Jump to content

OWA absichern...wie?


Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Empfohlene Beiträge

Hallo Leute!

Ich stehe vor einem kleinen Sicherheitsproblem!

Mein Server läuft sehr gut, jetzt habe ich der Geschäftsleitung vorgeschlagen dass wir auch OWA nützen!

 

Jetzt meine Bedenken betreffend Sicherheit:

Der Zugriff soll mittels Web-Client möglich sein!

Wir haben eine Fixe IP und irgendwie hab ich da bedenken einfach einen Port ins LAN freizuschalten!

Wie löse ich jetzt am besten mein Problem: mit zertifikaten? oder doch einfach Port-Freischalten

VPN fällt weg da die Benutzer von irgendwo zugreifen und nicht immer den eigen Laptop mithaben!

 

wie würdet ihr das realisieren??

Link zu diesem Kommentar

Hallo

 

Ich kann mal sagen wie das ganze bei uns läuft:

OWA über einen FrontEnd-Server in der öffentlichen DMZ bereitgestellt. Dieser kann nur über HTTPS erreicht werden. Die Verbindung wird durch ein Nicht-Offizielles Zertifikat gesichert.

 

Geplant ist, dass beim Wechsel auf Exchange 2007 ein öffentliches Zertifikat verwendet wird.

 

Was dein Vorhaben anbelangt hätte ich auch Bedenken einfach mal Ports Internet-LAN frei zu schalten. Wobei die Absicherung der Verbindung über ein Zertifikat keine Alternative zur Freigabe von Ports bietet (hat ja nichts miteinander zu tun). Was ich auf keinen Fall machen würde ist ohne https zu arbeiten bzw. den Zugriff über http zuzulassen.

 

Nun stellt sich natürlich die Frage nach den benötigten Mitteln und der benötigten Sicherheit.

 

Die Risiken musst du selber abwägen bzw. was für dich möglich ist.

Link zu diesem Kommentar

OWA per FE Server in einer DMZ ist seit Exchange 2003 schon keine sonderlich empfehlenswerte Konfig mehr. Eigentlich war es das auch mit Exchange 2000 nie, wenn auch MS das so propagierte. Insofern wenn man nur einen Server hat, ist ein ISA Server sicherlich die beste Lösung um einen Exchange nach extern zu veröffentlichen. Einen Port mußt du auch mit Zertifikaten nach aussen veröffentlichen. Generell kannst du je nach Budget natürlich noch eine Zweifaktor Authentifizierung wie bspw. Safeword oder RSA konfigurieren.

 

Bye

Norbert

Link zu diesem Kommentar
Um noch was dazu zu lernen: Wieso ist die Konfiguration nicht empfohlen? Wir haben vor es mit dem Exchange 2007 genau gleich zu realisieren.

 

Bei Exchange 2007 gibt es die Edge Role, da ist das wieder eine empfohlene Lösung. Bei Exchange 2000/2003 war es keine Empfehlung, weil du von der DMZ aus in dein LAN zuviele Ports öffnen mußt, da sich dein Domainmitglied (Exchangeserver) ja auch mit deinen DCs unterhalten will/muß. Insofern erreichst du selbst mit Frontend Server in Zusammenspiel mit dem ISA deutlich mehr Sicherheit wenn der FE im LAN stünde. Wie geschrieben, bei Exchange 2007 mit Edge Role dann nicht mehr. Dann brauchst du für den OWA Zugriff (CAS) aber auch der muß im LAN stehen.

 

Bye

Norbert

Link zu diesem Kommentar
da sich dein Domainmitglied (Exchangeserver) ja auch mit deinen DCs unterhalten will/muß.

 

Unser FE-Server ist nicht Mitglied der Domäne, sondern ein eingenständiger Server. Die Authentifizierung der User läuft ausserdem über dein internen Exchange (BE). Dann sind es nur noch ein paar Ports (fünf glaub ich?!) die auch nur vom FE zum BE zugelassen werden.

Oder habe ich deinen Post falsch verstanden?

Link zu diesem Kommentar
Unser FE-Server ist nicht Mitglied der Domäne, sondern ein eingenständiger Server. Die Authentifizierung der User läuft ausserdem über dein internen Exchange (BE). Dann sind es nur noch ein paar Ports (fünf glaub ich?!) die auch nur vom FE zum BE zugelassen werden.

Oder habe ich deinen Post falsch verstanden?

 

Wenn du Exchange 2003 Frontend Server einsetzt, dann ist der definitiv ein Domainmitglied. Ohne Domain kein Exchange.

Link zu diesem Kommentar

Ich weiss nicht exakt wie der Server konfiguriert ist, aber er ist definitiv nicht Mitglied der Domäne.

Ich war nicht dabei als der Exchange installiert wurde und kenne die genaue Konfiguration von diesem nicht. Wobei ich nicht weiss, ob bei uns nicht eine spezielle Konstellation besteht. Bei uns werden keine Mails über das FE empfangen oder gesendet, es ist rein dafür da OWA bereit zu stellen. Die Mails laufen über eine McAfee Apliance direkt an den BE Exchange.

Eins weiss ich auf jeden Fall, es läuft;)

Link zu diesem Kommentar
Ich weiss nicht exakt wie der Server konfiguriert ist, aber er ist definitiv nicht Mitglied der Domäne.

Ich war nicht dabei als der Exchange installiert wurde und kenne die genaue Konfiguration von diesem nicht. Wobei ich nicht weiss, ob bei uns nicht eine spezielle Konstellation besteht. Bei uns werden keine Mails über das FE empfangen oder gesendet, es ist rein dafür da OWA bereit zu stellen. Die Mails laufen über eine McAfee Apliance direkt an den BE Exchange.

Eins weiss ich auf jeden Fall, es läuft;)

 

Er ist definitiv Mitglied einer Domain. Welcher, kommt auf deine Konfig an. Jedenfalls geht Exchange ohne AD nicht. Ausnahme Exchange 2007 Edge. Wenn du nur OWA über den FE bekommst, dann ist das sicher kein FE ;) Sondern eher ein ISA als Reverse Proxy.

 

Bye

Norbert

Link zu diesem Kommentar
Er ist definitiv Mitglied einer Domain. Welcher, kommt auf deine Konfig an. Jedenfalls geht Exchange ohne AD nicht. Ausnahme Exchange 2007 Edge. Wenn du nur OWA über den FE bekommst, dann ist das sicher kein FE ;) Sondern eher ein ISA als Reverse Proxy.

 

Bye

Norbert

 

Es ist gut möglich, dass es kein FE im "klassischen" Sinne ist, aber sicher ist, dass er nicht in der Domäne ist, Exchange darauf installiert ist und er owa bereit stellt. ISA haben wir nur als Proxy für die Mitarbeiter im Einsatz. Vielleicht war der Server auch mal in der Domäne und wurde empfernt (keine Ahnung ob das geht, ist nur mal so daher gesagt...)

Link zu diesem Kommentar
Es ist gut möglich, dass es kein FE im "klassischen" Sinne ist, aber sicher ist, dass er nicht in der Domäne ist, Exchange darauf installiert ist und er owa bereit stellt. ISA haben wir nur als Proxy für die Mitarbeiter im Einsatz. Vielleicht war der Server auch mal in der Domäne und wurde empfernt (keine Ahnung ob das geht, ist nur mal so daher gesagt...)

 

Ohne Auskünfte kann ich und wahrscheinlich auch sonst niemand was sagen. Fakt ist, Exchange ohne Domain geht definitiv nicht. ISA der OWA veröffentlicht geht ohne Domain. Was bei euch steht kannst wohl nur du herausfinden...

Link zu diesem Kommentar
Ohne Auskünfte kann ich und wahrscheinlich auch sonst niemand was sagen. Fakt ist, Exchange ohne Domain geht definitiv nicht. ISA der OWA veröffentlicht geht ohne Domain. Was bei euch steht kannst wohl nur du herausfinden...

 

Schon klar, werde mir das Ding morgen mal etwas genauer anschauen und dann berichten was genau läuft.

Im Übrigen läuft ein Exchange Enterprise auf dem FE und BE. Ausserdem haben wir noch eine Exchange Entreprise Lizenz auf Vorrat :D Sprich drei EE-Lizenzen, dabei würde eine EE und eine Standard reichen. War aber vor meiner Zeit;)

Link zu diesem Kommentar
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Schreibe einen Kommentar

Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.

Gast
Auf dieses Thema antworten...

×   Du hast formatierten Text eingefügt.   Formatierung jetzt entfernen

  Only 75 emoji are allowed.

×   Dein Link wurde automatisch eingebettet.   Einbetten rückgängig machen und als Link darstellen

×   Dein vorheriger Inhalt wurde wiederhergestellt.   Editor-Fenster leeren

×   Du kannst Bilder nicht direkt einfügen. Lade Bilder hoch oder lade sie von einer URL.

×
×
  • Neu erstellen...