Restringir acceso al panel ECP en Exchange Server 2013

      Comentarios desactivados en Restringir acceso al panel ECP en Exchange Server 2013

Translate

Este post ha sido publicado en El Blog de Ncora el 07/10/2015 - http://blog.ncora.com/2015/10/restringir-acceso-al-panel-ecp-en.html

Hoy arrancamos motores con un post sobre Microsoft Exchange Server 2013, el cual ha evolucionado mucho desde la versión de 2003. Con estas modificaciones, hemos visto un cambio radical de la consola de administración. En la versión 2003, Exchange Server venía integrado con consola de gestión de los Usuarios y Equipos de AD, pasando por la nueva consola MMC en 2007 y 2010, hasta el panel web ECP de esta última versión 2013.

ecp_01

Este panel conlleva cierta facilidad de gestión, aunque cuesta encontrar las cosas estando acostumbrados a la consola MMC de 2010. Además, nos facilita acceder desde cualquier lugar a la administración sin necesidad de tener instaladas las herramientas administrativas. En principio todo son ventajas, pero ¿qué pasa con este panel web cuando publicamos el puerto 443 en Internet? Que también estamos publicando nuestro panel de administración, lo cual puede parecer un riesgo.

Para evitar este inconveniente, Microsoft nos propone montar un CAS (Client Access Server) con el panel de OWA únicamente para acceder desde el exterior, dejando un CAS de manera interna con el panel ECP y limitando el acceso desde nuestra red. Esta solución en pequeñas implementaciones suele ser descartada por el coste de tener un nuevo servidor, licencias y demás requisitos dedicados a separar ambos paneles.

ecp_02

Tranquilos, podemos hacer una pequeña “trampa” con sus problemas asociados. El objetivo es bloquear el acceso al panel desde cualquier red que nosotros no hayamos permitido previamente desde el IIS (Internet Information Service). Esto trae como consecuencia que los usuarios no podrán acceder a las Opciones de su cuenta, dado que usan el panel ECP para editar el Idioma, las firmas de OWA o el “Fuera de la Oficina”, entre otros.

Lo más recomendable es proteger bien la cuenta de administrador o la conexión al OWA con una VPN SSL. Pero si no hay más remedio, podéis usar este truco:

Primero, añadimos la característica Restricciones de IP y dominio en el Rol de Servidor Web (IIS):

ecp_03 ecp_04

En segundo lugar, accedemos al IIS, nos situamos en el directorio ECP y pulsamos sobre el icono de Restricciones de direcciones IP y dominios:

ecp_05

A continuación, vamos a Agregar entrada de permiso… para añadir nuestra red local o el rango de red o IP que permitiremos para acceder al panel ECP de Exchange Server 2013:

ecp_06
Introducimos el rango de nuestra LAN:

ecp_07

Y, por último, modificamos la configuración de acceso al directorio virtual pulsando Modificar configuración de característica… y cambiando el valor en Denegar.

ecp_08 ecp_09

Ahora solo debemos reiniciar el sitio de nuestro IIS para que aplique correctamente la configuración:

ecp_rest_10

Espero que os sea de utilidad en vuestros entornos. ¡Hasta la próxima!