Wie sichert ihr eure Exchange2013 ab in kleinunternehmen?

[Assassin 13]

Ahoi da draußen...

 

was mich mal interessieren würde ist: Wie sichert Ihr eure Exchange 2013 nach draußen hin ab, in Klein-Unternehmen, wo jetzt nicht soviel geld zur verfügung steht.

Exchange darum, um eben eine Kalendersyncronisation /freigabe möglichkeit zu haben, ein postfach mehrfach anzubinden als eine art Sammelpostfach/Gruppenpostfach, und eben zur Aufgabenplanung übers Outlook was man mit Handys noch syncronisieren kann.

 

Optimalerweise sollte der Exchange ja über ein ReverseProxy abgesichert werden - aber was kann man da nehmen? gibts vieleicht sogar für den Komerziellen bereich auch kostenlose, welche man als HyperV-VM installieren kann - also die ihr eigenes OS mitbringen?

 

Bisher hab ich soetwas über Securepoint erledigt, einen kleinen Blackdwarf hin, als RevProxy laufen lassen und gut ist, damit man von extern z.B. ausschließlich nur auf die OWA draufkommt, und eben Activesync.

 

 

Mich würd einfach mal interessieren, wie ihr in solchen fällen vorgehn, bei kleineren unternehmen eben, wo halt auch die Serverhardware jetzt nicht so riesig dimensioniert ist ;)

 

 

[Nobbyaushb 1.581]

Der WAP von Server2012R2 wäre eine Alternative.

 

Securepoint baut auch kleine Firewalls...

 

Ich persönlich habe den Exchange (den privaten) direkt über Port 443 nach draußen über den Router, keine Sorgen damit.

 

;)

bearbeitet 16. Juli 2015 von Nobbyaushb

[NorbertFe 2.283]

Die meisten Reverse proxylösungen die mehr als Pfad

Beschränkungen können, scheitern an integrierter Authentifizierung. Das sind dann die Leute die hier ankommen und über ständige passwortabfrage "meckern". Bleibt also die Frage, welche zusätzliche Sicherheit du dir von einem reverseproxy versprichst.

[monstermania 53]

Hmm,

Thema Reverse-Proxy.

Die Endian-UTM bringt m.W. nach einen Reverse-Proxy mit. Ich glaube der ist sogar in der Comunity-Edition enthalten.

 

Aber! Die Reverse Proxy-Konfiguration ist Alles andere als trivial. Gibt immer wieder Probleme mit einigen Geräten.

 

Gruß

Dirk

[magheinz 111]

Also wir haben einen haproxy davor der auch gleich auf die CAS-Server verteilt. Das funktioniert ziemlich gut bisher. Ein Windowsserver kommt bei uns nicht in die DMZ.

[NorbertFe 2.283]

WEil euer Bauchgefühl dann besser ist? ;)

[magheinz 111]

Ja

[NorbertFe 2.283]

Na das freut mich für euch.

[Assassin 13]

Hmm, ja mit dem port 443 weiterleiten ist es natürlich das einfachste, und wenn man will kann man die ECP ja komplett abschalten, und bei bedarf wieder einschalten. Dazu eine schöne passwortrichtlinie und kontosperrrichtlinie, und das ding sollte doch eigentlich für ein klein-unternehmen auch ausreichen, oder?

 

Von Securepoint gibts ja auch die VM Lösung - das ist richtig. nachteil ist aber eben wie bei alle Securepoint produkten - laufende kosten. Gut, ich meine es ist nicht viel...aber dennoch

[testperson 1.859]

... Dazu eine schöne passwortrichtlinie und kontosperrrichtlinie, ...

Hi,

 

das freut aber den bösen Konkurrenten oder ehemaligen Mitarbeiter, wenn er nur X mal das falsche Passwort vom Chef eingeben muss und schon ist der Chef ausgesperrt ;)

 

Gruß

Jan

[Assassin 13]

das ist richtig, aber dazu müssen diese auch erst einmal den exakten anmeldenamen wissen ;)

 

aber ich persönlich finde es sicherer, wenn es eine passwortrichtlinie gibt, damit die Script-Kiddys von extern bei zeiten aufgeben

[testperson 1.859]

Meist ist der Anmeldename bzw. der UPN die E-Mail Adresse :)

[Assassin 13]

Meistesn, aber nicht immer :o  :D 

[NorbertFe 2.283]

Das ist aber auch bei "kleinen" Kunden nicht so schwer rauszufinden. ;) Wäre jetzt also kein Grund, dass ich mich deswegen sicherer oder unsicherer fühlen würde.

bearbeitet 17. Juli 2015 von NorbertFe

[Assassin 13]

Mal eine andere frage: Gibt es den auch möglichkeiten ohne Online-Exchange, einen Outlook-Kalender freizugeben, womit auch andere Benutzer und auch Handys über das Internet sich abgleichen? Ein gemeinsam genutzes Postfach würde ja auch über IMAP funktionieren...