Jump to content

SBS2011 Outlook Anywhere Sicherheit


Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Recommended Posts

Hallo,

 

es wurde der Wunsch laut dass Outlook bei einem SBS2011 auch über das Internet zugreifen kann. Da ich mit Outlook Anywhere noch nicht in Berührung gekommen bin habe ich mir schon einige Sachen dazu angesehen, wobei diese in Sachen Sicherheit etwas auseinandergehen. Mir ist es etwas unbehaglich wenn ich einen Exchange Port direkt von außen verfügbar mache ohne weiteren Prüfmechanismus dazwischen. Vielleicht kann mir ja jemand sagen ob meine Sorge begründet ist oder nicht.

Ich habe z.B. folgendes howto gefunden, dort wird aber nicht darauf eingegangen ob eine weitere Absicherung nötig ist: http://www.frankysweb.de/?p=116

Bei der folgenden Anleitung (allerdings nur bis Exchange 2007) ist wiederum ein ISA Server dabei: http://office.microsoft.com/de-de/outlook-help/verwenden-von-outlook-anywhere-zum-herstellen-einer-verbindung-mit-ihrem-exchange-server-ohne-vpn-HP010102444.aspx

Außerdem bin ich über das Forefront Thread Management Gateway gestolpert, welches aber bereits abgekündigt wurde. Doch da denke ich mir es muss ja eine Daseinsberechtigung für dieses Teil gegeben haben, das schürt wiederum die Zweifel ob ein Direktzugriff wirklich zu empfehlen ist.

Es wäre schön wenn jemand etwas Licht ins Dunkel bringen könnte. Danke schonmal!

 

Gruß, Michi

 

Link to comment

Moin,

die Exchange-Entwickler sagen mittlerweile folgendes dazu:
http://blogs.technet.com/b/exchange/archive/2013/07/17/life-in-a-post-tmg-world-is-it-as-scary-as-you-think.aspx

 

Meine persönliche Meinung (mir ist aber bewusst, dass man bei IT-Sicherheit eine nach oben hin offene Paranoiditätsgrenze findet):

 

Das Risiko für diesen Fall ist sehr überschaubar. Ein Angreifer müsste nicht nur SSL knacken, er müsste auch noch RPC angreifen, um irgendwelchen Nutzen zu erreichen. Die CAS-Server sind an dieser Stelle nicht für Probleme bekannt und verwerfen schlechtes RPC schnell.

 

Angriff auf OA sind bisher nicht bekannt geworden, auch keine Angriff auf RPC.

 

Speziell für OA war der Nutzen irgendeines Proxies bisher eh sehr begrenzt. Der Angriffsvektor hierbei ist RPC und RPC kann von keinem mir bekannten Proxy (auch vom TMG nicht), wirklich "durchleuchtet" werden.

 

Daher muss man abwägen, ob man wirklich mehr Schutz oder vor allem mehr Komplexität ins Netz bekommt.

Link to comment

Das wichtigste ist, dass Du in Hinsicht auf die Sicherheitsupdates immer aktuell bist. Sobald Microsoft Patche herausgibt, steigen die Angriff auf genau dieser Lücken. Hacker analysieren die Patche offensichtlich und nutzen sie sofort aus.

 

Die meisten Probleme hierbei hat Windows, bzw. der IIS. Bei Exchange gabe es in den vergangenen Jahren kaum richtiger sicherheitskritische Lücken. Die letzten großen waren von lizenzierten Oracle-Komponenten und da reicht es, das Feature in Exchange einfach abzuschalten.

Link to comment
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

×
×
  • Create New...