Jump to content

SBS 2011 Internetanbindung von Exchange und OWA


Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Empfohlene Beiträge

Hallo zusammen, dies ist mein erster Beitrag hier im Forum :).

 

Ich habe einen Small Business Server 2011 Standard und möchte den Exchange 2010 für den externen Mailverkehr nutzen. Desweiteren möchte ich den externen Zugriff auf OWA herstellen.

 

Da der SBS ja auch den Zugriff auf die PCs im LAN über eine Weboberfläche ermöglicht, stellt sich mir die Frage, wie ich den SBS möglichst sicher mit dem Internet verbinden kann, ohne dass jemand Zugriff auf das LAN durch unerlaubten Zugriff (Hack etc.) bekommt. Sollte ich den Server in eine DMZ stellen? Oder vielleicht den Zugriff auf OWA nur über VPN zulassen?

 

Denn einfach nur die benötigten Ports am DSL-Router freizugeben erscheint mir nicht sicher genug.

 

Die Konfiguration des SBS ist für mich kein Problem, ich stehe lediglich noch vor dem Problem der externen sicheren Anbindung.

 

Ich würde mich über eure Hilfe sehr freuen :).

 

PS: Es handelt sich um ein Büro mit 5 PCs und es ist eine ganz normale Fritz!Box vorhanden. Die IP-Adresse von der Telekom ist fest. Evtl. benötige ich weiteres Netzwerk-Equipment?

Link zu diesem Kommentar

Ich kann dir sagen, ich stand vor dem gleichen Problem.

 

Meine Chefs wollten Push mails auch von außen bekommen, sprich, über iPhones.

 

Da diese Dinger VPN verbindungen sofort trennen, wenn man das Display ausschaltet, ist die Option VPN leider schonmal ein NoGo. (Außer du verbindest nur laptops, oder Push Mails sind nicht gefordert!)

 

Auf deinem SBS läuft denke ich mal exchange, AD, DHCP, DNS, Sharepoint und etliche andere server, habe ich recht?

 

Prinzipiell ist jeder Port, der nach innen geöffnet wird ein Sicherheitsrisiko.

 

Zwickmühle.

 

port 443 ist Notwendig. Wenn du den freigibst, funktioniert OWA.

Da du eine feste IP hast, sollte der Zugriff kein Problem sein!

 

wenn du noch andere Server, z.B. ERP systeme oder dergleichen hast, dann schau, dass du die vom exchange durch eine Firewall trennst

 

Ich würde dir eine ordentliche Firewall ans Herz legen. Am besten 3 Interfaces min.

eth0 = Fritzbox, eth1 = SBS mit exchange, eth2 = restliches Netz

Astaro, Gateprotect, Sonicwall, Watchguard etc

Link zu diesem Kommentar

Ja, genau das ist das Problem, da der Exchange auf dem SBS mit drauf ist.

 

Gibst du den Port für OWA frei, dann gibst du den Port für den gesamten SBS frei.

 

Wenn jemand darüber auf den Exchange kommt, hat er automatisch auch den SBS geknackt.

 

Eigentlich sollte man den Mailserver, wenn er von außen erreichbar sein soll, separat aufsetzen und in eine DMZ stellen.

 

So musst du aber den ganzen SBS in eine DMZ rein stellen.

 

bzw nicht ganz DMZ, sondern eben mit einer Portfreigabe von außen verfügbar machen.

Link zu diesem Kommentar

Diesen Remote-Zugriff auf die LAN-PCs und die Netzlaufwerke sollte ich deaktivieren, oder? Ist zwar ein nettes Feature, aber ich stelle mir das als großes Sicherheitsrisiko vor. Klar, wenn der SBS gehackt wird, ist es letztendlich egal, ob ich das deaktiviert habe, oder nicht.

 

Der Nachteil von SBS ist echt, dass wirklich alles auf einer Kiste läuft.

Link zu diesem Kommentar
Eigentlich sollte man den Mailserver, wenn er von außen erreichbar sein soll, separat aufsetzen und in eine DMZ stellen.

 

Ich glaube kaum, Tim. Wieso hält sich so eine Aussage heutzutage immer noch, und vor allem in Hinsicht auf Exchange? Nenn mir eine Exchangevariante, bei der es empfohlen ist, sie in die DMZ zu stellen (Abgesehen von der Edge Rolle ab 2007, die aber keinen Mailserver im eigentlichen Sinne darstellt).

 

bzw nicht ganz DMZ, sondern eben mit einer Portfreigabe von außen verfügbar machen.

 

Genau.

 

Bye

Norbert

Link zu diesem Kommentar

Hi.

 

Eine OWA Version, mit der man arbeiten kann gibt es seit Exchange 2003. Und so viel ich weiß hat es von diesem Produkt nie ein bekannte Schwachstelle gegeben.

 

Tausende von Exchange Servern sind auf diese Art und Weise an das Internet angebunden ohne gehackt zu werden. Das größte Problem ist meiner Meinung nach ein schlechte Passwort Policy.

 

Wie die State of Art Version aussehen soll hat ja Testperson schon kurz beschrieben.

 

Und seid mal ehrlich, die Schwachstellen befinden sich doch schon längst im eurem LAN und heißen Firefox, Google Chrome, Acrobat Reader und Java und das ganze andere Zeugs ;) Und, nicht zu vergessen, die ganzen mobilen Clients.

 

LG Günther

Link zu diesem Kommentar
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Schreibe einen Kommentar

Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.

Gast
Auf dieses Thema antworten...

×   Du hast formatierten Text eingefügt.   Formatierung jetzt entfernen

  Only 75 emoji are allowed.

×   Dein Link wurde automatisch eingebettet.   Einbetten rückgängig machen und als Link darstellen

×   Dein vorheriger Inhalt wurde wiederhergestellt.   Editor-Fenster leeren

×   Du kannst Bilder nicht direkt einfügen. Lade Bilder hoch oder lade sie von einer URL.

×
×
  • Neu erstellen...