SBS 2011 Internetanbindung von Exchange und OWA

[mark846 10]

Hallo zusammen, dies ist mein erster Beitrag hier im Forum :).

 

Ich habe einen Small Business Server 2011 Standard und möchte den Exchange 2010 für den externen Mailverkehr nutzen. Desweiteren möchte ich den externen Zugriff auf OWA herstellen.

 

Da der SBS ja auch den Zugriff auf die PCs im LAN über eine Weboberfläche ermöglicht, stellt sich mir die Frage, wie ich den SBS möglichst sicher mit dem Internet verbinden kann, ohne dass jemand Zugriff auf das LAN durch unerlaubten Zugriff (Hack etc.) bekommt. Sollte ich den Server in eine DMZ stellen? Oder vielleicht den Zugriff auf OWA nur über VPN zulassen?

 

Denn einfach nur die benötigten Ports am DSL-Router freizugeben erscheint mir nicht sicher genug.

 

Die Konfiguration des SBS ist für mich kein Problem, ich stehe lediglich noch vor dem Problem der externen sicheren Anbindung.

 

Ich würde mich über eure Hilfe sehr freuen :).

 

PS: Es handelt sich um ein Büro mit 5 PCs und es ist eine ganz normale Fritz!Box vorhanden. Die IP-Adresse von der Telekom ist fest. Evtl. benötige ich weiteres Netzwerk-Equipment?

[Gu4rdi4n 53]

Ich kann dir sagen, ich stand vor dem gleichen Problem.

 

Meine Chefs wollten Push mails auch von außen bekommen, sprich, über iPhones.

 

Da diese Dinger VPN verbindungen sofort trennen, wenn man das Display ausschaltet, ist die Option VPN leider schonmal ein NoGo. (Außer du verbindest nur laptops, oder Push Mails sind nicht gefordert!)

 

Auf deinem SBS läuft denke ich mal exchange, AD, DHCP, DNS, Sharepoint und etliche andere server, habe ich recht?

 

Prinzipiell ist jeder Port, der nach innen geöffnet wird ein Sicherheitsrisiko.

 

Zwickmühle.

 

port 443 ist Notwendig. Wenn du den freigibst, funktioniert OWA.

Da du eine feste IP hast, sollte der Zugriff kein Problem sein!

 

wenn du noch andere Server, z.B. ERP systeme oder dergleichen hast, dann schau, dass du die vom exchange durch eine Firewall trennst

 

Ich würde dir eine ordentliche Firewall ans Herz legen. Am besten 3 Interfaces min.

eth0 = Fritzbox, eth1 = SBS mit exchange, eth2 = restliches Netz

Astaro, Gateprotect, Sonicwall, Watchguard etc

[testperson 1.547]

Hi,

 

wenn es um das veröffentlichen von Diensten nach aussen geht, würde ich mal nach Microsoft Forefront TMG oder UAG schauen.

[mark846 10]

Aber sollte der SBS nicht im LAN stehen? Denn wenn jemand den SBS knackt, hat er doch Zugriff auf die Domäne.

[Gu4rdi4n 53]

Ja, genau das ist das Problem, da der Exchange auf dem SBS mit drauf ist.

 

Gibst du den Port für OWA frei, dann gibst du den Port für den gesamten SBS frei.

 

Wenn jemand darüber auf den Exchange kommt, hat er automatisch auch den SBS geknackt.

 

Eigentlich sollte man den Mailserver, wenn er von außen erreichbar sein soll, separat aufsetzen und in eine DMZ stellen.

 

So musst du aber den ganzen SBS in eine DMZ rein stellen.

 

bzw nicht ganz DMZ, sondern eben mit einer Portfreigabe von außen verfügbar machen.

[mark846 10]

Diesen Remote-Zugriff auf die LAN-PCs und die Netzlaufwerke sollte ich deaktivieren, oder? Ist zwar ein nettes Feature, aber ich stelle mir das als großes Sicherheitsrisiko vor. Klar, wenn der SBS gehackt wird, ist es letztendlich egal, ob ich das deaktiviert habe, oder nicht.

 

Der Nachteil von SBS ist echt, dass wirklich alles auf einer Kiste läuft.

[Gu4rdi4n 53]

Nein das musst du nicht deaktivieren.

 

Man sollte nur eine gute absicherung haben.

IDS / IPS etc.

 

AV Scanner usw. dann geht das schon klar.

 

Allerding mit "nur" einer Fritzbox würde ich persönlich mich das nicht so trauen :) (ohne dir jetzt angst zu machen)

[NorbertFe 1.830]

Eigentlich sollte man den Mailserver, wenn er von außen erreichbar sein soll, separat aufsetzen und in eine DMZ stellen.

 

Ich glaube kaum, Tim. Wieso hält sich so eine Aussage heutzutage immer noch, und vor allem in Hinsicht auf Exchange? Nenn mir eine Exchangevariante, bei der es empfohlen ist, sie in die DMZ zu stellen (Abgesehen von der Edge Rolle ab 2007, die aber keinen Mailserver im eigentlichen Sinne darstellt).

 

bzw nicht ganz DMZ, sondern eben mit einer Portfreigabe von außen verfügbar machen.

 

Genau.

 

Bye

Norbert

[GuentherH 61]

Hi.

 

Eine OWA Version, mit der man arbeiten kann gibt es seit Exchange 2003. Und so viel ich weiß hat es von diesem Produkt nie ein bekannte Schwachstelle gegeben.

 

Tausende von Exchange Servern sind auf diese Art und Weise an das Internet angebunden ohne gehackt zu werden. Das größte Problem ist meiner Meinung nach ein schlechte Passwort Policy.

 

Wie die State of Art Version aussehen soll hat ja Testperson schon kurz beschrieben.

 

Und seid mal ehrlich, die Schwachstellen befinden sich doch schon längst im eurem LAN und heißen Firefox, Google Chrome, Acrobat Reader und Java und das ganze andere Zeugs ;) Und, nicht zu vergessen, die ganzen mobilen Clients.

 

LG Günther

[mark846 10]

Ok, wenn ich das jetzt richtig verstanden habe, kann ich den SBS hinter eine gute Firewall-Appliance stecken und die benötigten Ports freigeben. Zusätzlich dann noch IDS und IPS. Oder gibt es noch etwas, das ich nicht bedacht habe?

[GuentherH 61]

und die benötigten Ports freigeben

 

Für OWA, Outlook Anywhere und die Anbindung mobiler Clients wird nur Port 443 benötigt.

 

LG Günther