Jump to content

Wie realisiert man einen sicheren OWA und OMA?


Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Empfohlene Beiträge

Hi,

 

wir haben einen Kunden der hat einen MS Windows 2003 SBS mit Exchange Server per PopConnector.

Dieser Kunde möchte jetzt mit möglichst wenig Kosten einen sicheren OWA und OMA. Also eine saubere und sichere Syncronisation mit seinem Handy Mobile 6.1 wäre wichtig.

 

Geht das ohne das man den Exchangeserver direkt ans Internet hängt?

 

Aus Sicherheitsgründen möchte der Kunde nicht das der Exchange direkt mit den Ports am Internet hängt.

 

Wo liegen eigentlich die Gefahren, wenn der Exchange den SMTP, SSL und HTTP-Port direkt mit dem Internet verbindet. Das müssen doch alle Kunden machen die entweder eine richtige MX-Anbindung, eine SSL gesicherte OWA, OMA haben machen.

 

Wie machen es Firmen die nicht 2 Server, also einen Frontend (ISA) und einen Backend (Exchange) SErver zur Verfügung haben.

 

Unser Kunde hat eine vorgeschaltet Fiewall mit Portfilterung im Einsatz und ruft nur per POPConnector die emails am. Was natürlich sehr sicher erscheint.

 

Danke..

 

mfg. Der Brian

Link zu diesem Kommentar
wir haben einen Kunden der hat einen MS Windows 2003 SBS mit Exchange Server per PopConnector.

 

Warum POPConnector? Dann bekommt sein Handy die Mails ja auch erst später. ;)

 

Dieser Kunde möchte jetzt mit möglichst wenig Kosten einen sicheren OWA und OMA. Also eine saubere und sichere Syncronisation mit seinem Handy Mobile 6.1 wäre wichtig.

 

Definiere mal "möglichst wenig Kosten" und "sauber" und "sicher".

 

Geht das ohne das man den Exchangeserver direkt ans Internet hängt?

 

Nein. Eine Lösung über VPN wäre zwar machbar, aber ist wenig praktisch.

 

 

Aus Sicherheitsgründen möchte der Kunde nicht das der Exchange direkt mit den Ports am Internet hängt.

 

Aha.

 

Wo liegen eigentlich die Gefahren, wenn der Exchange den SMTP, SSL und HTTP-Port direkt mit dem Internet verbindet. Das müssen doch alle Kunden machen die entweder eine richtige MX-Anbindung, eine SSL gesicherte OWA, OMA haben machen.

 

Mehr oder weniger korrekt. :) Wenn man es nach MS Handbuch realisiert wird ein ISA Server zur Veröffentlichung genutzt, so dass du den Exchange nicht direkt am Netz hängen hast.

 

 

Wie machen es Firmen die nicht 2 Server, also einen Frontend (ISA) und einen Backend (Exchange) SErver zur Verfügung haben.

 

Frontend und Backend hat nichts mit ISA/Exchange zu tun. FE BE sind beides Exchangeserver. Ein FE bringt dir kaum Sicherheitsgewinne.

 

 

Unser Kunde hat eine vorgeschaltet Fiewall mit Portfilterung im Einsatz und ruft nur per POPConnector die emails am. Was natürlich sehr sicher erscheint.

 

Das erscheint nur so. Solange POP im Einsatz ist, müssen wir nicht wirklich über Sicherheit reden. Denn es hapert meiner Meinung schon am Verständnis für eine korrekte Konfiguration. ;)

 

Bye

Norbert

Link zu diesem Kommentar

Hi Norbert,

 

<<<

Warum POPConnector? Dann bekommt sein Handy die Mails ja auch erst später.

<<<

Ja, das ist klar. Aber so ist die Ausgangssituation.

 

<<<

Definiere mal "möglichst wenig Kosten" und "sauber" und "sicher".

<<<

Du kennst so Kunden, die wollen das mal eben schnell konfiguriert haben. Ich denke 500,- Euro sind da das Maxium was die ausgeben wollen.

Klar sauer und sicher für 500 Euro sind fast nicht machbar. Aber fragen wir mal anders. Was kann man für 500 Euro machen?

 

<<<

Mehr oder weniger korrekt. Wenn man es nach MS Handbuch realisiert wird ein ISA Server zur Veröffentlichung genutzt, so dass du den Exchange nicht direkt am Netz hängen hast.

<<<

Ja, aber was ist denn jetzt die wirkliche Gefahr, wenn ich einen Exchange Server direkt per Portfreigabe hinter eine Hardwarefirewall hänge und diese Dienst machen lassen. (SMTP (MX-Record), SSL, HTTP, OMA, OWA)

 

<<<

Das erscheint nur so. Solange POP im Einsatz ist, müssen wir nicht wirklich über Sicherheit reden. Denn es hapert meiner Meinung schon am Verständnis für eine korrekte Konfiguration.

<<<

OK, klingt interessant. Was würdes du anders machen?

 

mfg. Der Brian

Link zu diesem Kommentar

Klar sauer und sicher für 500 Euro sind fast nicht machbar. Aber fragen wir mal anders. Was kann man für 500 Euro machen?

 

Den Router konfigurieren. ;)

 

Ja, aber was ist denn jetzt die wirkliche Gefahr, wenn ich einen Exchange Server direkt per Portfreigabe hinter eine Hardwarefirewall hänge und diese Dienst machen lassen. (SMTP (MX-Record), SSL, HTTP, OMA, OWA)

 

Ganz einfach. Der Angriffsvektor (tolles Wort) ist einfach viel größer. Du bietest an der Stelle den IIS direkt im I-Net an und mußt dich auf deine Konfiguration und MS Patches verlassen. Alles was innerhalb der HTTPS Tunnel passiert kannst du ebenfalls nicht wirklich kontrollieren (URLScan maximal). All das ginge mit einer Firewall wie dem ISA Server. Authentifikation der Nutzer am Gateway. SSL Bridging um den Traffic innerhalb des Tunnels zu überprüfen...

 

Das erscheint nur so. Solange POP im Einsatz ist, müssen wir nicht wirklich über Sicherheit reden. Denn es hapert meiner Meinung schon am Verständnis für eine korrekte Konfiguration.

<<<

OK, klingt interessant. Was würdes du anders machen?

 

Eigentlich nicht viel Interessantes. Ich wollte damit nur ausdrücken, dass ich POPConnectoren grundsätzlich für ungeeignet halte im Firmenumfeld (wenige Ausnahmen wie bspw. Migration) und deswegen eine sinnvolle Diskussion über Sicherheit mit jemandem (Kunden) der soetwas sehenden Auges als Sicherheit verkauft für aussichtslos halte ;)

Das geht schon los, dass jeder sich über Spam beschwert und Filter verlangt, die das alles raussortieren. Aber dass POPConnectoruser bspw. ideale Kandidaten als Spamabnehmer sind will selten jemand einsehen. ;)

Zusätzlich werden in nahezu allen Fällen wahrscheinlich die POP3 Kennworte und Kontennamen im Minutentakt im Klartext über die Leitung geblasen...

 

 

Bye

Norbert

Link zu diesem Kommentar

Um wirklich günstig zu bleiben, könntest Du den OWA mittels eines Apache Reverse Proxy veröffentlichen. Hierzu gibt es einige Anleitungen und FAQs im Internet (einfach mal googeln: z.B. http://www.debian-administration.org/articles/411).

 

Den Apache gibt es kostenlos, es bedarf aber etwas Zeit für die Konfiguration.

 

Aber wie Norbert schon sagte, die sicherste Lösung den Exchange bzw. den OWA zu veröffentlichen geht über einen ISA Server...

Link zu diesem Kommentar
Um wirklich günstig zu bleiben, könntest Du den OWA mittels eines Apache Reverse Proxy veröffentlichen. Hierzu gibt es einige Anleitungen und FAQs im Internet (einfach mal googeln: z.B. Debian and Apache2 as an OWA Front-end).

 

Den Apache gibt es kostenlos, es bedarf aber etwas Zeit für die Konfiguration.

 

Weil Arbeitszeit ja nie was kostet. ;)

 

Bye

Norbert

Link zu diesem Kommentar
ich sagte ja auch nur, dass der apache kostenlos ist! ;)

 

Nein du sagtest:

"Um wirklich günstig zu bleiben, könntest Du den OWA mittels eines Apache Reverse Proxy veröffentlichen."

 

Um also beides mal direkt mit einander vergleichen zu können (ISA oder Apache) braucht man für beides ein Angebot. ;)

 

Bye

Norbert

Link zu diesem Kommentar
  • 3 Wochen später...

Hi Norbert,

 

 

<<<

Du kannst es noch nie probiert haben.

<<<

Richtig...

 

<<<

Natürlich geht das. Entweder per EAS (so wie es über UMTS/GPRS usw. funktioneren würde), oder mit installiertem Outlook eben lokal.

<<<

Was meinst du mit installiertem Outlook lokal?

 

aber für Exchange Server Active Sync muß ich auf dem Exchange den entsprechenden Port öffnen. Weil dieser Dienst auf einer geschützten Verbindung (HTTPS) aufbaut. Oder?

 

Ach ich vergass zu erwähnen, das der Kunde im Terminalserver arbeitet und da ein Outlook zu verfügung hat.

 

Gibt es auch eine Sycronisation über eine Dockingstation per USB mit Exchange. Der Kunde hat früher immer sein Handy mit Outlook per Dockingstation syncronisiert. Das hätte er gerne wieder. Ist das noch irgendwie möglich?

 

Danke...

 

der Brian

Link zu diesem Kommentar

aber für Exchange Server Active Sync muß ich auf dem Exchange den entsprechenden Port öffnen.

Ja, 443. Aber da sehe ich kein Problem. Irgendwie muss ich bei jedem Mailserver einen Port aufmachen, das ist Eigenart eines jeden Servers. :confused:

 

Gibt es auch eine Sycronisation über eine Dockingstation per USB mit Exchange. Der Kunde hat früher immer sein Handy mit Outlook per Dockingstation syncronisiert. Das hätte er gerne wieder. Ist das noch irgendwie möglich?

Das geht nach wie vor. Da spricht auch eine zusätzliches "externes" ActiveSync nicht dagegen.

 

grizzly999

Link zu diesem Kommentar

hi grizzly999,

 

das ist ja klasse....

 

geht das externe Activ Sync auch in einer Terminalsession?

Der Kunde hat also Office 2007 auf dem Terminalserver und jeder Mitarbeiter arbeitet darüber. Es wäre toll wenn die Mitarbeiter auch per Dockingstation Ihr Mobile 6.1 Handy syncronisieren könnten. (o;

Und wie soll das gehen?

 

 

Der Kunde hat einwenig Angst den Port zu öffnen. Aber du hast recht irgendwie muß der Mailserver ja kommunizieren.

 

Ohne einen vorgeschalteten ISA-Server ist das doch Gefährlich oder?

 

Danke

 

Der Biran

Link zu diesem Kommentar
geht das externe Activ Sync auch in einer Terminalsession?

:confused::suspect::shock:

ActiveSync von extern: Ich mache das Handy an, verbinde mich per UMTS/GPS/Edge o.ä. mit meinem Provider und lasse es syncen.

 

Der Kunde hat also Office 2007 auf dem Terminalserver und jeder Mitarbeiter arbeitet darüber. Es wäre toll wenn die Mitarbeiter auch per Dockingstation Ihr Mobile 6.1 Handy syncronisieren könnten. (o;

Und wie soll das gehen?

Das frage mich auch. Das geht nicht. Lokal an die Arbeitsstation, dort Syncsoftware einrichten und syncen.

 

Ohne einen vorgeschalteten ISA-Server ist das doch Gefährlich oder?

Gefährlich ist relativ

 

 

 

grizzly999

Link zu diesem Kommentar
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Schreibe einen Kommentar

Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.

Gast
Auf dieses Thema antworten...

×   Du hast formatierten Text eingefügt.   Formatierung jetzt entfernen

  Only 75 emoji are allowed.

×   Dein Link wurde automatisch eingebettet.   Einbetten rückgängig machen und als Link darstellen

×   Dein vorheriger Inhalt wurde wiederhergestellt.   Editor-Fenster leeren

×   Du kannst Bilder nicht direkt einfügen. Lade Bilder hoch oder lade sie von einer URL.

×
×
  • Neu erstellen...