brianit 10 Geschrieben 10. Februar 2009 Melden Teilen Geschrieben 10. Februar 2009 Hi, wir haben einen Kunden der hat einen MS Windows 2003 SBS mit Exchange Server per PopConnector. Dieser Kunde möchte jetzt mit möglichst wenig Kosten einen sicheren OWA und OMA. Also eine saubere und sichere Syncronisation mit seinem Handy Mobile 6.1 wäre wichtig. Geht das ohne das man den Exchangeserver direkt ans Internet hängt? Aus Sicherheitsgründen möchte der Kunde nicht das der Exchange direkt mit den Ports am Internet hängt. Wo liegen eigentlich die Gefahren, wenn der Exchange den SMTP, SSL und HTTP-Port direkt mit dem Internet verbindet. Das müssen doch alle Kunden machen die entweder eine richtige MX-Anbindung, eine SSL gesicherte OWA, OMA haben machen. Wie machen es Firmen die nicht 2 Server, also einen Frontend (ISA) und einen Backend (Exchange) SErver zur Verfügung haben. Unser Kunde hat eine vorgeschaltet Fiewall mit Portfilterung im Einsatz und ruft nur per POPConnector die emails am. Was natürlich sehr sicher erscheint. Danke.. mfg. Der Brian Zitieren Link zu diesem Kommentar
NorbertFe 1.809 Geschrieben 10. Februar 2009 Melden Teilen Geschrieben 10. Februar 2009 wir haben einen Kunden der hat einen MS Windows 2003 SBS mit Exchange Server per PopConnector. Warum POPConnector? Dann bekommt sein Handy die Mails ja auch erst später. ;) Dieser Kunde möchte jetzt mit möglichst wenig Kosten einen sicheren OWA und OMA. Also eine saubere und sichere Syncronisation mit seinem Handy Mobile 6.1 wäre wichtig. Definiere mal "möglichst wenig Kosten" und "sauber" und "sicher". Geht das ohne das man den Exchangeserver direkt ans Internet hängt? Nein. Eine Lösung über VPN wäre zwar machbar, aber ist wenig praktisch. Aus Sicherheitsgründen möchte der Kunde nicht das der Exchange direkt mit den Ports am Internet hängt. Aha. Wo liegen eigentlich die Gefahren, wenn der Exchange den SMTP, SSL und HTTP-Port direkt mit dem Internet verbindet. Das müssen doch alle Kunden machen die entweder eine richtige MX-Anbindung, eine SSL gesicherte OWA, OMA haben machen. Mehr oder weniger korrekt. :) Wenn man es nach MS Handbuch realisiert wird ein ISA Server zur Veröffentlichung genutzt, so dass du den Exchange nicht direkt am Netz hängen hast. Wie machen es Firmen die nicht 2 Server, also einen Frontend (ISA) und einen Backend (Exchange) SErver zur Verfügung haben. Frontend und Backend hat nichts mit ISA/Exchange zu tun. FE BE sind beides Exchangeserver. Ein FE bringt dir kaum Sicherheitsgewinne. Unser Kunde hat eine vorgeschaltet Fiewall mit Portfilterung im Einsatz und ruft nur per POPConnector die emails am. Was natürlich sehr sicher erscheint. Das erscheint nur so. Solange POP im Einsatz ist, müssen wir nicht wirklich über Sicherheit reden. Denn es hapert meiner Meinung schon am Verständnis für eine korrekte Konfiguration. ;) Bye Norbert Zitieren Link zu diesem Kommentar
brianit 10 Geschrieben 10. Februar 2009 Autor Melden Teilen Geschrieben 10. Februar 2009 Hi Norbert, <<< Warum POPConnector? Dann bekommt sein Handy die Mails ja auch erst später. <<< Ja, das ist klar. Aber so ist die Ausgangssituation. <<< Definiere mal "möglichst wenig Kosten" und "sauber" und "sicher". <<< Du kennst so Kunden, die wollen das mal eben schnell konfiguriert haben. Ich denke 500,- Euro sind da das Maxium was die ausgeben wollen. Klar sauer und sicher für 500 Euro sind fast nicht machbar. Aber fragen wir mal anders. Was kann man für 500 Euro machen? <<< Mehr oder weniger korrekt. Wenn man es nach MS Handbuch realisiert wird ein ISA Server zur Veröffentlichung genutzt, so dass du den Exchange nicht direkt am Netz hängen hast. <<< Ja, aber was ist denn jetzt die wirkliche Gefahr, wenn ich einen Exchange Server direkt per Portfreigabe hinter eine Hardwarefirewall hänge und diese Dienst machen lassen. (SMTP (MX-Record), SSL, HTTP, OMA, OWA) <<< Das erscheint nur so. Solange POP im Einsatz ist, müssen wir nicht wirklich über Sicherheit reden. Denn es hapert meiner Meinung schon am Verständnis für eine korrekte Konfiguration. <<< OK, klingt interessant. Was würdes du anders machen? mfg. Der Brian Zitieren Link zu diesem Kommentar
NorbertFe 1.809 Geschrieben 10. Februar 2009 Melden Teilen Geschrieben 10. Februar 2009 Klar sauer und sicher für 500 Euro sind fast nicht machbar. Aber fragen wir mal anders. Was kann man für 500 Euro machen? Den Router konfigurieren. ;) Ja, aber was ist denn jetzt die wirkliche Gefahr, wenn ich einen Exchange Server direkt per Portfreigabe hinter eine Hardwarefirewall hänge und diese Dienst machen lassen. (SMTP (MX-Record), SSL, HTTP, OMA, OWA) Ganz einfach. Der Angriffsvektor (tolles Wort) ist einfach viel größer. Du bietest an der Stelle den IIS direkt im I-Net an und mußt dich auf deine Konfiguration und MS Patches verlassen. Alles was innerhalb der HTTPS Tunnel passiert kannst du ebenfalls nicht wirklich kontrollieren (URLScan maximal). All das ginge mit einer Firewall wie dem ISA Server. Authentifikation der Nutzer am Gateway. SSL Bridging um den Traffic innerhalb des Tunnels zu überprüfen... Das erscheint nur so. Solange POP im Einsatz ist, müssen wir nicht wirklich über Sicherheit reden. Denn es hapert meiner Meinung schon am Verständnis für eine korrekte Konfiguration. <<< OK, klingt interessant. Was würdes du anders machen? Eigentlich nicht viel Interessantes. Ich wollte damit nur ausdrücken, dass ich POPConnectoren grundsätzlich für ungeeignet halte im Firmenumfeld (wenige Ausnahmen wie bspw. Migration) und deswegen eine sinnvolle Diskussion über Sicherheit mit jemandem (Kunden) der soetwas sehenden Auges als Sicherheit verkauft für aussichtslos halte ;) Das geht schon los, dass jeder sich über Spam beschwert und Filter verlangt, die das alles raussortieren. Aber dass POPConnectoruser bspw. ideale Kandidaten als Spamabnehmer sind will selten jemand einsehen. ;) Zusätzlich werden in nahezu allen Fällen wahrscheinlich die POP3 Kennworte und Kontennamen im Minutentakt im Klartext über die Leitung geblasen... Bye Norbert Zitieren Link zu diesem Kommentar
Vestax 10 Geschrieben 11. Februar 2009 Melden Teilen Geschrieben 11. Februar 2009 Um wirklich günstig zu bleiben, könntest Du den OWA mittels eines Apache Reverse Proxy veröffentlichen. Hierzu gibt es einige Anleitungen und FAQs im Internet (einfach mal googeln: z.B. http://www.debian-administration.org/articles/411). Den Apache gibt es kostenlos, es bedarf aber etwas Zeit für die Konfiguration. Aber wie Norbert schon sagte, die sicherste Lösung den Exchange bzw. den OWA zu veröffentlichen geht über einen ISA Server... Zitieren Link zu diesem Kommentar
NorbertFe 1.809 Geschrieben 11. Februar 2009 Melden Teilen Geschrieben 11. Februar 2009 Um wirklich günstig zu bleiben, könntest Du den OWA mittels eines Apache Reverse Proxy veröffentlichen. Hierzu gibt es einige Anleitungen und FAQs im Internet (einfach mal googeln: z.B. Debian and Apache2 as an OWA Front-end). Den Apache gibt es kostenlos, es bedarf aber etwas Zeit für die Konfiguration. Weil Arbeitszeit ja nie was kostet. ;) Bye Norbert Zitieren Link zu diesem Kommentar
Vestax 10 Geschrieben 11. Februar 2009 Melden Teilen Geschrieben 11. Februar 2009 Weil Arbeitszeit ja nie was kostet. ;) Bye Norbert ich sagte ja auch nur, dass der apache kostenlos ist! ;) Zitieren Link zu diesem Kommentar
NorbertFe 1.809 Geschrieben 11. Februar 2009 Melden Teilen Geschrieben 11. Februar 2009 ich sagte ja auch nur, dass der apache kostenlos ist! ;) Nein du sagtest: "Um wirklich günstig zu bleiben, könntest Du den OWA mittels eines Apache Reverse Proxy veröffentlichen." Um also beides mal direkt mit einander vergleichen zu können (ISA oder Apache) braucht man für beides ein Angebot. ;) Bye Norbert Zitieren Link zu diesem Kommentar
brianit 10 Geschrieben 26. Februar 2009 Autor Melden Teilen Geschrieben 26. Februar 2009 Gibt es eine Möglichkeit die Daten (Kalender, Mail, Kontakte,Aufgaben,etc.) des Exchangeserver per USB ActivSync auf ein MS Mobile 6.1 Geräte zu übertragen. So wie an einem PC mit Outlook und ActivSync? Bestimmmt nicht oder? Wollte einfach mal alle Möglichkeiten ausfragen... (o; Danke... der Brian Zitieren Link zu diesem Kommentar
NorbertFe 1.809 Geschrieben 26. Februar 2009 Melden Teilen Geschrieben 26. Februar 2009 Du kannst es noch nie probiert haben. ;) Natürlich geht das. Entweder per EAS (so wie es über UMTS/GPRS usw. funktioneren würde), oder mit installiertem Outlook eben lokal. Bye Norbert Zitieren Link zu diesem Kommentar
brianit 10 Geschrieben 27. Februar 2009 Autor Melden Teilen Geschrieben 27. Februar 2009 Hi Norbert, <<< Du kannst es noch nie probiert haben. <<< Richtig... <<< Natürlich geht das. Entweder per EAS (so wie es über UMTS/GPRS usw. funktioneren würde), oder mit installiertem Outlook eben lokal. <<< Was meinst du mit installiertem Outlook lokal? aber für Exchange Server Active Sync muß ich auf dem Exchange den entsprechenden Port öffnen. Weil dieser Dienst auf einer geschützten Verbindung (HTTPS) aufbaut. Oder? Ach ich vergass zu erwähnen, das der Kunde im Terminalserver arbeitet und da ein Outlook zu verfügung hat. Gibt es auch eine Sycronisation über eine Dockingstation per USB mit Exchange. Der Kunde hat früher immer sein Handy mit Outlook per Dockingstation syncronisiert. Das hätte er gerne wieder. Ist das noch irgendwie möglich? Danke... der Brian Zitieren Link zu diesem Kommentar
grizzly999 11 Geschrieben 27. Februar 2009 Melden Teilen Geschrieben 27. Februar 2009 aber für Exchange Server Active Sync muß ich auf dem Exchange den entsprechenden Port öffnen. Ja, 443. Aber da sehe ich kein Problem. Irgendwie muss ich bei jedem Mailserver einen Port aufmachen, das ist Eigenart eines jeden Servers. :confused: Gibt es auch eine Sycronisation über eine Dockingstation per USB mit Exchange. Der Kunde hat früher immer sein Handy mit Outlook per Dockingstation syncronisiert. Das hätte er gerne wieder. Ist das noch irgendwie möglich? Das geht nach wie vor. Da spricht auch eine zusätzliches "externes" ActiveSync nicht dagegen. grizzly999 Zitieren Link zu diesem Kommentar
brianit 10 Geschrieben 27. Februar 2009 Autor Melden Teilen Geschrieben 27. Februar 2009 hi grizzly999, das ist ja klasse.... geht das externe Activ Sync auch in einer Terminalsession? Der Kunde hat also Office 2007 auf dem Terminalserver und jeder Mitarbeiter arbeitet darüber. Es wäre toll wenn die Mitarbeiter auch per Dockingstation Ihr Mobile 6.1 Handy syncronisieren könnten. (o; Und wie soll das gehen? Der Kunde hat einwenig Angst den Port zu öffnen. Aber du hast recht irgendwie muß der Mailserver ja kommunizieren. Ohne einen vorgeschalteten ISA-Server ist das doch Gefährlich oder? Danke Der Biran Zitieren Link zu diesem Kommentar
grizzly999 11 Geschrieben 27. Februar 2009 Melden Teilen Geschrieben 27. Februar 2009 geht das externe Activ Sync auch in einer Terminalsession? :confused::suspect::shock: ActiveSync von extern: Ich mache das Handy an, verbinde mich per UMTS/GPS/Edge o.ä. mit meinem Provider und lasse es syncen. Der Kunde hat also Office 2007 auf dem Terminalserver und jeder Mitarbeiter arbeitet darüber. Es wäre toll wenn die Mitarbeiter auch per Dockingstation Ihr Mobile 6.1 Handy syncronisieren könnten. (o;Und wie soll das gehen? Das frage mich auch. Das geht nicht. Lokal an die Arbeitsstation, dort Syncsoftware einrichten und syncen. Ohne einen vorgeschalteten ISA-Server ist das doch Gefährlich oder? Gefährlich ist relativ grizzly999 Zitieren Link zu diesem Kommentar
brianit 10 Geschrieben 27. Februar 2009 Autor Melden Teilen Geschrieben 27. Februar 2009 hi grizzly999, <<< Ohne einen vorgeschalteten ISA-Server ist das doch Gefährlich oder? Gefährlich ist relativ <<< Nur mal für meine Statistik. Wie machen es denn die meisten Kunden? Port 443 auf und los oder? Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.