Push Mail Sicherheitskonzept?

[testosteron 10]

Hallo!

 

Ich habe auf dem Exchange den Push Mail bzw. OWA Service zur Verfügung gestellt. Funktioniert soweit auch.

 

Jedoch muss ich in der Firewall ja Port 443 öffnen.

Es ist also nun möglich von extern auf den IIS zuzugreifen bzw. die darauf laufenden Webseiten zu öffnen.

 

Meine Idee war es nun eine zweite Netzwerkkarte in den Server zu bauen mit einer eigenständigen IP und NUR die OWA Webseite dieser IP Zuzuordnen. Die Portweiterleitung im Router würde ich dann auch auf diese IP einrichten.

 

Ist dies eine übertriebene Sicherheitsmaßnahme, oder wäre es sinnig?

 

Gruß!

[Dukel 437]

Wie wärs mit einer belibigen Firewall (z.B. ISA) davor?

[testosteron 10]

Wie wärs mit einer belibigen Firewall (z.B. ISA) davor?

 

Eine Firewall (IPCop) ist ja davor. Aber der Port 443 ist ja auf den Server weitergeleitet....

Gruß!

[Stephan Betken 43]

Bei einer Portweiterleitung über eine "normale" Firewall finden direkte Zugriffe auf den IIS statt (genauso wie bei einer zusätzlichen Netzwerkkarte). Von daher ist die richtige Lösung ein Reverse-Proxy.

[testosteron 10]

Von daher ist die richtige Lösung ein Reverse-Proxy.

 

Steht das in einer Relation, oder ist es übertrieben viel Aufwand für ein geringes Risiko?

 

Gruß!

[Stephan Betken 43]

Vielleicht kann die IPcop die Funktion ja wie gewünscht bereitstellen (kann ich leider nicht sagen). Direkte Zugriffe würde ich auf jeden Fall vermeiden.

[testosteron 10]

OK, danke für die Info. Ich werde mich mal schlau machen!

Gruß!

[NorbertFe 1.837]

Steht das in einer Relation, oder ist es übertrieben viel Aufwand für ein geringes Risiko?

 

Gruß!

 

Die Fragen müßtest du anhand der geforderten Sicherheit selbst beantworten. ;)

 

Ein Reverseproxy würde die direkte Verbindung von Extern und internem Server verhindern. Wenn es der ISA Server 2006 wäre, sind damit dann SSL Brigding und Pre-Authentification möglich. Ob du das alles brauchst, mußt du wissen, bzw. definieren.

 

Bye

Norbert

[testosteron 10]

Dieser Post ist überholt! Bitte eins unten drunter weiterlesen!

 

OK, ich mach hier bei dem Thema mal weiter :)

 

Ich habe nun mal im IPCop Forum gelesen. Da hatte einer schon einmal dieses "Problem" (ich hoffe ich darf den Link hier posten).

Es Endete im Nichts. Nur so viel weiß ich aus dem Post:

Es können nicht alle Clients die ActiveSync machen über einen Reverse Proxy arbeiten, und es sei außerdem nicht gut einen solchen auf die Firewall (also in dem Fall IPCop) zu installieren. :rolleyes:

 

Meine Idee war nun: Alles über SSL, Identifizierung über Zertifikate und nur OWA erreichbar (also nicht meine Testwebseiten usw.)

 

Soweit so gut. Ich habe nun heute den halben Tag damit verbracht mich mit dem Thema IIS + Client Zertifikate zu beschäftigen, bekomme es aber nicht hin.

EDIT: Folgendes gilt NUR für virtuelle Verzeichnisse. Wenn ich das in der Root Webseite mache geht es!

Als erstes habe ich eine neue Webseite (Kopie der "Standardwebseite") angelegt und es so abgeändert dass auf dieser nur OWA läuft (By the way: Kann man OWA nicht einfach auch als normale Webseite (webmailer.domain.local) installieren, ohne noch ein extra virtuelles Verzeichnis zu haben?)

Dann habe ich ein Zertifikat für die Webseite angelegt und sie über https://webmailer.domain aufgerufen. Es kam der Hinweis dass es sich um kein gültiges Zertifikat handelt.

Hab dann das Zertifikat des Servers bzw. der Zertifikatstelle auf meinem PC unter Vertrauenswürdige Zertifikatstellen eingefügt und es kam keine Warnung mehr! :D

 

Im nächsten Schritt habe ich dann gesagt "Clientzertifikat voraussetzen". Nun konnte ich die Webseite nicht mehr aufrufen, da ich ja kein Zertifikat habe. Soweit OK! :D

Nun wieder auf http://server/CertServ und ein "Benutzer Zertifikat" erstellt und installiert. Trotzdem kann ich die Webseite nicht aufrufen. :confused:

 

Was mach ich falsch? :(

 

Gruß!

bearbeitet 5. Oktober 2009 von testosteron
bin einen Schritt weiter!

[testosteron 10]

Nun bin ich einen Schritt weiter!

 

Hab nun folgendes gemacht:

 

1. Neue Webseite mit dem Name "WebMailer" eingerichtet, die unter Port 443 erreichbar ist.
   (Somit sind die Testwebseiten von mir nicht übers Internet erreichbar)
   
2. Microsoft-Server-ActiveSync auf der Standardwebsite gelöscht.
   (Remove-ActiveSyncVirtualDirectory Microsoft-Server-ActiveSync (Standardwebsite))
   
3. Microsoft-Server-ActiveSync auf der neuen Webseite "WebMailer" installiert.
   New-ActiveSyncVirtualDirectory -WebSiteName "WebMailer"
   

 

Warum das ganze? Nun, ich wollte auf jeden Fall verhindern dass irgendwelche anderen Dienste im Internet erreichbar sind. Ich hoffe so habe ich es geschafft!????? :confused:

 

Bei dem Zustand klappt Sync bzw. PushMail. Aber nun gehts ja weiter:

 

In der Exchange Verwaltungskonsole unter Serverkonfiguration -> Clientzugriff -> Exchange ActiveSync -> Eigenschafften -> Authentifizierung habe ich nur die Option "Zertifikat anfordern" aktiviert.

Dann im IIS unter Eigenschaften -> Verzeichnissicherheit -> Authentifizierung alles deaktiviert.

 

Nun kommt beim Sync "Anmeldeinformationen für Exchange Server berichtigen".

 

Erst wenn ich unter Verzeichnissicherheit -> Sichere Kommunikation -> Bearbeiten -> Zuordnung von Clientzertifikaten aktiviere und richtig einstelle geht es.

 

Ich dachte es reicht wenn ich ein Zertifikat habe bzw. benötige diese Option nicht???? :confused:

 

Gruß!

bearbeitet 5. Oktober 2009 von testosteron

[NorbertFe 1.837]

Die Frage nach "Ist das sicher, was du da hinkonfigurierst?" kannst du hinterher hoffentlich mit Ja beantworten. ;)

 

Bye

Norbert

[testosteron 10]

Na ich hab halt immer etwas Bedenken, da ich ja einen Server im Grünen Netz erreichbar mache.

 

Aber wie ist das denn nun mit den Zertifikaten? Hab ich da was falsch gemacht, oder muss man die einzelnen Zertifikate manuell den Benutzern zuordnen?

 

Grüße!

[NorbertFe 1.837]

Na ich hab halt immer etwas Bedenken, da ich ja einen Server im Grünen Netz erreichbar mache.

 

Das ist ja auch ok. Nur wenn du jetzt mit Infos aus diversen Foren "irgendeinen" Reverseproxy nutzt ohne das Ding zu kennen geschweige denn Aussagen über die Produktsicherheit treffen zu können, sind solche Aktionen eher "sinnfrei", da du hinterher auch nicht behaupten kannst, sicherer zu sein als vorher. ;)

 

Aber wie ist das denn nun mit den Zertifikaten? Hab ich da was falsch gemacht, oder muss man die einzelnen Zertifikate manuell den Benutzern zuordnen?

 

Nutzt du denn Zertifikate auf den Handys?

 

Bye

Norbert

[testosteron 10]

Nur wenn du jetzt mit Infos aus diversen Foren "irgendeinen" Reverseproxy nutzt ohne das Ding zu kennen geschweige denn Aussagen über die Produktsicherheit treffen zu können, sind solche Aktionen eher "sinnfrei", da du hinterher auch nicht behaupten kannst, sicherer zu sein als vorher. ;)

Stimmt schon, aber ich will mich ja drüber schlau machen. Muss nur halt erst einmal einen Ansatz haben nach dem ich vorgehen kann.

Hab schon den Ansatz URL Filter mal gelesen... Wobei ich das ja nun mehr oder weniger anders umgesetzt habe ;)

 

Nutzt du denn Zertifikate auf den Handys?

 

Ja, eine per Zertifikat geschützte Webseite (kein Virtuelles Verzeichnis) kann ich aufrufen wenn das Zertifikat installiert ist.

 

Gruß

 

Christian

[NorbertFe 1.837]

Hab schon den Ansatz URL Filter mal gelesen... Wobei ich das ja nun mehr oder weniger anders umgesetzt habe ;)

 

Du willst mich nicht verstehen, oder?

 

Ja, eine per Zertifikat geschützte Webseite (kein Virtuelles Verzeichnis) kann ich aufrufen wenn das Zertifikat installiert ist.

 

Ein Webserverzertifikat ist dazu da, den Webserver gegenüber anfragenden Clients zu beglaubigen. Dein Client braucht dazu nur das entsprechende Zertifikat der ausstellenden CA des Webserverzertifikats. Also wäre jetzt die Frage ob du mit Clientzertifikaten auf den Mobiles arbeitest.

 

Bye

Norbert