Johnny990 10 Geschrieben 15. Dezember 2012 Melden Teilen Geschrieben 15. Dezember 2012 Hallo zusammen, hätte mal ganz generelle Fragen zu Remote Web Access. Habe schon gegooglet aber nichts konkretes gefunden. Frage 1: Wie sicher ist eigentlich Remote Web Access? Ich meine die Login Oberfläche ist ja für jedermann über remote.domain.tld erreichbar. Ist das nicht ein Ausgangspunkt für eine Brute Force Attacke? Wenn jemand das Passwort für den Admin errät kommt er ja auch auf den Server direkt oder? UND:Kann man den Server so konfigurieren dass man per Remote nur über VPN zugreifen darf? Frage 2: Gibt es Möglichkeiten RWA abzusichern, zb bei 3 mal falschem Passwort sperren für X Minuten oder dergleichen Frage 3: Kann es sein dass die Remote webaccess Seite von google indexiert werden könnte. Im Quellcode habe ich nichts bzgl meta tags gefunden die den Zugriff sperren. Zitieren Link zu diesem Kommentar
Johnny990 10 Geschrieben 16. Dezember 2012 Autor Melden Teilen Geschrieben 16. Dezember 2012 Kann denn echt niemand was dazu sagen? Zitieren Link zu diesem Kommentar
patriot 10 Geschrieben 16. Dezember 2012 Melden Teilen Geschrieben 16. Dezember 2012 Hallo Johnny990, natürlich ist die Website remote.domain.tld von überall erreichbar, jeder könnte probieren sich mit benutzeraccount und passwort einzuloggen. Mir wäre das persönlich zu unsicher, informiere dich mal über 2 faktor authentifizierung. Wenn der "Hacker" deinen Adminaccount erraten hat, dann kann er natürlich alles machen, weil er ja grundsätzlich eh schon im LAN ist, nur nicht wie gewohnt vor dem PC im Büro sondern woanders! Du kannst natürlich, auch den Zugriff per VPN regeln, hier würde ich aber dann direkt deine Firewall als Endpunkt setzen und dann ??? Was willst du denn überhaupt machen, emails lesen, server warten? Mitarbeiter Hifestellung geben? Du meldest dich ja am Webinterface mti deinen Benutzeraccount an der im AD liegt, also greifen hier auch deine Kontosperrrichtlinien, wie beim Mitarbeter am Arbeitsplatz. Zu deiner letzen Frage kann ich dir leider keine Auskunft geben. Ich möchte dir aber noch eine Empfehlung mitgebe: Bei Sicherheit hört der Spaß und die Probierfreudikeit auf, wenn du nicht 100pro sicher bist was du zu machen hast oder welche Schritte du hier tust, dann lass es von professionellen Firmen machen, die genug Erfahrung mit dem Thema Remotezugriff und Sicherheit haben. gruß Zitieren Link zu diesem Kommentar
Johnny990 10 Geschrieben 16. Dezember 2012 Autor Melden Teilen Geschrieben 16. Dezember 2012 Danke patriot für dein Statement Naja also es sollten lediglich Emails abgefragt und auf Dateien zugegriffen werden. Wäre doch in unserem Fall sinnlos remote.domain.tld öffentlich zu "registrieren", da wir uns ja eh mit VPN Client von jedem Remote PC einloggen und dann ja automatisch im LAN sind und somit remote.domain.tld von Haus aus erreichbar ist. Also ist ja RWA und OWA sowie hinfällig oder sehe ich das falsch? Zitieren Link zu diesem Kommentar
GuentherH 61 Geschrieben 16. Dezember 2012 Melden Teilen Geschrieben 16. Dezember 2012 Du sprichst hier vermutlich von Remote Web Access des SBS 2008/SBS 2011 Generell ist der Zugriff so sicher wie du ihn konfigurierst. Wenn es Passwörter gibt, die 123 lauten dann wir der Zugang wahrscheinlich erraten werden, bei einer vernünftigen Passwortlänge und Konfiguration einer Kontensperrungsschwelle von z.B. 10 Versuchen wird er sicher sein. Ich finde es etwas paranoid wenn man sich auf einen einzelnen Zugang versteift, in Wirklichkeit die Schwachstellen in Form von ungesicherten mobilen Devices schon längst herumschwirren. Naja also es sollten lediglich Emails abgefragt Ok, und wie greifst du darauf zu, wenn das Gerät mit dem VPN Client nicht vorhanden ist? Wäre doch in unserem Fall sinnlos remote.domain.tld öffentlich zu "registrieren", Und wie greifst du mit dem VPN Client zu? Also ist ja RWA und OWA sowie hinfällig oder sehe ich das falsch? Ja, das siehst falsch. LG Günther Zitieren Link zu diesem Kommentar
Johnny990 10 Geschrieben 16. Dezember 2012 Autor Melden Teilen Geschrieben 16. Dezember 2012 Du sprichst hier vermutlich von Remote Web Access des SBS 2008/SBS 2011 Genau. :) Wenn es Passwörter gibt, die 123 lauten dann wir der Zugang wahrscheinlich erraten werden, bei einer vernünftigen Passwortlänge und Konfiguration einer Kontensperrungsschwelle von z.B. 10 Versuchen wird er sicher sein. Gut dass Dus ansprichst. Wie konfiguriere ich das, dass also bei zb 10 Fehlversuchen eine Sperre stattfinden soll??? Ok, und wie greifst du darauf zu, wenn das Gerät mit dem VPN Client nicht vorhanden ist? Dann hab ich Pech, aber der ist meistens verfügbar bzw muss auf jedem Gerät installiert sein das sich remote ins Netz einwählt. Und wie greifst du mit dem VPN Client zu? Du meinst sicherlich wie der VPN Client auf Firmennetz zugreift da remote.domain.tld nicht verfügbar ist oder??? Ja, das siehst falsch. Wieso? Wenn ich doch per VPN im Netz bin ist doch RWA sowie OWA erreichbar Zitieren Link zu diesem Kommentar
NorbertFe 1.799 Geschrieben 17. Dezember 2012 Melden Teilen Geschrieben 17. Dezember 2012 Gut dass Dus ansprichst. Wie konfiguriere ich das, dass also bei zb 10 Fehlversuchen eine Sperre stattfinden soll??? Per Gruppenrichtlinie. Übrigens werden deine Fragen nicht fragiger durch die mehrfache Verwendung von Fragezeichen. Bye Norbert Zitieren Link zu diesem Kommentar
iDiddi 27 Geschrieben 17. Dezember 2012 Melden Teilen Geschrieben 17. Dezember 2012 Wenn jemand das Passwort für den Admin errät kommt er ja auch auf den Server direkt oder?Erst muss er mal den Benutzernamen erraten. Das ist auch ein Grund, warum der Admin-Account bei der Ersteinrichtung nicht mehr "Administrator" lauten darf ;) Frage 3:Kann es sein dass die Remote webaccess Seite von google indexiert werden könnte. Im Quellcode habe ich nichts bzgl meta tags gefunden die den Zugriff sperren. Was soll Google da denn indizieren? Die Startseite, in der Du nach den Login-Daten gefragt wirst? Google kann doch auch nur die Seiten indizieren, die öffentlich zugänglich sind. Wo siehst Du da denn ein Problem? Gut dass Dus ansprichst. Wie konfiguriere ich das, dass also bei zb 10 Fehlversuchen eine Sperre stattfinden soll??? Das konfiguriert man über Gruppenrichtlinien. Ist allerdings Basiswissen. Schau mal hier: Anwenden oder Ändern von Kennwortrichtlinien Dann hab ich Pech, aber der ist meistens verfügbar bzw muss auf jedem Gerät installiert sein das sich remote ins Netz einwählt. OK. Was ist das denn für ein VPN-Client? Und was ist das für ein VPN? IPSec PSK, IPSec mit PKI, PPTP? Meine Meinung: Prüfe Eure Anforderungen. Welchen Wert haben Eure Daten? Welche Sicherheitsstufe ist erforderlich. Grundsätzlich: Schaffe eine vernünftige Kennwortrichtlinie in Deiner Firma, die eine Mindestlänge der Kennwörter von 12-15 Stellen vorsieht. Schule Eure Mitarbeiter dahingehend, damit die sich auch ordentliche Passwörter aussuchen und merken können. Evtl. ein max. Passwortalter bestimmen. Die Sicherheit von kennwortbasierten Sicherheitssystemen steht und fällt nun mal mit dem Kennwort ;) Dann sehe ich auch kein Sicherheitsproblem bei RWA. Es sei denn, Du arbeitest in einem Hochsicherheitstrakt. Zitieren Link zu diesem Kommentar
NorbertFe 1.799 Geschrieben 17. Dezember 2012 Melden Teilen Geschrieben 17. Dezember 2012 Dann sehe ich auch kein Sicherheitsproblem bei RWA. Es sei denn, Du arbeitest in einem Hochsicherheitstrakt. Wenn das so wäre, würde sich mit dem neuen Server jemand beschäftigen, der weiß was er tut. ;) nicht, dass man mich falsch versteht: ich Fonds gut, dass hier zumindest auch fragen der Sicherheit betrachtet werden, nur erscheint mir der Ansatz etwas sehr laienhaft. Nix für ungut. Bye Norbert Zitieren Link zu diesem Kommentar
Horstenberg 13 Geschrieben 12. Januar 2013 Melden Teilen Geschrieben 12. Januar 2013 Aus meiner Sicht hat Johnny mit seinen Bedenken Recht. Es gibt zwei Lösungsmöglichkeiten, eine bringt der SBS mit: 1. Einen Client-Zertifikat-basierten Zugang einrichten. Der SBS und auch der Remote Web-Arbeitsplatz lehnt dann jede Verbindung von einem Client ab, auf dem nicht das Client-Zertifikat installiert ist. Dies geht mit SBS Boardmitteln (es müssen entsprechende Client-Zertifikate erstellt werden, dann muss im IIS noch eingestellt werden, dass die Services (meist RWA, OWA und OAS) ein Client-Zertifikat anfordern. Das ist aus meiner Sicht ziemlich sicher (und verhindert auch die Einwahl nicht mit dem Zertifikat ausgewiesener mobile Devices). Auch das VPN kann man so abschirmen. 2. Die zweite Möglichkeit ist die Einrichtung eines Token-basierten Zugangs (mit Boardmitteln aber nicht zu erreichen). Dafür muss dann eine externe Lösung her. Funktioniert ein wenig wie der PIN/TAN-Zugang. Zitieren Link zu diesem Kommentar
GuentherH 61 Geschrieben 12. Januar 2013 Melden Teilen Geschrieben 12. Januar 2013 Dies geht mit SBS Boardmitteln Wenn beim SBS die Assistenten Internetzugang und Domäne einrichten ausgeführt werden, dann wird dies immer durchgeführt. dann muss im IIS noch eingestellt werden, dass die Services (meist RWA, OWA und OAS) ein Client-Zertifikat anfordern Das wird mit den oben beschriebenen Assistenten automatisch erledigt LG Günther Zitieren Link zu diesem Kommentar
Horstenberg 13 Geschrieben 12. Januar 2013 Melden Teilen Geschrieben 12. Januar 2013 Wenn beim SBS die Assistenten Internetzugang und Domäne einrichten ausgeführt werden, dann wird dies immer durchgeführt. Das wird mit den oben beschriebenen Assistenten automatisch erledigt Ich glaube, das stimmt nicht. Die entscheidende Einstellung für diesen Schutz im IIS ist, dass ein Clientzertifikat "erforderlich" ist. Dies ist die sicherste Einstellung, aber nicht die Standardeinstellung. Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.