sfr 10 Geschrieben 17. Juni 2012 Autor Melden Teilen Geschrieben 17. Juni 2012 Wie gesagt, https://www.mcseboard.de/ms-exchange-forum-80/exchange-activesync-3-186106.html#post1153070 hier steht, was ich wissen wollte. Wenn du keine Lust hast, das hier weiter zu diskutieren lassen wir es einfach. Für dich funktioniert es, also alles bestens. Bye Norbert Ja aber genau das habe ich dir bereits geschrieben und natürlich habe ich Lust mich mit dir weiter auszutauschen. Weiß eben nur nicht was du noch wissen musst, denn ich habe dir geschrieben was für Software und Hardware eingesetzt wird. Wir haben keine Reverse Gateways im Einsatz wie TMG2010 oder ähnliches.. wir haben lediglich nur eine physikalische DMZ aufgesetzt. Sonicwalls.. mehr eben nicht und die erwähnte Software vom Exchange Active Sync und die IPHONES. Gruß Zitieren Link zu diesem Kommentar
NorbertFe 1.799 Geschrieben 17. Juni 2012 Melden Teilen Geschrieben 17. Juni 2012 Ja aber genau das habe ich dir bereits geschrieben und natürlich habe ich Lust mich mit dir weiter auszutauschen. Nein hast du nicht. Du sprichst die ganze Zeit von DMZ und Mailserver. Was auch immer man sich darunter dann vorstellen soll. Weiß eben nur nicht was du noch wissen musst, denn ich habe dir geschrieben was für Software und Hardware eingesetzt wird. Achso? Abgesehen von Sonicwall hab ich von Software nicht viel gesehen. Wir haben keine Reverse Gateways im Einsatz wie TMG2010 oder ähnliches.. OK. wir haben lediglich nur eine physikalische DMZ aufgesetzt. Sonicwalls.. OK. mehr eben nicht und die erwähnte Software vom Exchange Active Sync und die IPHONES. Welche erwähnte Software vom Exchange Active Sync? EAS ist integraler BEstandteil der Exchange CAS Rolle seit E2007. Habt ihr jetzt also einen CAS in die DMZ gestellt oder wie? Bye Norbert Zitieren Link zu diesem Kommentar
sfr 10 Geschrieben 17. Juni 2012 Autor Melden Teilen Geschrieben 17. Juni 2012 Nein hast du nicht. Du sprichst die ganze Zeit von DMZ und Mailserver. Was auch immer man sich darunter dann vorstellen soll. Achso? Abgesehen von Sonicwall hab ich von Software nicht viel gesehen. OK. OK. Welche erwähnte Software vom Exchange Active Sync? EAS ist integraler BEstandteil der Exchange CAS Rolle seit E2007. Habt ihr jetzt also einen CAS in die DMZ gestellt oder wie? Bye Norbert Naja deshalb meinte ich, dass wir nichts an Software laufen haben bis auf Exchange und EAS. Der Server ist NUR Exchange Server, vorher Gast jetzt physikalisch! Es läuft noch ein Virenscanner auf dem Exchange. Der Server macht sonst nichts, nur Exchange. Dazwischen hängen 2 Sonicwalls, dazu gibts auch nichts mehr zu sagen. In den FWs die entsprechenden Ports weitergeleitet, fertig. Wenn keine Software im Einsatz ist, dann kann ich dir auch keine nennen. Weitere HW ist auch nicht im Einsatz als diese, die ich dir bereits gennant habe. 1 Server - Windows Server 2008 R2, Exchange, EAS aktiviert, Virenscanner, Memberserver der domäne.local 2 FWs von Sonicwall x IPHONES mit Exchange Postfach für die Synchronisation Das wars. Zitieren Link zu diesem Kommentar
NorbertFe 1.799 Geschrieben 17. Juni 2012 Melden Teilen Geschrieben 17. Juni 2012 Na war diese Beschreibung jetzt so schwer? Also demzufolge steht jetzt der exchangeserver in der Dmz und ihr greift von intern in die Dmz und von extern in die Dmz. Abgesehen davon, dass ihr dadurch in meinen Augen das Gegenteil von sicherer geworden seid (der ssl tunnel terminiert nämlich im endeffekt weiterhin auf dem exchange) betreibt ihr zudem eine von ms nicht unterstützte Umgebung (How NOT to Deploy Client Access Servers - BradHugh's WebLog - Site Home - MSDN Blogs). Aber wie gesagt, ihr seid zufrieden und damit hat sich's für mich. Bye Norbert Zitieren Link zu diesem Kommentar
sfr 10 Geschrieben 17. Juni 2012 Autor Melden Teilen Geschrieben 17. Juni 2012 Na war diese Beschreibung jetzt so schwer? Also demzufolge steht jetzt der exchangeserver in der Dmz und ihr greift von intern in die Dmz und von extern in die Dmz. Abgesehen davon, dass ihr dadurch in meinen Augen das Gegenteil von sicherer geworden seid (der ssl tunnel terminiert nämlich im endeffekt weiterhin auf dem exchange) betreibt ihr zudem eine von ms nicht unterstützte Umgebung (How NOT to Deploy Client Access Servers - BradHugh's WebLog - Site Home - MSDN Blogs). Aber wie gesagt, ihr seid zufrieden und damit hat sich's für mich. Bye Norbert SSL auf den Exchange terminert - nicht schlimm, habe ich weiter oben geschrieben, denn die Mails sind nicht entscheident, sondern die restlichen Server!! Das Not How To werde ich mir mal anschauen, das war mir bisher nicht klar. Gruß Zitieren Link zu diesem Kommentar
NorbertFe 1.799 Geschrieben 17. Juni 2012 Melden Teilen Geschrieben 17. Juni 2012 SSL auf den Exchange terminert - nicht schlimm, habe ich weiter oben geschrieben, denn die Mails sind nicht entscheident, sondern die restlichen Server!! Exchange ist Mitglied deiner internen Domäne nehme ich an. Also ist eure vermeintliche Sicherheit eigentlich genau das: vermeintlich. Das Not How To werde ich mir mal anschauen, das war mir bisher nicht klar. Gruß Das habe ich vermutet. Bye Norbert Zitieren Link zu diesem Kommentar
Stefan W 14 Geschrieben 18. Juni 2012 Melden Teilen Geschrieben 18. Juni 2012 Ich weiß nicht wie andere Kollegen das sehen, aber: DMZ - schön und gut, ABER: kein Server/Client in der DMZ sollte Mitglied der Domäne (außer du hast eine eigene DMZ Domäne - möglich ist viel) sein. Denn dadurch ist die Sicherheit geschmälert. Best Practise - meiner Ansicht nacht - wäre ein TMG (oder ähnliches) der dir das Port 443 zum Exchange hin verwaltet. Alternativ ist auch ein einfaches Portforwarding in den meisten fällen ausreichend. LG Stefan Zitieren Link zu diesem Kommentar
NorbertFe 1.799 Geschrieben 18. Juni 2012 Melden Teilen Geschrieben 18. Juni 2012 Welcher Mailserver? Oder meinst du ihr habt euren/einen Exchange jetzt in die DMZ gestellt? Bye Norbert Jetzt weiß ich auch wieder, warum mich das so irritiert, denn vorn im Thread ging es um den SBS 2011. Der SBS steht aber nicht in der DMZ, oder? Bye Norbert Zitieren Link zu diesem Kommentar
RobertWi 81 Geschrieben 18. Juni 2012 Melden Teilen Geschrieben 18. Juni 2012 DMZ - schön und gut, ABER: kein Server/Client in der DMZ sollte Mitglied der Domäne (außer du hast eine eigene DMZ Domäne - möglich ist viel) sein. +1 Denn dadurch ist die Sicherheit geschmälert. +1 Best Practise - meiner Ansicht nacht - wäre ein TMG (oder ähnliches) der dir das Port 443 zum Exchange hin verwaltet. +1 Alternativ ist auch ein einfaches Portforwarding in den meisten fällen ausreichend. -1: Das ist sogar kontraproduktiv, dann lieber den Server als Domänen-Mitglied in die DMZ. Der entscheidende Punkt eines Proxys ist der Conten Layer Filter, also das reinschauen in die Pakete aus Ausfiltern BEVOR es den betreffenden Server erreicht. Wenn in diesem Fall des Portforwarding der Server angegriffen wird, befinde ich mich im INTERNEN Netz, hinter der Firewall. Steht der Server in der DMZ gibt es zwischen dem Server und dem internen Netz eine weitere Hemmschwelle. Ganz allgemein müssen wir uns aber immer vor Augen halten, was wir hier wirklich verhindern: Gelegenheitshacker und Script-Kiddies, die bei Aufwand sich lieber ein neues Ziel suchen. Wäre ich Hacker und wollte unbedingt an die Daten der Firma, würde ich nicht hacken. Dann würde ich einen Admin "kaufen". Das ist aber Ende viel einfacher und billiger. ;) Zitieren Link zu diesem Kommentar
sfr 10 Geschrieben 18. Juni 2012 Autor Melden Teilen Geschrieben 18. Juni 2012 Exchange ist Mitglied deiner internen Domäne nehme ich an. Also ist eure vermeintliche Sicherheit eigentlich genau das: vermeintlich. Das habe ich vermutet. Bye Norbert Gut, danke für den Tip, mal wieder stehe ich vor einer Tür, die ich noch aufschließen muss. Dabei war ich mir soooo sicher, dass diese Lösung sehr viel sicherer wäre.. Mal abgesehen von der nicht Unterstützen Weise war mein Gedanke folgender: Sollte jemand über 447 auf den Server gelangen, dann wäre er nur auf dem Exchange, weiter kommt er nicht, da durch die 2. FW abgesichert wird und dahinter befindet sich alles was meiner Meinung nach geschützt sein müsste. Bei VPN genau das Gleiche. Und natürlich ist Exchange Mitglied, wüsst nicht, dass es auch ohne funktionieren würde. Eine einfache Portweiterleitung wäre für mich "normalerweise" das dümmste was man machen könnte, denn dann wäre ein User über 447 auf der kompletten Maschine ohne weiteren Schutz.. Das muss mir mal jemand erklären.. Ich bin doch durch die DMZ sehr viel mehr abgesichert, meiner Meinung nach aber die ist ja bekanntlich ohnehin daneben.. ;( Genau aus dem Grund haben wir aus einem Gast eine physikalische Maschine gemacht, da für uns Mailserver nicht als kritisch betrachtet wird, eher was sich hinter der 2. FW befindet. Ich muss noch einiges lernen. Vielen Dank schonmal für eure Ratschläge! Gruß Zitieren Link zu diesem Kommentar
sfr 10 Geschrieben 18. Juni 2012 Autor Melden Teilen Geschrieben 18. Juni 2012 Jetzt weiß ich auch wieder, warum mich das so irritiert, denn vorn im Thread ging es um den SBS 2011. Der SBS steht aber nicht in der DMZ, oder? Bye Norbert Doch. Zitieren Link zu diesem Kommentar
NorbertFe 1.799 Geschrieben 18. Juni 2012 Melden Teilen Geschrieben 18. Juni 2012 OK, kein weiterer Kommentar. :shock: Viel Erfolg. Norbert Zitieren Link zu diesem Kommentar
NeMiX 76 Geschrieben 21. Juni 2012 Melden Teilen Geschrieben 21. Juni 2012 Wenn Ihr den SBS in der DMZ hat (sowas habe ich ehrlich gesagt noch nie gehört), welche Ports habt Ihr dann geöffnet? SBS<->Lan alles? Anstatt der 2. Sonicwall (falls die nicht vorhanden war), hättet Ihr euch für ~1500€ eine TMG Appliance kaufen können (Celestix z.b.) und hättet damit das EAS Problem erschlagen. Zusätzlich hättet Ihr eine 2. Firewall gehabt, mit so netten Zusatzfeatures wie Webproxy, Webveröffentlichungen, evtl. Regel passierenden auf AD Usern usw. Dein Konstrukt wird in keinster Weise von Microsoft supportet und du hast nichts an Sicherheit dazugewonnen. Dein SBS hat alle "wichtigen" Daten (E-Mails und UserAccounts) und steht jetzt in einer "DMZ". Im Endeffekt hast du auch Port 443 auf den Server aufgemacht wo alles wichtige liegt. Die 2. FW hättet Ihr euch sparen können, als Angreifer bin ich doch schon auf dem wichtigsten Server eurer Domäne, wenn ich durch die EAS veröffentlichung durchkomme. Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.