Jump to content
Wolke2k4

Exchange Zugriff vom Internet absichern, wie löst Ihr das aktuell?

Recommended Posts

Hallo,

 

mich würde interessieren, wie ihr aktuell eure Exchange Umgebungen aus dem Internet absichert, wenn ihr den Zugriff darauf für Active Sync, OWA, Outlook Anywhere usw. ermöglicht, ohne, dass ihr einen VPN Zugang dafür bereitstellt, was ja kein direkter Zugriff aus dem Internet wäre.

 

Wir nutzen aktuell dafür noch immer einen Reverse Proxy unter W2Kx Server. WAP geht wohl auch, hier stört mich aber der Konfig Overhead mit ADFS um die reine AS, OWA usw. Durchleitung nutzen zu können.

Gibt es brauchbare Third Party Lösungen, die sich bei euch bewehrt haben, oder lasst ihr die Leute direkt auf den Exchange mittels Portforwarding?

 

Danke schon mal für euren Input.

Share this post


Link to post
Share on other sites

Hi,

vor 6 Stunden schrieb Wolke2k4:

Wir nutzen aktuell dafür noch immer einen Reverse Proxy unter W2Kx Server.

das heißt TMG / UAG?

vor 6 Stunden schrieb Wolke2k4:

Gibt es brauchbare Third Party Lösungen, die sich bei euch bewehrt haben, oder lasst ihr die Leute direkt auf den Exchange mittels Portforwarding?

Da gibt es einige 3rd Party Lösungen. Kommt jetzt halt drauf an, was an Features benötigt wird und was sonst noch neben dem Exchange da ist sowie was dann unter Umständen am besten passt..

 

  • Citrix Netscaler ADC (ggfs. auch per "Freemium" -> Keine Pre Authentication)
  • KEMP LoadMaster (ggfs. auch "Free LoadMaster" -> Kein HA)
  • HA Proxy
  • Ein "WebServer" mit entsprechenden Funkionen (Apache / NGINX / IIS)
  • ...

Gruß

Jan

 

P.S.: Man könnte sich jetzt natürlich mit dem Citrix ADC Freemium HA bauen und dahinter zwei Free LoadMaster mit Pre-Auth betreiben. ;)

Share this post


Link to post
Share on other sites
vor 10 Minuten schrieb NorbertFe:

Warum 2 kemp? Die freie Variante kann kein ha. ;)

 

vor 53 Minuten schrieb testperson:

P.S.: Man könnte sich jetzt natürlich mit dem Citrix ADC Freemium HA bauen und dahinter zwei Free LoadMaster mit Pre-Auth betreiben. ;) 

;)

Share this post


Link to post
Share on other sites

An der Misere ist ja nun ganz klar MS schuld. Die könnten ja auch einfach einen zwei limitierten kleinen Exchange kostenlos bereitstellen.

 

Noch was zum Thema Portforwarding: In der "Post TMG World" sah Microsoft es als unproblematisch an, den Exchange direkt zu veröffentlichen, da sie "securing our code, writing secure code, testing our code for security" betreiben. Das wurde ja aber auch schon widerlegt. ;) Aber auch wenn alles sicher ist, könnte man hinterfragen, ob man alles und jeden von extern an den Exchange lassen möchte und ob /ecp von extern eine gute Idee ist.

(https://techcommunity.microsoft.com/t5/Exchange-Team-Blog/Life-in-a-Post-TMG-World-8211-Is-It-As-Scary-As-You-Think/ba-p/592683)

Edited by testperson

Share this post


Link to post
Share on other sites
vor einer Stunde schrieb NorbertFe:

Naja /ecp lässt sich ja einschränken.

Microsoft sieht das doch mit einem weiteren Exchange Server vor. Was wiederum

vor 1 Stunde schrieb NorbertFe:

Und dahinter dann 1 exchange

dieses "Problem" erledigt sowie im Idealfall einen passenden LoadBalancer inkl. Reverse Proxy mitbringt.

 

Fall gelöst. :)

Share this post


Link to post
Share on other sites

wir haben zwei haproxys in der DMZ. Die Exchanges hängen im internen Netz.

 

Ob in Zukunft die netscaler die Funktion der haproxys übernehmen ist noch nicht geklärt...

Share this post


Link to post
Share on other sites
Am 10.10.2019 um 00:14 schrieb Wolke2k4:

Hallo,

 

mich würde interessieren, wie ihr aktuell eure Exchange Umgebungen aus dem Internet absichert, wenn ihr den Zugriff darauf für Active Sync, OWA, Outlook Anywhere usw. ermöglicht, ohne, dass ihr einen VPN Zugang dafür bereitstellt, was ja kein direkter Zugriff aus dem Internet wäre.

 

Wir nutzen aktuell dafür noch immer einen Reverse Proxy unter W2Kx Server. WAP geht wohl auch, hier stört mich aber der Konfig Overhead mit ADFS um die reine AS, OWA usw. Durchleitung nutzen zu können.

 

 

Hi!

 

"Relativ" simpel geht das mit einer Sophos UTM, egal ob auf Blech oder virtuell und dann die Web Application Firewall (Reverse Proxy) davor.

Anleitung gibt es bei frankysweb.

 

Grüße,

Rüdiger

Share this post


Link to post
Share on other sites

Meine Antwort lautet - es kommt drauf an

 

Viele meiner Kunden reichen das einfach direkt durch, einige habe eine Firewall oder Loadbalancer, der das kann

 

Ist natürlich auch ein bisschen vom Geldbeutel abhängig... :grin3:

Share this post


Link to post
Share on other sites

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Restore formatting

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.


Werbepartner:



×
×
  • Create New...