Freie Ports am Router.. Sicherheitslücke?

[Huettenwirt 10]

Hallo zusammen,

 

bei einem Bekannten von mir sind in der Firma folgende Ports am Router freigegeben und an den Server durchgeroutet:

 

25 -> OK für Exchange

47 -> Einwahl für Windows VPN oder??

110 -> POP3

143 -> IMAP

443 -> SSL

993 -> IMAPS

1723 -> Ich denke nochmal VPN??

12184 ->??

 

Ist das in Ordnung so oder ist die Konfiguration so gefährlich da evtl. Sicherheitslücken??

 

Vielen Dank für Eure Unterstützung!!

[LukasB 10]

PPTP besteht aus TCP/1723 und IP-Protokoll GRE (47). TCP Port 47 wird von PPTP nicht benötigt.

 

Nutzt du denn POP3 und IMAP zum Zugriff auf den Exchange? Im Normalfall sollte dies geschlossen sein. Selbst Macs können mittlerweile mit Entourage WSE direkt mit Exchange reden, also gibt es keinen Grund für POP3/IMAP mehr.

 

Was du auf 12184 laufen hast - keine Ahnung.

[Huettenwirt 10]

Stimmt extern greift niemand über pop3 zu. intern schon wegen den apple mail clients..

 

Imap ist wegen den Blackberrys offen!

[Dukel 451]

Nicht gesperrte und weitergeleitete Ports sind nur dann ein Problem, wenn auf dem Port ein Programm mit einer Sicherheitslücke lauscht. So pauschal kann man deswegen nicht sagen, ob das so ok ist oder nicht.

[LukasB 10]

Blackberry brauchen kein IMAP, die kommunizieren über den BES.

 

Entourage kann direkt mit Exchange reden, über die Exchange Web Services. (Exchange 2007 vorrausgesetzt)

[scirocco790 11]

Pop3 und Imap/S würde ich prüfen obs echt benötigt wird. Laufen die entsprechenden Dienste auf dem Exchange/Frontend überhaupt?

Der Port 12xxx wäre zu prüfen für was der gut ist. Zur Not mal mitloggen ob sich auf dem Port was tut, ansonsten dichtmachen.

[Dy0nisus 10]

Also ich würde nur die verschlüsselten Varianten nutzen ... also imaps ...

[Huettenwirt 10]

Die Blackberrys greifen über instantmail auf den Server zu.

 

Blackberry Enterprise Server läuft nicht...

[Dukel 451]

Die Blackberrys greifen über instantmail auf den Server zu.

 

Blackberry Enterprise Server läuft nicht...

 

Wozu hat man dann Blackberries?

[Huettenwirt 10]

Weiß ich auch noch nicht... Nächster Step ;-)

[nerd 28]

Hi,

 

wenn man einen solchen AUfbau mit der Sicherheitsbrille anschaut, dann sieht das nciht gut aus. Grundsätzlich sollten nämlich keine keine Ports / Dienste direkt von extern nach intern geleitet werden. Entsprechender Datenverkehr sollte immer in einer DMZ proxifizert werden. Nur so erreicht man ein aus Sicherheitssicht vertretbares Level an Schutz.

[LukasB 10]

Grundsätzlich sollten nämlich keine keine Ports / Dienste direkt von extern nach intern geleitet werden. Entsprechender Datenverkehr sollte immer in einer DMZ proxifizert werden. Nur so erreicht man ein aus Sicherheitssicht vertretbares Level an Schutz.

 

Im Prinzip Ja, aber.

 

In einem typischen SBS-Setup für 5-10 Nasen wird sowas meist aus Budget-Mangel nicht umgesetzt. Ein DNAT-Szenario entspricht im SBS-Fall auch den gängigen Best Practices.