helpmeplease 0 Geschrieben 13. Februar 2017 Melden Teilen Geschrieben 13. Februar 2017 hallo, ich betreibe einen exchange 2013 mit AD der von mehreren clients übers internet angesprochen wird. nun wurde ich darauf aufmerksam gemacht den LDAP port 389 abzusichern. https://www.bsi.bund.de/DE/Themen/Cyber-Sicherheit/Aktivitaeten/CERT-Bund/CERT-Reports/HOWTOs/Offene-LDAP-Server/Offene-LDAP-Server_node.html kann mir jemand von euch sagen ob der exchange den LDAP port 389 nutzt - oder kann ich den einfach abdrehen - die globale adressliste nutze ich nicht - oder wird das vom exchange auch für andere dinge genutzt - so ganz schlau bin ich da nicht geworden was LDAP wirklich in diesem zusammenhang macht? ich kann bei der firewall regel nicht statische IP adressen angeben da nicht jeder meiner clients auch eine fixe IP hat? was wäre aus eurer sicht da zu machen? bin dankbar für hinweise. Zitieren Link zu diesem Kommentar
NilsK 2.785 Geschrieben 13. Februar 2017 Melden Teilen Geschrieben 13. Februar 2017 (bearbeitet) Moin, du willst uns jetzt aber nicht sagen, dass dein AD aus dem Internet direkt erreichbar ist, oder? Um hier Empfehlungen aussprechen zu können, müsste man den Aufbau der Umgebung und die Anforderungen kennen. Generische Hinweise wie die des BSI kann man nicht einfach so umsetzen. Gruß, Nils PS. Abgesehen davon, sind die BSI-Hinweise hier auch nicht hilfreich. Durch LDAPs beispielsweise verhindert man nicht den unerwünschten Zugriff auf LDAP, sondern man sorgt für verschlüsselte Daten. So erhielte ein ANgreifer auch dieselben Informationen, nur eben in einer verschlüsselten Sitzung, es könnte also niemand anderes die Informationen belauschen, die da an ungebetene Gäste hinausgehen ... bearbeitet 13. Februar 2017 von NilsK Zitieren Link zu diesem Kommentar
helpmeplease 0 Geschrieben 13. Februar 2017 Autor Melden Teilen Geschrieben 13. Februar 2017 hallo nils, doch es ist ein reiner exchange server der von mehreren verteilten clients benutzt wird. ist es wirklich so dramatisch das so zu machen bzw. ist das sicherheitsrisiko über den 389 port wirklich so hoch? ich habe diese lösung nun schon gute 2 jahre ohne probleme im einsatz. dennoch muss man sich ja mit dem artikel des BSI beschäftigen - das möchte ich auch tun. was wird da von dir empfohlen - nur noch zugriff über z.B. ein VPN erlauben - oder kann ich da sonst was machen um hier mehr sicherheit zu gewährleisten - wird der port den überhaupt von den outlook genutzt? wäre dir dankbar für hinweise zu diesem thema - brauch keine fertige lösung aber ich möchte einfach verstehen ob das sicherheitsrisiko wirklich so hoch ist ... Zitieren Link zu diesem Kommentar
NilsK 2.785 Geschrieben 13. Februar 2017 Melden Teilen Geschrieben 13. Februar 2017 Moin, könntest du deine Beiträge bitte mit Groß- und Kleinschreibung verfassen? Es ist sonst unnötig schwer, das zu lesen. Danke. Dein Exchange ist also auf demselben Server installiert wie das AD? Das ist "not recommended". Dein Exchange ist direkt ans Internet angebunden? Ohne Firewall? Oder wie? Man kann Exchange über eine Firewall ans Internet anbinden, aber zu empfehlen ist das nicht. Übliche Konfigurationen arbeiten hier mit einem Reverse Proxy, der nur die benötigten (https-) Zugriffe zulässt. LDAP ist natürlich nicht nach außen geführt, wozu auch? Antwortet denn auf der externen Adresse der DC auf Port 389? Bevor du dich mit Schwergewichten wie den BSI-Empfehlungen befasst, solltest du anscheinend noch ein wenig Design-Know-how aufbauen - ohne dir zu nahe treten zu wollen. Gruß, Nils Zitieren Link zu diesem Kommentar
NorbertFe 1.800 Geschrieben 13. Februar 2017 Melden Teilen Geschrieben 13. Februar 2017 hallo nils, doch es ist ein reiner exchange server der von mehreren verteilten clients benutzt wird. ist es wirklich so dramatisch das so zu machen bzw. ist das sicherheitsrisiko über den 389 port wirklich so hoch? Na du hast doch den Hinweis bekommen. Der LDAP Port wird von Exchange benötigt (darüber spricht er mit dem AD), nur sollte man ihn eben nicht ins Internet hin aufmachen. Ja das Sicherheitsrisiko ist hoch genug, aber da ich bei so einem KOnstrukt nur von Hobby-IT ausgehen kann, relativiert sich das auch wieder. Outlook und auch sonst jeder Client der letzten 5 Jahre kann mit einem Exchange (2010, 2013, 2016) mit einem einzigen Port kommunizieren, und das ist SSL443/https. Man muß es nur konfigurieren. Und wie Nils schon schrob, dazu müßte man wissen wie dein Konstrukt aussieht/bzw. was das werden soll. ich habe diese lösung nun schon gute 2 jahre ohne probleme im einsatz. Sagt auch jeder Autofahrer, den man vom Baum oder aus der Leitplanke gekratzt hat. Vorher gings jahrelang gut. :rolleyes: dennoch muss man sich ja mit dem artikel des BSI beschäftigen Kann man, muß man nicht. Bye Norbert Zitieren Link zu diesem Kommentar
Piranha 18 Geschrieben 13. Februar 2017 Melden Teilen Geschrieben 13. Februar 2017 Sorry, aber du solltest dir dringend professionelle Hilfe holen. Alleine deine Fragestellungen lassen mir die Haare zu berge stehen :shock: Zitieren Link zu diesem Kommentar
helpmeplease 0 Geschrieben 13. Februar 2017 Autor Melden Teilen Geschrieben 13. Februar 2017 Ok - danke hab das Problem gelöst ... Zitieren Link zu diesem Kommentar
NorbertFe 1.800 Geschrieben 13. Februar 2017 Melden Teilen Geschrieben 13. Februar 2017 Das bezweifle ich, aber schön, dass es geht. Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.