E-posta iletişiminin şirketler için kritik bir rol oynadığı günümüzde, veri güvenliği ve gizliliği de aynı oranda önem kazanmıştır. Microsoft’un Exchange Server 2019’u, bu ihtiyaçları karşılamak üzere geliştirilmiş güçlü güvenlik özellikleri ile donatılmıştır. Bu makalede, veri güvenliğinizi maksimize etmek için HSTS (HTTP Strict Transport Security) yapılandırmasını nasıl etkinleştireceğinizi detaylıca anlatacağız.
Aslında HSTS yapılandırılmasını çok uzun zamandır kullanıyorum ve projelerimde de kullanmaya çalışıyorum. (Pentestler de karşımıza çıkıyor 🙂 ) Geçtiğimiz haftalarda Microsoft tarafından HSTS için anons yapıldı ve Exchange Server’da kullanabilirsiniz denildi.
HSTS Nedir?
HSTS, web sitelerini (Exchange Server söz konusu olduğunda OWA veya ECP’yi) man-in-the-middle saldırılarına, örneğin protokol düşürme saldırılarına ve çerez kaçırma saldırılarına karşı korumayı amaçlayan bir politika mekanizmasıdır. Bu, RFC 6797’de tanımlanan yaygın olarak desteklenen bir standarttır.
Microsoft Exchange Server’da HSTS’nin uygulanması, potansiyel saldırılara karşı güvenlik önlemlerini güçlendirmede önemli bir adım öne taşımaktadır. Bu, özellikle Exchange Server için web tabanlı arayüzler olan Outlook Web App (OWA) veya Exchange Control Panel (ECP) gibi hizmetler için yararlıdır ve bu tür saldırılara karşı duyarlıdır.
HSTS ile bu hizmetler şimdi daha sağlam bir güvenlik politikası uygulayabilir, saldırganların güvensiz bağlantılar veya sertifika hataları nedeniyle oluşabilecek potansiyel zafiyetleri sömürmesini çok daha zor hale getirir.
Microsoft Exchange Server’ları yöneten kullanıcılar, güvenlik en iyi uygulamalarının bir parçası olarak HSTS’yi etkinleştirmeyi düşünmelidir. Microsoft, Exchange Server 2016 ve 2019’da HSTS’yi yapılandırmak için gereken adımları açıklayan bir belge yayınlamıştır, bu da yöneticilerin bu önemli güvenlik özelliğini uygulamasını kolaylaştırır.
Sonuç olarak, Microsoft Exchange Server’a HSTS desteğinin eklenmesi, daha güvenli ve daha güvenli bir e-posta ortamına katkıda bulunan memnuniyet verici bir gelişmedir.
Eğer bir saldırgan bir protokol düşürme saldırısı veya bir man-in-the-middle saldırısı yapmaya çalışırsa, tarayıcı HSTS politikasının ihlal edildiğini algılayacak ve bağlantıyı iptal edecektir.
HTTP Strict Transport Security (HSTS), web güvenliği için tasarlanmış bir özelliktir. Bu, web tarayıcılarına ve uygulamalarına, sadece güvenli HTTP protokolü olan HTTPS üzerinden bağlantı yapmalarını söyler. Bu, kullanıcıların ya da uygulamaların yanlışlıkla ya da zorla güvensiz bağlantılar kurmasını engeller.
HSTS, bir web sunucusunun HTTP başlık alanına eklenen bir yanıt başlığı ile uygulanır. Bu başlık, bir kullanıcının veya uygulamanın bu sunucuyla ne kadar süre boyunca sadece HTTPS üzerinden iletişim kurması gerektiğini belirtir. Eğer bu süre zarfında kullanıcı bu siteye HTTP üzerinden erişmeye çalışırsa, tarayıcı otomatik olarak HTTPS’ye yönlendirme yapar.
Ayrıca, HSTS’nin bir diğer güçlü yanı da sertifika hatalarını tolere etmemesidir. Yani, eğer bir web sitesinin SSL sertifikası hatalıysa, HSTS aktif olduğunda tarayıcı kullanıcıya herhangi bir uyarı göstermeden doğrudan bağlantıyı reddeder. Bu özellik, kullanıcıları ortadaki adam saldırılarından korur.
Özetlemek gerekirse, HSTS, kullanıcıların ve uygulamaların güvensiz protokoller üzerinden bilgi paylaşmasını önleyerek web’in genel güvenliğini artırır. Bu, özellikle hassas bilgilerin paylaşıldığı web siteleri için kritik bir öneme sahiptir
Senaryo:Exchange Server’da HSTS Krizi
Exchange Server HSTSiçin yazılan bu senaryo’da kullanılan isimler gerçek kişileri temsil etmemektedir.
DeltaTech, teknoloji dünyasında son dönemde adından sıkça söz ettiren, inovatif çözümleriyle tanınan bir firmadır. Bu firma, son zamanlarda “QuantumNet” adında, kuantum bilgisayarlar için bir iletişim protokolü üzerinde çalışmaktadır. Bu proje, endüstri için devrim niteliğinde bir adım olabilir. Ancak projenin detayları oldukça gizlidir.
Lucas Green, DeltaTech’in baş IT sorumlusudur. Şirketteki Exchange Server 2019’ları, projenin gizli e-posta trafiği için kullanmaktadır. Lucas, sistemlerin güvende olduğuna inanmaktadır, fakat bilmediği bir şey vardır: ShadowHawk.
ShadowHawk, uluslararası arenada bilinen, son derece yetenekli bir hacker grubudur. Liderleri “Phantom”, QuantumNet projesinin varlığından haberdardır ve bu projenin detaylarını öğrenmek için DeltaTech’i hedef alır.
Phantom, ilk olarak Exchange Server’ın zayıf noktasını bulmak için bir keşif operasyonu başlatır. Kısa süre içinde, e-postaların şifrelenmemiş olduğunu fark eder. Bu, onun için büyük bir fırsattır. ShadowHawk, DeltaTech’e sızarak QuantumNet ile ilgili e-postaları ele geçirir.
Lucas, e-postaların başka sunuculara yönlendirildiğini fark edince panikler. Anında bir soruşturma başlatır ve durumun ciddiyetini anlar. E-postaların şifrelenmemesi, QuantumNet’in sırrının ifşa olmasına neden olabilir.
Lucas, hemen aksiyon alarak, Exchange Server’da HSTS yapılandırmasını etkinleştirir, böylece e-posta trafiğini şifrelemeye başlar. Bu, ShadowHawk’ın planlarını bozar. Phantom, DeltaTech’in tepki hızına hayran kalmıştır.
Ancak Lucas, daha dikkatli olmanın gerekliliğini kavrar. E-postaların şifrelenmemesi gibi basit bir hata, şirketin yıllarca üzerinde çalıştığı bir projeyi tehlikeye atabilirdi. Lucas, IT ekibiyle bir araya gelir ve güvenlik protokollerini gözden geçirmeye karar verir. ShadowHawk’ın saldırısı, DeltaTech için bir uyanış olmuştur.
Proje, saldırının ardından daha da gizli bir şekilde ilerler ve birkaç ay sonra, QuantumNet başarılı bir şekilde piyasaya sürülür. ShadowHawk, bu seferki hedefine ulaşamasa da, DeltaTech için önemli bir ders olmuştur: Güvenlik, her zaman önceliklidir.
Exchange Server 2016 ve 2019 Sürümlerinde HSTS Nasıl Yapılandırılır?
HSTS yapılandırmasını IIS (inetmgr) üzerinden yapmamız gerekmektedir.
Öncelikle Exchange Server sunucusu üzerinden Internet Information Services (IIS – inetmgr) açıyoruz.
IIS üzerinde Default Web Site üzerinde işlem yapmamız gerekmektedir.
Inetmgr – Default Web Site içerisinde sol bölümde bulunan Actions sekmesi içerisinde HSTS bölümüne geliyoruz.
Edit Website HSTS içerisinde yapılandırmalarımızı şu şekilde olması gerekmektedir;
- Enable bölümünü etkinleştiriyoruz
- Max-Age: 31536000
- IncludeSubDomains
- Preload
Not: Redirect Http to Https seçeneği için etkinleştirme yapmamanız gerekmektedir.
Özet:
Web tabanlı erişiminin yanı sıra, Exchange Server’ın dışa dönük hizmetleri de bulunmaktadır. Bu nedenle, bu tür hizmetlerin güvenliği son derece kritiktir. HTTP Strict Transport Security (HSTS) ise bu güvenliği artırmak adına kritik bir rol oynamaktadır.
HSTS, Exchange Server’ın web hizmetlerine erişimde sadece güvenli HTTP protokolü olan HTTPS’nin kullanılmasını zorunlu kılar. Böylece, potansiyel güvenlik tehditlerini ve veri ihlallerini minimize eder. HSTS, yanlışlıkla ya da kötü niyetle oluşturulan güvensiz bağlantı taleplerini otomatik olarak HTTPS’ye yönlendirir. Ayrıca, SSL sertifikası hatalarında, kullanıcılara hatalı bağlantılara izin verilmeden direkt bağlantının kesilmesini sağlar.
