El Centro Criptológico Nacional (CCN) ha hecho pública su Guía CCN-STIC 860 Seguridad del Servicio OWA en Microsoft Exchange Server 2010, en donde se ofrece la información y mecanismos para la protección del servicio de Outlook Web App (OWA), proporcionado por el servicio de Microsoft Exchange Server y que permite el acceso a los buzones de correo electrónico a través de un servicio web. No obstante estas garantías de acceso, así como la publicación del mismo, constituyen el hecho de que sea un servicio altamente expuesto que puede ser atacado con el objeto no solo de conseguir acceso a la información existente en dicho servicio, sino como un intento de obtener credenciales con las cuales acceder a la organización.
El documento proporciona una guía de buenas prácticas para la protección de la infraestructura, así como los mecanismos que garanticen el fortalecimiento del servicio OWA. Se incluye además:
• Definición de las condiciones de funcionalidad del servicio de OWA.
• Se referencian los riesgos a los que se enfrenta un servicio Web como OWA.
• Se incorporan mecanismos para la implementación, de forma automática, de las configuraciones de seguridad susceptibles de ello.
• Mecanismos de revisión. Se establecen mecanismos de revisión de componentes de OWA para Microsoft Exchange Server 2010.
• Se realiza una presentación de la estructura de ficheros empleados por Microsoft Exchange Server 2010.
• Permite verificar que se cumplen los mecanismos de seguridad definidos en la presente guía.
Este documento forma parte del conjunto de normas desarrolladas por el Centro Criptológico Nacional para la implementación del Esquema Nacional de Seguridad (CCN-STIC-800) siendo de aplicación para la Administración Pública y teniendo como objeto la protección de los servicios prestados a los ciudadanos y entre las diferentes administraciones.
Comunicado CCN-CERT
