Exchange 2013 im Internet verfügbar machen

[user09 10]

vielen Dank für die Anwort :)

 

Ja, das ist aber nicht unbedingt ein Hinderungsgrund.
 

 

Bringt das UAG dann überhaupt etwas oder ist das Geldverschwendung?

 

 

Was wäre denn im Umkehrschluß dein Sicherheitsgewinn, wenn du per Reverseproxy den Zugang authentifizierst und dann den Zugriff genehmigst?

 

- Man kann bei Reverseproxy noch entsprechende reguläre Ausdrücke hinterlegen damit nur bestimmte Matches an den Exchange weitergeleitet werden (owa abc)

- Sollte jemand im IIS eine Sicherheitslücke existieren, kommt man nicht direkt auf den Server auf den alle Daten liegen (Steigerung Komplexibilität für einen Angreifer)

- Wenn es keinen Sicherheitsgewinn bringt, warum macht man dies dann z.B. bei Lync so?

- Wenn die Authentifizierung am Reverseproxy durchgeführt wird und es möglich ist nur per LDAP am DC zu authentifizieren, muss zwischen Reverse Proxy nur ein Port zu den DCs geöffnet werden und nicht wie beim Exchange Server alle Ports

[NorbertFe 1.810]

Bringt das UAG dann überhaupt etwas oder ist das Geldverschwendung?

 

Kommt darauf an. Was soll man auf so eine frage sonst Antworten. ;)

 

- Man kann bei Reverseproxy noch entsprechende reguläre Ausdrücke hinterlegen damit nur bestimmte Matches an den Exchange weitergeleitet werden (owa abc)

 

Du meinst jetzt Pfadregeln oder Ausdrücke innerhalb der owa-Kommunikation?

 

- Sollte jemand im IIS eine Sicherheitslücke existieren, kommt man nicht direkt auf den Server auf den alle Daten liegen (Steigerung Komplexibilität für einen Angreifer)

 

Naja.

 

- Wenn es keinen Sicherheitsgewinn bringt, warum macht man dies dann z.B. bei Lync so?

 

Weil das Lync Design ein anderes ist als das von Exchange.

 

 

- Wenn die Authentifizierung am Reverseproxy durchgeführt wird und es möglich ist nur per LDAP am DC zu authentifizieren, muss zwischen Reverse Proxy nur ein Port zu den DCs geöffnet werden und nicht wie beim Exchange Server alle Ports

 

Du brauchst aber den https Port zwischen Reverse Proxy und Exchange, oder? Was hindert einen also im Gegensatz zu direkt auf den Exchange geleiteten https Zugriff nun?

 

Bye

Norbert

 

Ps: höhere Komplexität führt _nicht_ zu höherer Sicherheit. Auch wenn du das zu glauben scheinst.

 

[user09 10]

Kommt darauf an. Was soll man auf so eine frage sonst Antworten. ;)  

 

Worauf kommt es an? Welche Kriterien sind hier vorhanden?

 

 

Du meinst jetzt Pfadregeln oder Ausdrücke innerhalb der owa-Kommunikation?

ja. diese könnte man ja vom UAG kopieren.

[NorbertFe 1.810]

Worauf kommt es an? Welche Kriterien sind hier vorhanden?

 

 

Schau's die auf der produktseite doch mal an. Ist alles im Technet dokumentiert. Ob es dir das Wert ist, das mehr an Sicherheit, musstdu dann entscheiden.

 

 

ja. diese könnte man ja vom UAG kopieren.

 

Das war eine entweder oder frage. ;)

[RobertWi 81]

Aus gegebenem Anlass:

http://blogs.technet.com/b/exchange/archive/2013/07/17/life-in-a-post-tmg-world-is-it-as-scary-as-you-think.aspx

[NeMiX 76]

Aus gegebenem Anlass:

http://blogs.technet.com/b/exchange/archive/2013/07/17/life-in-a-post-tmg-world-is-it-as-scary-as-you-think.aspx

 

Der gute Mann hat ja in vielen Punkten recht, trotzdem ist das ganze realitätsfremd. Firmen haben nun mal Securitypolicies die direkten Zugriff vom Internet ins Lan nicht erlauben und auch Account Lockout ist aus gutem Grund in vielen Firmen noch aktiv. Conficker lässt grüßen. Das ist leider wieder mal sehr Microsoft gefärbt und hat wenig mit der Realität draußen zu tun.

Ich hoffe das MS den WAP aufbohrt und damit auch ActiveSync und OutlookAnyware supported werden. Dann kann man wieder mit den Security/Firewall Abteilungen diskutieren und hat auch sinnvolle Vorschläge wie man Exchange an die Außenwelt anbindet.

[NorbertFe 1.810]

Sehe ich ähnlich. Und leider besteht die Welt (auch um das TMG) eben nicht nur aus Exchange. ;) Das TMG war/ist, meiner Erfahrung nach, für windowslastige Administratoren eine einfach bedienbare aber relativ (ja gefühlt) sichere Forward- und ReverseProxy Lösung. Was hilft es also Kunden, wenn MS jetzt auf einmal der Meinung ist, dass Exchange an sich sicher ist. Der Kunde muß sich nach einer Alternative umsehen, um Funktionen abzudecken, die er von MS jetzt nicht mehr erhalten wird. Und die ist unabhängig von den sehr praktischen Exchangeveröffentlichungswizards eben nicht so einfach. Dass MS damit eventuell kein Geld machen konnte (da zu kleine Kunden und dann auch noch CPU lizenziert) mag sein, deswegen sind alle Kunden nicht automatisch "bekloppt" weil sie die gebotenen Funktionen gut fanden und einfach nutzen wollten. Insgesamt verstehe ich den Artikel eher als einen "Frustschriebs", weil die Exchange-PG wahrscheinlich relativ hohen Aufwand in ihren "Secure-Code" gesteckt hat, und die Leute trotzdem das Teil nicht einfach per Default ans I-Net hängen mögen. Auch von der Seite gibt's natürlich, wie sehr schön im Artikel beschrieben, genügend "Unwissen" und Vorurteile. ;)

 

Bye

Norbert

[RobertWi 81]

Ich sehe das nicht ganz so, wie ihr.

 

Gerade in Sicherheit und Microsoft erlebe ich bei Kunden entweder viel übertriebene Sicherheit oder Dogmatismus. Da werden teilweise Fremdsysteme davor gestellt, von denen man keine Ahnung hat, und mir erklärt, dass ein Linux ohne Ahnung sicherer ist, als ein Windows mit. Viele Vorurteile stammen aus einer Zeit von vor 10 oder mehr Jahren und sind schon längst überholt.

 

Ich finde daher den einen Satz von Greg aus dem Link sehr wichtig: "We have come to learn that adding layers of security often adds little additional security, but certainly lots of complexity."

 

und das "Mehr" an Komplexität führt dann leider oft dazu, dass man unter dem Strich weniger Sicherheit, als vorher.

 

Und leider besteht die Welt (auch um das TMG) eben nicht nur aus Exchange.

 

Das ironische hierbei ist: Linuxer, die echt Ahnung haben, schütteln den Kopf über das Sicherheitsgebahren der Windowser. Die würden nie auf die Idee kommen, eine Firewall auf dem System zu installieren, das sie schützen wollen  oder bei einem Apache-Server noch einen Proxy davorzustellen (müsste das dann ein IIS sein?). Diese Gedanken gibt es nur in der Windows-Welt und da gebe ich Norbert und Greg recht: Unwissen und Vorurteile.

[NorbertFe 1.810]

Ich sehe das nicht ganz so, wie ihr.

Ich hab nix anderes erwartet. :)

Gerade in Sicherheit und Microsoft erlebe ich bei Kunden entweder viel übertriebene Sicherheit oder Dogmatismus.

Korrekt.

Da werden teilweise Fremdsysteme davor gestellt, von denen man keine Ahnung hat, und mir erklärt, dass ein Linux ohne Ahnung sicherer ist, als ein Windows mit.

Auch korrekt. Sehr schön immer meine Lieblingsfehlerquelle: Firewalls die im SMTP Traffic rumfuschen. SMTP Fixup in der Cisco Firewall klingt halt wichtig. ;)

Viele Vorurteile stammen aus einer Zeit von vor 10 oder mehr Jahren und sind schon längst überholt.

Korrekt. Aber das TMG war 1. sehr einfach konfigurierbar und mir wird hoffentlich niemand erklären wollen, dass es "per se" zu einer unsicheren Konfiguration führte. Und wie gesagt, gerade im KMU Umfeld war das Ding extrem beliebt eben weils die eierlegende Wollmilchsau ohne gravierende Schwächen war. Ja, es gibt bessere und leistungsfähigere Firewallsysteme. Aber als Gesamtpaket war das Ding halt unschlagbar (in meinen Augen). Abgesehen davon finde ich ein Livelogging an der Firewall hinsichtlich Active Sync trotzdem angenehmer als mich per Powershell durch die Exchange-Logs zu wühlen. ;)

 

Bye

Norbert

[RobertWi 81]

Korrekt. Aber das TMG war 1. sehr einfach konfigurierbar und mir wird hoffentlich niemand erklären wollen, dass es "per se" zu einer unsicheren Konfiguration führte. Und wie gesagt, gerade im KMU Umfeld war das Ding extrem beliebt eben weils die eierlegende Wollmilchsau ohne gravierende Schwächen war. Ja, es gibt bessere und leistungsfähigere Firewallsysteme.

 

TMG war schon seit der letzten ISA-Version nicht mehr als Edge-Firewall angesehen, sondern höchstens noch als Application Firewall, aber vor allem als Proxy, der in der DMZ steht und zwei Firewalls um sich hat. Gekonnt hat es Firewall zwar, aber das spielte sogar für Microsoft keine Rolle mehr. Insofern ist die Entwicklung beim TMG aus Sicht von MSFT schon konsequent: Als Firewall wird es nicht eingesetzt, als Proxy braucht man es nicht mehr -> weg damit.

 

Das es ein schön einfaches Produkt war, stimmt zumindest seit ISA 2004. ISA 2000 war eine Katastrophe. Aber ist das wirklich die Begründung, warum es immer noch einsetzen will? Weil es "einfach" ist?

[NorbertFe 1.810]

Das es ein schön einfaches Produkt war, stimmt zumindest seit ISA 2004. ISA 2000 war eine Katastrophe. Aber ist das wirklich die Begründung, warum es immer noch einsetzen will? Weil es "einfach" ist?

Der ISA 2000 war zwar nicht schön, aber um Längen besser als MS Proxy 2.0. ;) Und ja, weil es "einfach ist und funktioniert" ist für mich durchaus ein Grund ein Produkt welches meine Bedürfnisse erfüllt einzusetzen. ;)

 

Bye

Norbert

[RobertWi 81]

Proxy 2.0.... das waren noch Zeiten.

 

Ich setze i.d.R. Produkte ein, weil ich sie brauche, und nicht weil sie einfach sind. Sonst hätte ich nie mit Exchange angefangen.... :)

[NorbertFe 1.810]

Du brauchst Exchange? :-D

[RobertWi 81]

Ja. Aber das ist was für eine private Unterhaltung.

[NorbertFe 1.810]

:) kein Problem, so wirkliche sinnvolle Alternativen gibt's ja doch eher rar gesät. ;) ich denke wir Driften hier etwas ins OT.