ccmichi 10 Geschrieben 23. Oktober 2013 Melden Teilen Geschrieben 23. Oktober 2013 Hallo, es wurde der Wunsch laut dass Outlook bei einem SBS2011 auch über das Internet zugreifen kann. Da ich mit Outlook Anywhere noch nicht in Berührung gekommen bin habe ich mir schon einige Sachen dazu angesehen, wobei diese in Sachen Sicherheit etwas auseinandergehen. Mir ist es etwas unbehaglich wenn ich einen Exchange Port direkt von außen verfügbar mache ohne weiteren Prüfmechanismus dazwischen. Vielleicht kann mir ja jemand sagen ob meine Sorge begründet ist oder nicht. Ich habe z.B. folgendes howto gefunden, dort wird aber nicht darauf eingegangen ob eine weitere Absicherung nötig ist: http://www.frankysweb.de/?p=116 Bei der folgenden Anleitung (allerdings nur bis Exchange 2007) ist wiederum ein ISA Server dabei: http://office.microsoft.com/de-de/outlook-help/verwenden-von-outlook-anywhere-zum-herstellen-einer-verbindung-mit-ihrem-exchange-server-ohne-vpn-HP010102444.aspx Außerdem bin ich über das Forefront Thread Management Gateway gestolpert, welches aber bereits abgekündigt wurde. Doch da denke ich mir es muss ja eine Daseinsberechtigung für dieses Teil gegeben haben, das schürt wiederum die Zweifel ob ein Direktzugriff wirklich zu empfehlen ist. Es wäre schön wenn jemand etwas Licht ins Dunkel bringen könnte. Danke schonmal! Gruß, Michi Zitieren Link zu diesem Kommentar
RobertWi 81 Geschrieben 23. Oktober 2013 Melden Teilen Geschrieben 23. Oktober 2013 Moin, die Exchange-Entwickler sagen mittlerweile folgendes dazu:http://blogs.technet.com/b/exchange/archive/2013/07/17/life-in-a-post-tmg-world-is-it-as-scary-as-you-think.aspx Meine persönliche Meinung (mir ist aber bewusst, dass man bei IT-Sicherheit eine nach oben hin offene Paranoiditätsgrenze findet): Das Risiko für diesen Fall ist sehr überschaubar. Ein Angreifer müsste nicht nur SSL knacken, er müsste auch noch RPC angreifen, um irgendwelchen Nutzen zu erreichen. Die CAS-Server sind an dieser Stelle nicht für Probleme bekannt und verwerfen schlechtes RPC schnell. Angriff auf OA sind bisher nicht bekannt geworden, auch keine Angriff auf RPC. Speziell für OA war der Nutzen irgendeines Proxies bisher eh sehr begrenzt. Der Angriffsvektor hierbei ist RPC und RPC kann von keinem mir bekannten Proxy (auch vom TMG nicht), wirklich "durchleuchtet" werden. Daher muss man abwägen, ob man wirklich mehr Schutz oder vor allem mehr Komplexität ins Netz bekommt. Zitieren Link zu diesem Kommentar
kamikatze 84 Geschrieben 23. Oktober 2013 Melden Teilen Geschrieben 23. Oktober 2013 Moin Ich habe bis jetzt massig SBS über OWA erreichbar gemacht. Da die Verbindung über SSL geht, habe ich da auch keine Bauchschmerzen. Zur Info: der TMG (vormals Isa) wurde schon vor einiger abgekündigt. Eine vernünftige Firewall ( Watchguard oder so ) sollte reichen. Gruss von der Nordsee Markus Zitieren Link zu diesem Kommentar
ccmichi 10 Geschrieben 23. Oktober 2013 Autor Melden Teilen Geschrieben 23. Oktober 2013 Hallo, danke euch beiden für die Infos. Da das Exchange Entwicklerteam auch an der Sicherheit gefeilt hat scheint es wirklich so zu klappen. Eine Firewall für den Internetzugang ist natürlich vorhanden. Gruß, Michi Zitieren Link zu diesem Kommentar
RobertWi 81 Geschrieben 23. Oktober 2013 Melden Teilen Geschrieben 23. Oktober 2013 Das wichtigste ist, dass Du in Hinsicht auf die Sicherheitsupdates immer aktuell bist. Sobald Microsoft Patche herausgibt, steigen die Angriff auf genau dieser Lücken. Hacker analysieren die Patche offensichtlich und nutzen sie sofort aus. Die meisten Probleme hierbei hat Windows, bzw. der IIS. Bei Exchange gabe es in den vergangenen Jahren kaum richtiger sicherheitskritische Lücken. Die letzten großen waren von lizenzierten Oracle-Komponenten und da reicht es, das Feature in Exchange einfach abzuschalten. Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.