Huettenwirt 10 Geschrieben 26. Februar 2010 Melden Geschrieben 26. Februar 2010 Hallo zusammen, bei einem Bekannten von mir sind in der Firma folgende Ports am Router freigegeben und an den Server durchgeroutet: 25 -> OK für Exchange 47 -> Einwahl für Windows VPN oder?? 110 -> POP3 143 -> IMAP 443 -> SSL 993 -> IMAPS 1723 -> Ich denke nochmal VPN?? 12184 ->?? Ist das in Ordnung so oder ist die Konfiguration so gefährlich da evtl. Sicherheitslücken?? Vielen Dank für Eure Unterstützung!!
LukasB 10 Geschrieben 26. Februar 2010 Melden Geschrieben 26. Februar 2010 PPTP besteht aus TCP/1723 und IP-Protokoll GRE (47). TCP Port 47 wird von PPTP nicht benötigt. Nutzt du denn POP3 und IMAP zum Zugriff auf den Exchange? Im Normalfall sollte dies geschlossen sein. Selbst Macs können mittlerweile mit Entourage WSE direkt mit Exchange reden, also gibt es keinen Grund für POP3/IMAP mehr. Was du auf 12184 laufen hast - keine Ahnung.
Huettenwirt 10 Geschrieben 26. Februar 2010 Autor Melden Geschrieben 26. Februar 2010 Stimmt extern greift niemand über pop3 zu. intern schon wegen den apple mail clients.. Imap ist wegen den Blackberrys offen!
Dukel 468 Geschrieben 26. Februar 2010 Melden Geschrieben 26. Februar 2010 Nicht gesperrte und weitergeleitete Ports sind nur dann ein Problem, wenn auf dem Port ein Programm mit einer Sicherheitslücke lauscht. So pauschal kann man deswegen nicht sagen, ob das so ok ist oder nicht.
LukasB 10 Geschrieben 26. Februar 2010 Melden Geschrieben 26. Februar 2010 Blackberry brauchen kein IMAP, die kommunizieren über den BES. Entourage kann direkt mit Exchange reden, über die Exchange Web Services. (Exchange 2007 vorrausgesetzt)
scirocco790 11 Geschrieben 26. Februar 2010 Melden Geschrieben 26. Februar 2010 Pop3 und Imap/S würde ich prüfen obs echt benötigt wird. Laufen die entsprechenden Dienste auf dem Exchange/Frontend überhaupt? Der Port 12xxx wäre zu prüfen für was der gut ist. Zur Not mal mitloggen ob sich auf dem Port was tut, ansonsten dichtmachen.
Dy0nisus 10 Geschrieben 26. Februar 2010 Melden Geschrieben 26. Februar 2010 Also ich würde nur die verschlüsselten Varianten nutzen ... also imaps ...
Huettenwirt 10 Geschrieben 26. Februar 2010 Autor Melden Geschrieben 26. Februar 2010 Die Blackberrys greifen über instantmail auf den Server zu. Blackberry Enterprise Server läuft nicht...
Dukel 468 Geschrieben 26. Februar 2010 Melden Geschrieben 26. Februar 2010 Die Blackberrys greifen über instantmail auf den Server zu. Blackberry Enterprise Server läuft nicht... Wozu hat man dann Blackberries?
Huettenwirt 10 Geschrieben 26. Februar 2010 Autor Melden Geschrieben 26. Februar 2010 Weiß ich auch noch nicht... Nächster Step ;-)
nerd 28 Geschrieben 26. Februar 2010 Melden Geschrieben 26. Februar 2010 Hi, wenn man einen solchen AUfbau mit der Sicherheitsbrille anschaut, dann sieht das nciht gut aus. Grundsätzlich sollten nämlich keine keine Ports / Dienste direkt von extern nach intern geleitet werden. Entsprechender Datenverkehr sollte immer in einer DMZ proxifizert werden. Nur so erreicht man ein aus Sicherheitssicht vertretbares Level an Schutz.
LukasB 10 Geschrieben 26. Februar 2010 Melden Geschrieben 26. Februar 2010 Grundsätzlich sollten nämlich keine keine Ports / Dienste direkt von extern nach intern geleitet werden. Entsprechender Datenverkehr sollte immer in einer DMZ proxifizert werden. Nur so erreicht man ein aus Sicherheitssicht vertretbares Level an Schutz. Im Prinzip Ja, aber. In einem typischen SBS-Setup für 5-10 Nasen wird sowas meist aus Budget-Mangel nicht umgesetzt. Ein DNAT-Szenario entspricht im SBS-Fall auch den gängigen Best Practices.
Empfohlene Beiträge
Erstelle ein Benutzerkonto oder melde dich an, um zu kommentieren
Du musst ein Benutzerkonto haben, um einen Kommentar verfassen zu können
Benutzerkonto erstellen
Neues Benutzerkonto für unsere Community erstellen. Es ist einfach!
Neues Benutzerkonto erstellenAnmelden
Du hast bereits ein Benutzerkonto? Melde dich hier an.
Jetzt anmelden