Ejemplo de diseño de arquitectura de mensajeria con Exchange 2007.

Desde que salio la primera Beta, varias personas me han preguntado sobre como seria la arquitectura de un servicio de correo basado en Exchange 2007.

He tratado de explicar a estas personas mi opinión sobre el tema, y dado que parece haber gustado, voy a exponerla aquí para compartirla con la comunidad.

Todo diseño se basa en unas premisas, en este caso usaremos las más comunes hoy en día:

• Sistema de correo completamente centralizado.


• Diseñado pensando en la seguridad.


• Alta disponibilidad.


• Correo Anywhere.


• Mayor valor añadido posible.

Centralización.

Tengo que aclarar que el concepto de correo completamente centralizado, es un objetivo común hoy en día y por el que además hay que luchar.

La centralización supone un gran ahorro de costes, tanto de servidores y licencias como de gastos de administración y operación.

Hoy en día Exchange 2003 permite una gran escalabilidad, Exchange 2007 dispone de algunas nuevas funcionalidades que elevaran el numero de usuarios por servidor.

El ancho de banda con el que se cuenta cada vez es mayor, los servidores mas potentes y los clientes y protocolos mas optimizados, es hora de que los arquitectos diseñemos los sistemas aportando a nuestros clientes los beneficios de la centralización.

Seguridad.

La seguridad es un aspecto esencial de cada diseño que se realiza, así que cada elemento del diseño tiene sus propios detalles a nivel de seguridad.

Sistemas de encriptación, antivirus y antispam, y otras herramientas de seguridad son tan importantes como las políticas de retención de los correos u otras políticas relacionadas con el mismo como tipos de contenidos permitidos.

Tambien es importante hacer ver que la seguridad es igual de importante hacia fuera como hacia dentro.

Alta disponibilidad.

No se puede pensar en una solución para mediana y gran empresa que no contemple la alta disponibilidad, alcanzar los cinco nueves de disponibilidad es un objetivo exigente pero factible si contamos no solo con un buen diseño si no con algo mas esencial para la disponibilidad, una administración y operación excelentes.

En Exchange 2007 aparece un nuevo tipo de servicio, el UM o mensajeria unificada, este servicio es de suponer que empiece a despertar en las empresas, pero de momento en la mayoría de los proyectos no será mas que un piloto que madurara con el tiempo, por esta razón, no será normal al principio pensar en la tolerancia a fallos de esta parte de la solución.

Correo Anyware.

Un sistema de correo actual, ha de poder servir el correo a una gran cantidad de dispositivos y en diferentes situaciones.

Este tipo de dispositivos, no solo estarán en Internet, si no en redes wireless dentro de las redes de las empresas.

Dentro del diseño hay que pensar en prestar estos servicios con el mismo nivel de calidad y seguridad que el resto de la solución.

Mayor valor añadido posible.

Si no aportamos valor añadido a las soluciones que diseñamos y no somos capaces de innovar, ¿que aportamos frente a la competencia?, es aqui donde se demuestra la valia del arquitecto.

Si hay algo que me haga usar los productos de Microsoft es que sus productos están llenos de “pequeños regalos”, que nos permiten dar mucho valor añadido a las soluciones que diseñamos.

Si complementamos estos “regalos” gratuitos con otras herramientas de gran potencia como MOM o Sharepoint podemos encontrarnos con una gran cantidad de pluses que ofrecer a nuestros clientes sin prácticamente coste adicional.

Un amplio conocimiento de las tecnologías de programación existentes nos permitiran crear complementos a las herramientas de administración que permitan realizar algunas tareas rutinarias de forma mas automática y garantizando la mayor fiabilidad con los procesos de la empresa.

MOM es por supuesto un elemento fundamental de todo despliegue de Exchange, evidentemente lo es una vez terminado el proyecto, pero no hay que despreciar su utilidad para detectar problemas durante el despliegue.

Hay que hacer hincapié en el mantenimiento de la solución y en aprovechar el proyecto para mejorar la operación de los servicios de correo dentro de la empresa.

Adicionalmente el que Exchange 2007 requiera de hardware de 64 Bits nos da la oportunidad de hacer un buen trabajo eligiendo el hardware a la vez que permitirá implantar nuevas tecnologías y facilitar la migración.

Por ultimo decir que de nada valdrá un gran diseño de Exchange si flaquean otros servicios como el directorio activo o la seguridad global.

Este articulo esta pensado para arquitectos que estoy seguro que enlazaran rápidamente con las ideas de cada punto, por esto y por que tampoco hay que quitar el misterio 😉 no entrare en grandes detalles, solo lo suficiente para haceros pensar.

Diagrama De la Solución.

Detalle del diagrama

1) Frontera Externa.

Sin duda la frontera externa seria ISA Ent 2006 o 2004 SP2, la razón es la excelente seguridad y facilidad de publicación de los servicios.

Pensar que son varios los servicios a publicar (RPC sobre HTTP, SSL, SMTP) y que además el uso de dispositivos móviles con tecnología Push hace que haya un gran numero de conexiones contra los firewalls.

La posibilidad de acceder a los ficheros y sitios de las intranets a traves de OWA, también intensificara el trafico y las necesidades de seguridad en esta parte tan sensible de la arquitectura.

La posibilidad de ISA 2006 de contar con varios métodos simultáneos de autenticación también es un funcionalidad a tener en cuenta.

En disputa con Thom Shinder y a favor de Steve Riley tengo que aconsejar que este array de ISA no forme parte de un dominio interno, si no que o bien forme parte de un grupo de trabajo o pertenezca a un dominio solo existente en este segmento de la red y sin relaciones de confianza ni intervención en ningún otro servicio interno.

2) DMZ de alto riesgo.

Aunque se diga que las DMZ están muertas, siguen siendo una de las mejores formas de elevar la seguridad de ciertos segmentos de la red.

Esta DMZ se encuentra entre los firewalls de frontera y los internos o perimetrales.

Es una DMZ de confianza Nula y de alto riesgo.

Seria común encontrar un IDS y una honeypot en este punto de la red.

En la solución que estoy comentando, nos encontramos con un Array NLB de servidores con Exchange 2007, estos servidores no forman parte del dominio y usan ADAM para validar las direcciones.

En la terminología de Exchange 2007, estos servidores son los “Edge Servers”

De esta forma no se pone en riesgo la seguridad del resto de información del directorio activo y se evita que se puedan usar estos servidores y sus servicios para escalar privilegios.

El puerto 25 (SMTP) de estos servidores esta publicado en Internet en las IPs de los registros MX.

La función de estos servidores es recibir y enviar el correo hacia Internet.

Estos servidores contarían con Microsoft ForeFront para Exchange Server, este antivirus evolución del Antigen de Sybari permite escanear cada correo en un numero variable de engines, uno de dichos engines es el propio de Microsoft.

ForeFront para Exchange también cuenta con AntiSpam.

El Sender ID framework también forma parte de la configuración.

Estos servidores han de mantenerse continuamente actualizados y son de alto riesgo por lo que se aconseja no poner ningún otro servicio en ellos y fortificarlos convenientemente.

3) Frontera Interna.

Nos encontramos aquí con la ultima frontera en forma de Array hacia los servidores y el resto de la LAN.

Aquí podremos elegir entre dos corrientes de pensamiento;

Escoger un producto que no sea ISA con el fin de que si existe una vulnerabilidad en el producto, un atacante no la pueda aprovechar para traspasar las dos fronteras.

Poner ISA esta vez formando parte del dominio interno para obtener la mayor funcionalidad.

La elección dependerá de muchas cosas, especialmente de los servicios que queramos prestar.

4) DMZ de riesgo Moderado.

Prácticamente todos los servidores han de estar separados de la LAN de los usuarios, esto incluye AD, servicios de red, monitorización , ficheros, intranets, etc.

Para conseguir esto, tendremos que crear varias DMZ, reglas IPSec, etc.

Dado que el acceso a esta red se produce tras dos niveles de firewalls y con solicitudes ya validadas consideraremos esta red de riesgo moderado.

Es aquí donde pondremos algunos de los elementos que compondrán la solución.

5) Front End.

Los servidores de front-end permiten a los usuarios usar su correo web, pop3, imap o acceder desde las PDAs y móviles, tienen un riesgo de seguridad algo menor que los servidores de Edge pero sigue teniéndose que tener en cuenta dado que son los que prestan en realidad la mayoría de servicios visibles en Internet.

Algunos pensaran que seria mas lógico ponerlos en la DMZ de algo riesgo, en mi opinión los requisitos de reglas en los firewalls que imponen estos servidores, me parecen mas graves que mantenerlos dentro de la DMZ de riesgo moderado.

Evidentemente estos servidores también cuentan con antivirus ForeFront dado que son el punto de entrada del correo saliente para algunos tipos de clientes.

Usaremos un Array NLB para aportar escalabilidad y tolerancia a fallos.

La fortificación de los servidores y una correcta administración y actualización son claves para garantizar la seguridad de la infraestructura.

La ip virtual del array ha de ser publicada en los firewalls internos para luego ser publicada a su vez por los firewalls externos usando para ello la IP virtual del array de firewalls internos.

Se usara autenticación por formulario bajo SSL y exigiremos que todos los dispositivos que usen activesync hayan tenido que ser autorizados para poder usar los servicios de correo.

6) Servidor de mensajeria unificada.

Este servidor cuenta con una conexión a un gateway SIP o centralita (PBX).

Nos permitirá por ejemplo:

Acceder a nuestro buzón llamando por teléfono, al hacerlo una amable señorita nos contestara de momento en ingles y tras introducir un PIN podremos hacer leer al sistema nuestros correos citas, contactos, etc, el sistema cuenta con reconocimiento de voz de gran calidad y la propia “voz” de Exchange es un gran avance.

También se puede usar este servicio para modificar nuestras citas.

En caso de que nos llamen a nuestra extensión y no estemos, nos podrán dejar un mensaje de voz que podremos oír desde nuestro Outlook y OWA, podremos introducir notas a la vez que oímos el mensaje para luego poder usar las avanzadas tecnologías de búsqueda de Exchange 2007 para buscar en ellas.

Si queremos podemos indicar al Exchange que reproduzca el mensaje usando nuestro teléfono móvil y así de esta forma evitar que alguien mas lo escuche por los altavoces del ordenador.

Exchange 2007 guarda las extensiones en un atributo del usuario en el AD.

Serán comunes las sinergias de este tipo de servidores con otros del tipo de LCS.

7) Los servidores de buzones.

Aquí es donde residen los buzones de los usuarios, usaremos clusters MSCS para aportar tolerancia a la vez que facilitar las actuaciones en los servidores.

En vez de usar un solo cluster de muchos nodos es aconsejable ir creando clusters de 3 o 4 nodos.

Podremos usar ISCSI o HBAs tipicas contra las SAN, en este caso yo recomiendo esta ultima opción dado el mayor rendimiento actual, si el presupuesto es suficiente, valoraria soluciones multi-path.

Exchange 2007 no permite el esquema activo/activo así que usaremos el Activo/Activo/Pasivo para obtener el mayor equilibrio entre inversión y rendimiento.

Exchange 2007 permite disponer de replicación continua dentro de un mismo cluster, esto nos permitirá disponer de nodos de hardware menor dentro del mismo cluster que repliquen las bases de datos y disponer de ellas en caso de caída o para realizar los backups.

Si disponemos de las comunicaciones apropiadas podemos poner ese nodo en el centro de respaldo.

El dimensionamiento del hardware es esencial en este punto y determinante para el éxito del proyecto.

8 y 11) Clientes.

Exchange 2007 y Outlook 2007 permiten que un puesto se configure solo una vez validado, esta funcionalidad es tremendamente cómoda.

Ya hemos hablado de los diferentes medios que usaran para acceder a sus datos, además hay que tener en cuenta el numero de conexiones que exige el push y el roaming entre wireless y telefonia movil.

9) Frontera del centro de respaldo.

Con el fin de superar algún posible desastre tendremos que contar con un centro de respaldo.

Los centros de respaldo suelen estar mas adaptados a los presupuestos que a las necesidades.

En mi opinión creo que la clave para el diseño de un centro de respaldo, es el equilibrio y la sinceridad, es un punto de la solución en el que hay que aceptar riesgos, si no invertiremos una gran cantidad de recursos.

La mayoría de las empresas aun no han alcanzado una madurez dentro de IT lo suficientemente arraigada y fuerte como para garantizar que la inversión en un centro de respaldo sea eficiente en caso de necesitarlo bajo un entorno de presión.

La falta de procedimientos de emergencia y de simulacros hace que muchos centros de respaldo solo valgan para enterrar grandes cantidades de dinero.

Muchas empresas tienen en sus centros de respaldo el talón de Aquiles de su seguridad.

En esta solución contaremos con un solo firewall externo y si es posible otro interno, usaremos IPSec y vlans para garantizar la seguridad hacia dentro encaminando como única vía de contacto fuera del centro de respaldo los firewalls internos del CPD habitual.

10) DMZ en el centro de Respaldo

En la DMZ del centro de respaldo contaremos con un servidor de maquinas virtuales conectado a un sistema de almacenamiento.

En este servidor residen las maquinas virtuales que sean necesarias para prestar los servicios de Exchange en caso de fallo del CPD principal, el uso de un dispositivo SAN ISCSI permitirá adaptar dinámicamente el CPD de respaldo virtual.

Usando la tecnología ISCSI con discos SATA y maquinas virtuales disponemos de un centro de respaldo con un excelente equilibrio entre inversión y posibilidades.

Evidentemente las maquinas virtuales en este grado de consolidación no podrían dar servicio a un gran numero de usuarios, por esa razón en caso de emergencia dispersaríamos esas maquinas virtuales por el hardware que pudiéramos adquirir con urgencia o bien emplearíamos métodos V2P a través de ADS para convertir las maquinas virtuales en físicas escalando así con rapidez y garantías.

Evidentemente el centro de respaldo tendrá que contar con servidores que repliquen el AD y con otros servicios adicionales.

EL firewall del centro de respaldo también publicara un MX adicional cuyo SMTP estará localizado en una maquina virtual, que permitirá que los correos sigan entrando en caso de caída de líneas del CPD principal o alguna emergencia de mayor grado.

Según el presupuesto con el que contemos usaremos, replicación hardware, replicación de Exchange o copias de seguridad y BDs de recuperación para mantener los datos sincronizados en el centro de respaldo, cumpliendo así con la mayor premisa de todo centro de respaldo, no perder datos en caso de emergencia.

Espero que os gusten algunas de las ideas aquí expuestas y que hayáis aumentado vuestro conocimiento de las funcionalidades que aporta Exchange 2007.