Jump to content
Sign in to follow this  
wernbert

OWA absichern...wie?

Recommended Posts

Hallo Leute!

Ich stehe vor einem kleinen Sicherheitsproblem!

Mein Server läuft sehr gut, jetzt habe ich der Geschäftsleitung vorgeschlagen dass wir auch OWA nützen!

 

Jetzt meine Bedenken betreffend Sicherheit:

Der Zugriff soll mittels Web-Client möglich sein!

Wir haben eine Fixe IP und irgendwie hab ich da bedenken einfach einen Port ins LAN freizuschalten!

Wie löse ich jetzt am besten mein Problem: mit zertifikaten? oder doch einfach Port-Freischalten

VPN fällt weg da die Benutzer von irgendwo zugreifen und nicht immer den eigen Laptop mithaben!

 

wie würdet ihr das realisieren??

Share this post


Link to post
Share on other sites

Hallo

 

Ich kann mal sagen wie das ganze bei uns läuft:

OWA über einen FrontEnd-Server in der öffentlichen DMZ bereitgestellt. Dieser kann nur über HTTPS erreicht werden. Die Verbindung wird durch ein Nicht-Offizielles Zertifikat gesichert.

 

Geplant ist, dass beim Wechsel auf Exchange 2007 ein öffentliches Zertifikat verwendet wird.

 

Was dein Vorhaben anbelangt hätte ich auch Bedenken einfach mal Ports Internet-LAN frei zu schalten. Wobei die Absicherung der Verbindung über ein Zertifikat keine Alternative zur Freigabe von Ports bietet (hat ja nichts miteinander zu tun). Was ich auf keinen Fall machen würde ist ohne https zu arbeiten bzw. den Zugriff über http zuzulassen.

 

Nun stellt sich natürlich die Frage nach den benötigten Mitteln und der benötigten Sicherheit.

 

Die Risiken musst du selber abwägen bzw. was für dich möglich ist.

Share this post


Link to post
Share on other sites

OWA per FE Server in einer DMZ ist seit Exchange 2003 schon keine sonderlich empfehlenswerte Konfig mehr. Eigentlich war es das auch mit Exchange 2000 nie, wenn auch MS das so propagierte. Insofern wenn man nur einen Server hat, ist ein ISA Server sicherlich die beste Lösung um einen Exchange nach extern zu veröffentlichen. Einen Port mußt du auch mit Zertifikaten nach aussen veröffentlichen. Generell kannst du je nach Budget natürlich noch eine Zweifaktor Authentifizierung wie bspw. Safeword oder RSA konfigurieren.

 

Bye

Norbert

Share this post


Link to post
Share on other sites
OWA per FE Server in einer DMZ ist seit Exchange 2003 schon keine sonderlich empfehlenswerte Konfig mehr.

 

Um noch was dazu zu lernen: Wieso ist die Konfiguration nicht empfohlen? Wir haben vor es mit dem Exchange 2007 genau gleich zu realisieren.

Share this post


Link to post
Share on other sites
Um noch was dazu zu lernen: Wieso ist die Konfiguration nicht empfohlen? Wir haben vor es mit dem Exchange 2007 genau gleich zu realisieren.

 

Bei Exchange 2007 gibt es die Edge Role, da ist das wieder eine empfohlene Lösung. Bei Exchange 2000/2003 war es keine Empfehlung, weil du von der DMZ aus in dein LAN zuviele Ports öffnen mußt, da sich dein Domainmitglied (Exchangeserver) ja auch mit deinen DCs unterhalten will/muß. Insofern erreichst du selbst mit Frontend Server in Zusammenspiel mit dem ISA deutlich mehr Sicherheit wenn der FE im LAN stünde. Wie geschrieben, bei Exchange 2007 mit Edge Role dann nicht mehr. Dann brauchst du für den OWA Zugriff (CAS) aber auch der muß im LAN stehen.

 

Bye

Norbert

Share this post


Link to post
Share on other sites

Hi,

 

wie sieht denn euer Schutzbedarf aus, und was ist schon vorhanden?

 

Die Revisionssichere Lösung wäre:

 

1. Firewall

2. Reverse Proxy

3. Exchange (am besten 2k7)

4. interne Firewall

5. Lan

 

Viele Grüße

Share this post


Link to post
Share on other sites
da sich dein Domainmitglied (Exchangeserver) ja auch mit deinen DCs unterhalten will/muß.

 

Unser FE-Server ist nicht Mitglied der Domäne, sondern ein eingenständiger Server. Die Authentifizierung der User läuft ausserdem über dein internen Exchange (BE). Dann sind es nur noch ein paar Ports (fünf glaub ich?!) die auch nur vom FE zum BE zugelassen werden.

Oder habe ich deinen Post falsch verstanden?

Share this post


Link to post
Share on other sites
Unser FE-Server ist nicht Mitglied der Domäne, sondern ein eingenständiger Server. Die Authentifizierung der User läuft ausserdem über dein internen Exchange (BE). Dann sind es nur noch ein paar Ports (fünf glaub ich?!) die auch nur vom FE zum BE zugelassen werden.

Oder habe ich deinen Post falsch verstanden?

 

Wenn du Exchange 2003 Frontend Server einsetzt, dann ist der definitiv ein Domainmitglied. Ohne Domain kein Exchange.

Share this post


Link to post
Share on other sites

Ich weiss nicht exakt wie der Server konfiguriert ist, aber er ist definitiv nicht Mitglied der Domäne.

Ich war nicht dabei als der Exchange installiert wurde und kenne die genaue Konfiguration von diesem nicht. Wobei ich nicht weiss, ob bei uns nicht eine spezielle Konstellation besteht. Bei uns werden keine Mails über das FE empfangen oder gesendet, es ist rein dafür da OWA bereit zu stellen. Die Mails laufen über eine McAfee Apliance direkt an den BE Exchange.

Eins weiss ich auf jeden Fall, es läuft;)

Share this post


Link to post
Share on other sites
Ich weiss nicht exakt wie der Server konfiguriert ist, aber er ist definitiv nicht Mitglied der Domäne.

Ich war nicht dabei als der Exchange installiert wurde und kenne die genaue Konfiguration von diesem nicht. Wobei ich nicht weiss, ob bei uns nicht eine spezielle Konstellation besteht. Bei uns werden keine Mails über das FE empfangen oder gesendet, es ist rein dafür da OWA bereit zu stellen. Die Mails laufen über eine McAfee Apliance direkt an den BE Exchange.

Eins weiss ich auf jeden Fall, es läuft;)

 

Er ist definitiv Mitglied einer Domain. Welcher, kommt auf deine Konfig an. Jedenfalls geht Exchange ohne AD nicht. Ausnahme Exchange 2007 Edge. Wenn du nur OWA über den FE bekommst, dann ist das sicher kein FE ;) Sondern eher ein ISA als Reverse Proxy.

 

Bye

Norbert

Share this post


Link to post
Share on other sites
Er ist definitiv Mitglied einer Domain. Welcher, kommt auf deine Konfig an. Jedenfalls geht Exchange ohne AD nicht. Ausnahme Exchange 2007 Edge. Wenn du nur OWA über den FE bekommst, dann ist das sicher kein FE ;) Sondern eher ein ISA als Reverse Proxy.

 

Bye

Norbert

 

Es ist gut möglich, dass es kein FE im "klassischen" Sinne ist, aber sicher ist, dass er nicht in der Domäne ist, Exchange darauf installiert ist und er owa bereit stellt. ISA haben wir nur als Proxy für die Mitarbeiter im Einsatz. Vielleicht war der Server auch mal in der Domäne und wurde empfernt (keine Ahnung ob das geht, ist nur mal so daher gesagt...)

Share this post


Link to post
Share on other sites
Es ist gut möglich, dass es kein FE im "klassischen" Sinne ist, aber sicher ist, dass er nicht in der Domäne ist, Exchange darauf installiert ist und er owa bereit stellt. ISA haben wir nur als Proxy für die Mitarbeiter im Einsatz. Vielleicht war der Server auch mal in der Domäne und wurde empfernt (keine Ahnung ob das geht, ist nur mal so daher gesagt...)

 

Ohne Auskünfte kann ich und wahrscheinlich auch sonst niemand was sagen. Fakt ist, Exchange ohne Domain geht definitiv nicht. ISA der OWA veröffentlicht geht ohne Domain. Was bei euch steht kannst wohl nur du herausfinden...

Share this post


Link to post
Share on other sites
Ohne Auskünfte kann ich und wahrscheinlich auch sonst niemand was sagen. Fakt ist, Exchange ohne Domain geht definitiv nicht. ISA der OWA veröffentlicht geht ohne Domain. Was bei euch steht kannst wohl nur du herausfinden...

 

Schon klar, werde mir das Ding morgen mal etwas genauer anschauen und dann berichten was genau läuft.

Im Übrigen läuft ein Exchange Enterprise auf dem FE und BE. Ausserdem haben wir noch eine Exchange Entreprise Lizenz auf Vorrat :D Sprich drei EE-Lizenzen, dabei würde eine EE und eine Standard reichen. War aber vor meiner Zeit;)

Share this post


Link to post
Share on other sites
Ausserdem haben wir noch eine Exchange Entreprise Lizenz auf Vorrat :D Sprich drei EE-Lizenzen, dabei würde eine EE und eine Standard reichen. War aber vor meiner Zeit;)

 

Du bist der Hecht ;)

 

Bye

Norbert

Share this post


Link to post
Share on other sites

Ich bin ein Held x(

--> ISA Reverse Proxy

 

Immerhin schön, dass wir die bessere Lösung einsetzen;)

 

Gruess

BeschämterBaw

Share this post


Link to post
Share on other sites
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte überlege Dir, ob es nicht sinnvoller ist ein neues Thema zu erstellen.

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Restore formatting

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

Sign in to follow this  

Werbepartner:



×
×
  • Create New...