bits 10 Geschrieben 27. Mai 2008 Melden Geschrieben 27. Mai 2008 Hallo Experten, Ich weiss, dass die optimale Lösung wäre ein ISA Server davorzuschalten. :rolleyes: Würdet Ihr überhaupt Euch trauen, einfach ein Portforwarding auf Port 443 direkt auf den Server zu machen? :shock: Bin da ein bisschen skeptisch. Falls ich es doch so machen sollte, auf was würdet Ihr achten. Gut, ich kann die Kontensperrdauer modifizieren etc. Was ich auch könnte wäre, über die Fortigate zuerst einen SSL VPN zu öffnen und dann zu connecten. Hmm, cooler wäre es direkt. Ohne erst eine VPN Session over SSL zu machen. Tips für eine einigermassen sichere Implementierung? :wink2:
nerd 28 Geschrieben 27. Mai 2008 Melden Geschrieben 27. Mai 2008 Hi, wenn du eine tatsächlich sichere Lösung haben möchtest, dann solltest du auf keinen Fall einfach ein Portforwarding aktivieren. Das ist ein security nogo... Bietet deine Firewall zufällig eine reverse proxy Funktion? Damit könntest du deine FW zum https Endpunkt machen und von dieser mit einer neuen Verbindung auf den OWA gehen.
bits 10 Geschrieben 27. Mai 2008 Autor Melden Geschrieben 27. Mai 2008 Hi Nerd :) Okey, hmm, grr, manno, muss ich unbedingt ein ISA aufsetzen? :rolleyes: Niet, denke nicht dass Reverse Proxy geht auf der Fortigate 50B.... :shock: Habe zumindest nichts davon gelesen im Manual... Naja, dann werde ich halt VPN over SSL verwenden.. :( Sagen wir mal so, mache ich ein normales Portforwarding, was könnte passieren, wenn ich die Sicherheitsrichtlinien so einstelle, dass nach 3 falschen Eingaben das Konto gesperrt ist, bis ich es wieder aktiviere?? :suspect:
djmaker 95 Geschrieben 28. Mai 2008 Melden Geschrieben 28. Mai 2008 Gegenfrage: Wie kannst Du verhindern das jemand extern seine Domänenanmeldedaten im IE speichert und sich einen Computervirus einfängt?
nerd 28 Geschrieben 28. Mai 2008 Melden Geschrieben 28. Mai 2008 und um auf deine Frage an sich noch zu kommen. Das "einfachste" wäre ein DoS Angriff bei dem am Schluß alle deine Konten gesperrt sind (es sei denn ein Versuch war erfolgreich ;)). Das Grundsätzliche Problem bei solchen Konstrukten ist auch, dass der Netzwerkverkehr direkt in dein Internes Netzwerk geht. Damit entstehen potentielle Angriffsmöglichkeiten die zum Ziel haben auch andere Host / Ports in deinem Netz anzusprechen.
bits 10 Geschrieben 28. Mai 2008 Autor Melden Geschrieben 28. Mai 2008 @Nerd: Weisst, ich kenne Firmen die das mit Portweiterleitung nutzen und sagen, sie hätten kaum Probleme damit.. Ich weiss nicht, ich hätte keine nerven dafür.. Aber eben die einen machen es so die anderen schalten einen ISA davor etc.. Ich nutze wohl lieber VPN over SSL ;)
nerd 28 Geschrieben 28. Mai 2008 Melden Geschrieben 28. Mai 2008 Sicherheit ist immer so eine Sache - wenn man allerdings nichts dafuer tut, dann ist das wie Lotto spielen und das die quoten gegen einen stehen... ... und keine Probleme zu haben ist auch nur eine sehr schwache Aussage - wuerden die Firmen bemerken, wenn jemand in ihrem Netz Daten klauen wuerde? In aller Regel sparen solche Firmen naemlich nicht nur ein Firewalls sondern auch am Monitoring...
bits 10 Geschrieben 28. Mai 2008 Autor Melden Geschrieben 28. Mai 2008 @nerd: Stimme Dir voll zu. Wobei mit keine Probleme zu haben meinten die, dass mit dem gehackt werden.. ;) Apropos, meine Fortinet 50B kann User Authentifizieren. Somit habe ich nun ne Rule erstellt die von 07:00 - 18:00 Uhr aktiv ist und gleichzeitig, bevor auf die OWA Site gelange, mich zuerst Authentifizieren muss an der Firewall. Erst dann lässt mich die Firewall durch. Feines Feature nicht Nerd? ;) Somit bin ich wieder auf der sicheren Seite oder? ;)
LukasB 10 Geschrieben 28. Mai 2008 Melden Geschrieben 28. Mai 2008 Wir haben das bei fast all unseren SBS-Kunden so im Einsatz. Manchmal ist halt nicht immer wirtschaftlich in kleineren Unternehmungen. Negative Erfahrungen habe ich bisjetzt noch nicht gesamt - Auch sporadisches Log-Durchgucken zeigt kaum Brute-Force Angriffe.
bits 10 Geschrieben 28. Mai 2008 Autor Melden Geschrieben 28. Mai 2008 @Lukas: Was habt Ihr auch so? Mit der Fortinet und Pre User Authentifizierung auf der Firewall? Oder Portforwarding?? :suspect:
LukasB 10 Geschrieben 28. Mai 2008 Melden Geschrieben 28. Mai 2008 @Lukas: Was habt Ihr auch so? Mit der Fortinet und Pre User Authentifizierung auf der Firewall? Oder Portforwarding?? :suspect: Sorry, letzteres. Nur Portforwarding.
bits 10 Geschrieben 29. Mai 2008 Autor Melden Geschrieben 29. Mai 2008 Ahh ok, und hattest damit noch nie Probleme?? Find ich cool.. :)
LukasB 10 Geschrieben 29. Mai 2008 Melden Geschrieben 29. Mai 2008 Ahh ok, und hattest damit noch nie Probleme?? Find ich cool.. :) SBS-Kunden sind halt was spezielles - der typische Schweizer Small Business Inhaber gibt nicht gerne Zeug aus der Hand (Hosted Exchange etc.), will natürlich am liebsten garkein Geld für IT ausgeben, aber am Ende natürlich trotzdem alle Features haben. Das führt dann halt zu technischen Kompromissen, die üblicherweise garnichtmal so schlecht funktionieren. Die Leute wollen sich dann meistens selbst um alles kümmern (inklusive Softwarewartung, Backupchecks), und machen das meistens gewissenhafter als der typische KMU-IT-Angestellte. Eigentlich schlecht für uns als Dienstleiser ;)
nerd 28 Geschrieben 29. Mai 2008 Melden Geschrieben 29. Mai 2008 ... aus security Sicht ist das aber kein guter Aufbau. Aber auf security legen leider die wenigsten KMU's Wert - bis mal etwas passiert und die Jungs merken wie stark sie von ihrem Server abhängig sind...
Empfohlene Beiträge
Erstelle ein Benutzerkonto oder melde dich an, um zu kommentieren
Du musst ein Benutzerkonto haben, um einen Kommentar verfassen zu können
Benutzerkonto erstellen
Neues Benutzerkonto für unsere Community erstellen. Es ist einfach!
Neues Benutzerkonto erstellenAnmelden
Du hast bereits ein Benutzerkonto? Melde dich hier an.
Jetzt anmelden