Etiket arşivi: Exchange 2019 Client Access Rules

Exchange 2019 Client Access Rules

Exchange Server 2019 duyurulması ile beraber bizlerde
hızlı bir şekilde yeni özelliklerini sizler ile paylaşmaya başladık. Aslında
geçen hafta yeni özelliklerinin nerede ise tamamına yakınını aşağıdaki makalede
sizler ile paylaştım

http://www.cozumpark.com/blogs/exchangeserver/archive/2018/10/14/exchange-server-2019-yenilikleri.aspx

Ancak burada özellikle bazı teknolojiler için ayrı
makaleler yazacağımı da belirtmiştim. Client Access Rule özelliği de bu
teknolojilerden birisi.

Peki daha önce kullanmadığımız ve Exchange 2019 ile
beraber gelen bu yeni özellik nedir?

Client Access Rule, temel olarak Exchange 2019
organizasyonunuzu yönetmek için kullandığınız Exchange admin center (EAC) ve
remote PowerShell erişimlerini sınırlandırmak için kullanılır. Hub transport
kurallarına benzeyen bu kurallar sayesinde EAC ve remote PowerShell için IP
temelli, kimlik doğrulama türüne ve kullanıcı özelliklerine bağlı olarak
Exchange ‘e kimlerin bağlanacağına siz karar verebilirsiniz.

Peki bu ihtiyaç nereden doğdu? Aslında Exchange 2013
ile beraber web ve powershell temelli yönetim alışkanlıkları arttıkça bu uzak
erişim protokolleri için özellikle şirket dışından veya şirket içerisinden
sıklıkla erişim talepleri arttı. Ancak şirket içerisinden olsun şirket dışında
olsun bu tarz erişimler son derece büyük riskleri beraberinde getirmekteydi.
Exchange sunucusuna RDP yapamayan kötü niyetli bir kişi şirket içerisinden veya
dışından bu tarz uzak yönetim araçları sayesinde tüm mail sistemini ele geçire
bilmekteydi. Tabiki banka, Telekom, gsm gibi büyük kurumlar Exchange Server
önünde konumlandırdıkları WAF veya benzeri güvelik cihazları ile aslında (bazen
de IIS ile) bu tarz istekler için IP bazlı temel bir sınırlandırma getirerek
koruma sağlayabiliyordu.

Ancak müşterilerden gelen yoğun istek üzerine bu tarz
ek bir koruma veya önlem olmadan Exchange server’ ın kendi kendini koruması için
tasarlanmış olan Client Access Rule ortaya çıkmıştır.

Peki örnek kurallara ve nasıl kural yazılacağına
geçmeden önce Client Access Rule için temel bileşenler nelerdir onları
görelim

Conditions- Koşullar

Kuralların en temel bileşeni olup Kimlik doğrulama
tipi, IP adresi, kullanılan protokol, kapsam, kullanıcı ismi, kullanıcı filtresi
gibi hangi koşulda kuralın çalışacağını tanımladığımız bölümdür.

Exceptions – Harici Durumlar

Tanımlanmış bir koşul için harici bırakılacak veya
başka bir deyişle bu kuraldan etkilenmeyecek durumları tanımladığımız
bölümdür.

Action – Aksiyon – Karar

En basit bölüm olup koşullara veya harici durumlara
gelen bir isteği uyup uymamasına göre izin veya yasaklamaların yapılacağına
karar verdiğimiz bölümdür.

Priority – Öncelik

Her kural dizesinde olduğu gibi burada da
önceliklendirme söz konusu olup en düşük numaralı kural en baskın – öncelikli
kuraldır.

Bu kısım önemli çünkü çakışma durumlarında kuralların
nasıl çalışacağını iyi bilmemiz gerekiyor.

Örneğin birden çok kuralda aynı koşul sağlanır ise ilk
kural uygulanır, diğer kurallar görmezden gelinir. Örneğin en yüksek öncelikli
bir PS yasak kuralı olsun ve buna karşın siz bir de daha düşük öncelikli bir
remote powershell izin kuralını belirli bir ip ye veren bir kural yazmış olun,
bu durumda ikinci yazdığınız kuralın hiçbir etkisi olmaz, yani ilgili ip den
gelse bile istek ilk kuraldan dolayı bloklanır. Çözüm ise ilk kurala ek bir
kural yazmaktansa ilk kurala ilgili ip için exception yani bir istisna eklemeniz
doğru çözüm olacaktır.

Ya da başka bir senaryo düşünelim, bir kural içerisinde
birden çok durum söz konusu olsun, yani EAC yasaklanacak ancak finans
departmanındaki bir kullanıcı için. Böyle bir kuralın çalışması için gelen
isteğin kural içerisindeki “tüm” durumları sağlaması şarttır. Bir nevi OR değil
AND olarak çalışır.

Bir kural içerisindeki bir durum için birden çok değer
atanması durumunda OR yani hangisi uyuyor ise kural etkili olur. Örneğin ilgili
kuralda bir ip için EAC veya Remote PowerShell demeniz halinde ikisinden biri
için action davranışı geçerli olacaktır.

Son olarak bir kural içerisinde bir den çok exception
tanımlanmış ise yine firewall mantığındaki OR şeklinde çalışır, yani ip adres
veya protocol olarak basic authentication seçmeniz halinde ikisinden hangisi
eşleşir ise action bu istek için uygulanmaz (exception olduğu için)

Yukarıdaki durumlar biraz gözünüzü korkutmuş olabilir
ama emin olun kural yazmaya başlayınca son derece kolay olduğunu göreceksiniz.
Hele ki Microsoft bize burada test için çok güzel bir komut seti hediye
etmişken;

Test-ClientAccessRule -User< MailboxIdentity>
-AuthenticationType <AuthenticationType> -Protocol <Protocol>
-RemoteAddress <ClientIPAddress> -RemotePort
< TCPPortNumber>

Örnek komut aşağıdaki gibidir;

Test-ClientAccessRule -User hakan@cozumpark.com
-AuthenticationType BasicAuthentication -Protocol ExchangeAdminCenter
-RemoteAddress 192.16.16.16. -RemotePort 443

Aslında son derece basit bir mantık ile çalışıyor, pek
çok firewall, smtp gateway veya benzeri cihazlardaki en temel kural mantığı ile
durumu ve istisnaları seçiyorsunuz, bu durumun gerçekleşmesi durumunda ise ne
yapacağınızı seçiyorsunuz, hepsi bu!

Peki Client Access Rule yönetimini nasıl
yapıyoruz?

Power Shell üzerinden yönetildiği için öncelikle
mutlaka sunucu local erişiminizin olduğuna emin olun, çünkü olası bir hatalı
kural tanımlamasından sonra uzak sunucu erişiminiz kesileceği için bu hatayı
düzeltme şansınız olmayacaktır.

Bu nedenle önerim sunucu üzerinde çalışmanız yönünde
olacaktır. Ancak bu önerim core sürümleri için geçerli değildir, çünkü core
sürümü bir Windows OS üzerine Exchange server kurmuş iseniz ki bunu tavsiye
ediyorum bu senaryo için ise ilk önerim aşağıdaki gibi en temel uzak erişim
kuralını yazmanız olacaktır.

New-ClientAccessRule -Name “Always Allow Remote
PowerShell” -Action Allow -AnyOfProtocols RemotePowerShell -Priority
1

Unutmayın öncelik çok önemli ve bunun çakışma
durumlarını da sizlerle paylaşıyor olacağım.

Peki gelelim kullanım senaryolarına.

Öncelikle mevcut durumda herhangi bir CAR var mı
kontrol edelim;

Get-ClientAccessRule

clip_image001

Okumaya devam et

Exchange 2019 Client Access Rules

Exchange Server 2019 duyurulması ile beraber bizlerde hızlı bir şekilde yeni özelliklerini sizler ile paylaşmaya başladık. Aslında geçen hafta yeni özelliklerinin nerede ise tamamına yakınını aşağıdaki makalede
sizler ile paylaştım

http://www.cozumpark.com/blogs/exchangeserver/archive/2018/10/14/exchange-server-2019-yenilikleri.aspx

Ancak burada özellikle bazı teknolojiler için ayrı makaleler yazacağımı da belirtmiştim. Client Access Rule özelliği de bu teknolojilerden birisi.

Peki daha önce kullanmadığımız ve Exchange 2019 ile beraber gelen bu yeni özellik nedir?

Client Access Rule, temel olarak Exchange 2019 organizasyonunuzu yönetmek için kullandığınız Exchange admin center (EAC) ve remote PowerShell erişimlerini sınırlandırmak için kullanılır. Hub transport
kurallarına benzeyen bu kurallar sayesinde EAC ve remote PowerShell için IP temelli, kimlik doğrulama türüne ve kullanıcı özelliklerine bağlı olarak Exchange ‘e kimlerin bağlanacağına siz karar verebilirsiniz.

Peki bu ihtiyaç nereden doğdu? Aslında Exchange 2013 ile beraber web ve powershell temelli yönetim alışkanlıkları arttıkça bu uzak erişim protokolleri için özellikle şirket dışından veya şirket içerisinden
sıklıkla erişim talepleri arttı. Ancak şirket içerisinden olsun şirket dışında olsun bu tarz erişimler son derece büyük riskleri beraberinde getirmekteydi. Exchange sunucusuna RDP yapamayan kötü niyetli bir kişi şirket içerisinden veya dışından bu tarz uzak yönetim araçları sayesinde tüm mail sistemini ele geçire bilmekteydi. Tabiki banka, Telekom, gsm gibi büyük kurumlar Exchange Server
önünde konumlandırdıkları WAF veya benzeri güvelik cihazları ile aslında (bazen de IIS ile) bu tarz istekler için IP bazlı temel bir sınırlandırma getirerek koruma sağlayabiliyordu.

Okumaya devam et