configurado para que vaya a un remitente determinado:



——————


Cuando el correo llega a destino, la primer modificación visible es el ícono con el que se representa el sobre cerrado:



Luego, al abrir el mensaje, un sello aparece a la izquierda del mensaje indicando que ese correo fue firmado:



Al hacer clic en el sello, se mostrará toda la información referente al certificado que avala la firma digital:




***NOTA***


Si utilizan un servidor interno como CA, probablemente las firmas digitales lleguen como inválidas a destinos externos. Esto se debe a que su CA no es de confianza de destino. Solución? Adquirir un certificado comercial, o distribuír el Certificado de nuestra CA interna para que se agregue en las PCs de los destinatarios


******


Saludos,
Vernocchi, Pablo

Cómo mover las bases de datos de Exchange a otra ubicación

En diversos escenarios es necesario mover las bases de Exchange de disco, carpeta, partición, etc.
En esta oportunidad cubriremos todos los aspectos técnicos para realizar esta operación satisfactoriamente.


Almacenes de Buzones y Carpetas Públicas:


Como primer paso abriremos la consola de Administración de Exchange. Expandimos “Servers”, ubicamos nuestro servidor, lo expandimos también, expandimos nuestro “Storage Group” y allí encontraremos los almacenes de buzones.


Una vez que tengamos ubicado el almacén de buzón que querramos mover, hacemos clic con el botón secundario sobre él, y luego propiedades:



Aparecerála siguiente ventana, donde se muestran las rutas de las bases actuales:



Para cambiar la ruta y mover automáticamente las bases, debemos hacer clic en browse y seleccionar la carpeta de destino:



Cuando tengamos casi todo listo, en la pantalla aparecerán las nuevas rutas a modo de confirmación.



Cuando presionemos “OK” saldrá una advertencia. El proceso de mover las bases de datos requiere que los buzones sean desmontados, por lo tanto no accesibles a los usuarios. Si estamos muy seguros de lo que estamos haciendo, y que lo estamos haciendo cuando nadie está trabajando, le decimos que SI.



Qué placer ver este tipo de carteles!! :) :


Para el almacén de carpetas públicas es exactamente el mismo procedimiento.


 ***NOTA***
Para brindar adecuadamente los permisos NTFS a las bases de datos deberíamos configurar, en la carpeta de destino, los siguientes permisos:


Administrators: Full control
Authenticated Users: Read and Execute, List Folder Contents, Read
Creator Owner: Nada
Server Operators: Modify, Read and Execute, List Folder Contents, Read, Write
System: Full Controll
******


Logs de transacciones:


El procedimiento para mover los registros de transacciones es similar. Los logs son compartidos por todos los mailbox stores de un storage group, por lo tanto esta configuración debe ser realizada a nivel de SG:



Veremos una ventana similar a las anteriores, seleccionamos Browse y luego le declaramos la nueva ruta:




Nuevamente, si estamos seguros de lo que estamos haciendo y nadie está trabajando, podemos darle OK y saldrá la advertencia porque se desmontarán los buzones:



Y el breve pero relajante mensaje de:



Con eso ya hemos movido las bases de mensajes y registros de transacciones de disco.


Recursos adicionales:


How to move Exchange databases and logs in Exchange Server 2003
http://support.microsoft.com/kb/821915/en-us


XADM: How to Move Exchange Databases and Logs in Exchange 2000 Server
http://support.microsoft.com/kb/257184/en-us


Optimizing Storage for Exchange Server 2003
http://www.microsoft.com/technet/prodtechnol/exchange/guides/StoragePerformance/fa839f7d-f876-42c4-a335-338a1eb04d89.mspx


Saludos,
Vernocchi, Pablo

Seguridad en mensajes (Parte 1)

En esta oportunidad veremos algunos aspectos en cuanto a seguridad en los mensajes.


Un poco de historia:
Con el crecimiento de Internet en los últimos 10 años, el correo electrónico ha sufrido un cambio en su utilización. Ya no es más una herramienta de mensajería interna en empresas, sino que se ha difundido en todos nosotros.


El protocolo adoptado para transmitir los correos fue SMTP (Simple Mail Transfer Protocol). El estándar SMTP posibilita el intercambio de correos desde diferentes plataformas. Históricamente este protocolo fue diseñado para enviar mensajes cortos, sin confidencialidad en redes cerradas, y principalmente no diseñado para transmitir información sensible através de una red mundial, como Internet. Básicamente SMTP transporta los mensajes de una manera que cualquiera puede leerlos (clear text).


S/MIME (Secure/Multipurpose Internet Mail Extension) fue desarrollado como estándar para reforzar la seguridad y confidencialidad de SMTP.
S/MIME fue desarrollado en 1995 por un grupo de vendors de seguridad. Fue una de las tantas especificaciones, como PGP. En 1998 se desarrolló la segunda versión de S/MIME, a diferencia de la versión 1 ésta ya estaba por considerarse como un estándar. En 1999, la versión 3 fue propuesta por la IETF con una serie de especificaciones técnicas.


S/MIME 3 fue altamente aceptado y los productos Microsoft que lo soportan son:


Microsoft Outlook 2000 SR-1 y superior
Microsoft Outlook Express 5.01 y superior
Microsoft Exchange 5.5 y superior


Qué beneficios brinda S/MIME?:


S/MIME provee dos servicios de seguridad: Firma digital y encripción de mensajes.
Estos dos servicios son la base en la seguridad en mensajes y los veremos en detalle a continuación:


Firma Figital
La firma digital es la contrapartida de la firma en un documento en papel. Como en las firmas legales, la Firma Digital provee:


* Autenticación: Valida la identidad. Como no hay autenticación en SMTP, no hay manera de saber quién envió el mensaje. Autenticación en una firma digital resuelve ese problema, permitiendo al destinatario del mensaje asegurarse que el mensaje fue enviado or quien dice haberlo enviado.


* No repudiación: Por ser única, la firma digital evita que el remitente del mensaje lo desconozca.


* Integridad de información: La integración de información es el resultado de una operación específica que hace posible la firma digital. Cuando el mensaje es enviado, se calcula el hash del mensaje. Cuando se recibe, el hash es calculado nuevamente y, si el mensaje fue modificado en tránsito, da un error en la firma digital.


***NOTA***: Muchos softwares que agregan discalimers a los mensajes hacen que las firmas digitales sean inválidas, ya que son modificados en tránsito cuando se les agrega la nota de pie de mensaje.



Los pasos, en líneas generales son:



Y cuando el mensaje es recibido, el cliente realiza lo siguiente:



Encripción de mensajes:


La encriptación del mensaje prevee una solución para evitar que terceros puedan tener acceso al contenido del mensaje, ya que el correo SMTP se transporta en texto plano.


Encriptar es el proceso de modificar el contenido para que no sea leído o entendido hasta que no se revierta la alteración producida. De esta manera encriptar un mensaje nos provee:


* Confidencialidad: Proteje el contenido del correo. Sólo el destinatario seleccionado puede desencriptar el correo y poder leerlo. Éste método provee confidencialidad mientras el mensaje está en tránsito o almacenado.


* Integridad de la información: Como en la firma digital, encriptar un correo provee integridad de información, como resultado de las operaciones que se efectúan sobre el mismo.


Al momento de enviar un correo, los pasos son los siguientes:



Y cuando se recibe:



Aunque encriptar el contenido del mensaje provea confidencialidad e integridad, no autentica el remitente de ninguna manera. Un mensaje encriptado, pero sin firma digital sufre los mismos problemas de suplantación de identidad que el correo común.


Rights Management Services (RMS):


Como alternativa tenemos un servicio llamado RMS. Dentro de los beneficios de implementar una solución basada en RMS, podemos encontrar:


 * Proteger la información confidencial contra un acceso o uso compartido con usuarios no autorizados


* La capacidad de controlar no únicamente el acceso a los datos, sino la manera en que se utilizan y distribuyen.


* Garantizar que el contenido de los datos esté protegido y sea resistente a la manipulación


* La capacidad de controlar la fecha de caducidad de los contenidos


Un mensaje protegido por RMS no puede ser reenviado, ni impreso. Cuando respondemos sobre ese mismo mensaje, el cuerpo original es eliminado. Además las funciones de captura de pantalla están deshabilitadas. No se puede mostrar en paneles de vista previa y no se muestran las primeras líneas del mensaje en la advertencia de escritorio de Outlook 2003.


En resúmen, podemos destacar las siguientes diferencias entre S/MIME y RMS:


Función
RMS
Firma S/MIME
Encripta-ción S/MIME
Avala la identidad del editor
 
*
 
Establece una diferencia de los permisos por usuario
*

 

 

Impide una vista no autorizada
*

 

*
Encripta el contenido protegido
*

 

*
Ofrece expiración del contenido
*
   
Controla la lectura, reenvío, guardado, modificación o impresión del contenido por parte del usuario
*

 

 

Amplía la protección más allá de la ubicación de publicación inicial
*
*
*

La intención de esta primer parte es que puedan distiguir entra todas las alternativas de seguridad de mensajería que soporta Exchange..


Próximamente estaré mostrando cómo implementar todo esto, S/Mime y RMS en acción.


Saludos,
Vernocchi Pablo