Jump to content

Recommended Posts

Guten Tag liebe Community,

 

da dies mein erster Beitrag ist, möchte ich ein paar Angaben zu meiner Person und Tätigkeit machen.

Ich bin 26 Jahre alt und frisch gebackener Absolvent eines Informatikstudiums mit Schwerpunkten in der IT-Sicherheit (Pentesting, Kryptologie, Softwaresicherheit, Spezielle Verfahren der ITS). Passend zu diesem Schwerpunkt untersuchte ich im Rahmen meiner Praxisphase die IT einer öffentlichen Verwaltung hinsichtlich BSI-Standards. Wie es dann manchmal so ist, hab ich mich recht wohl in der kleinen IT-Abteilung gefühlt und war im Anschluss weiterhin als Werkstudent tätig und bekam direkt eine volle Stelle als unterstützende Kraft bei der Systemadministration. Ich denke es ist daher nicht allzu verwunderlich, dass sich meine praktische Erfahrung noch in Grenzen hält und auch Microsoft Produkte stehen für gewöhnlich nicht auf dem Lehrplan im Studium.

 

Nun kommen wir zum technischen: 

Wir betreiben intern eine Windows Domäne mit rund 80 Windows 10 Clients. Für einige externe Dienstleistungen wachsen die Nutzerzahlen auf 4-500( bspw. E-Mail Konten).

Letztes Jahr stand, wie wahrscheinlich für die allermeisten Betreiber des 2008 R2, eine Migration der Windows Server auf die 2019er Version. Im selben Zuge wurde die Gelegenheit genutzt und eine neue Domäne aufgezogen und das 2010er Office gegen 2019er (kein O365) getauscht. Hinzu kam dann ein Exchange Server, da das Verlangen nach einer tauglichen Groupware zunahm. Da wir uns nicht direkt 600 Mail Konten ins Haus holen wollten, holten wir uns nur die Domänen-Benutzer auf den Exchange und dieser holt die Konten beim eigentlichen Mailserver ab (POPCon). Das Ganze funktioniert soweit auch, heißt ja aber noch lange nichts und ich weiß, dass es entfernt von gut ist. Die aktuelle Netzstruktur brauche ich nicht groß zu erklären, das wird alles erneuert. Jedoch steht der Exchange zur Zeit einfach hinter einer FritzBox mit entsprechenden Port-Freigaben und dahinter kommt das klassische 192.168.1.0/24 für alles im gesamten Haus. Das dies grober Unfug ist weiß ich und wird angepackt. Dies bedeutet, dass ich nebenher ein neues Netz hinter einer ausgewachsenen Gateprotect Firewall (War schon vor meiner Zeit vorhanden) aufbaue. Das lässt sich relativ komfortabel bewerkstelligen, weil wir einen neuen Glasfaseranschluss haben und den alten solange weiter laufen lassen, bis eben die Planung des zukünftigen Netzes andauert. Heißt ich werde unter anderem Netzwerksegmentierung und sinnvolle Firewallregeln einführen.  

 

Zur Kernfrage (tl;dr):

 

Wie mache ich den Exchange am Besten von außen erreichbar ohne die Sicherheit komplett zu vernachlässigen und wo platziere ich ihn im Netz?

 

Option 1: Ich schalte den Exchange hinter einen Reverse-Proxy den die Firewall mitbringt. 

Option 2: Der Exchange steht in der DMZ und die Firewall leitet entsprechende Anfragen dorthin.

Option 3: Eine Lösung über VPN. 

Option 4: Aufteilung von Exchange in Back- und Frontend?

 

Meine Einschätzungen:

Option 1: Klingt erstmal nicht verkehrt in meinen Augen. 

Option 2: missfällt mir eigentlich schon, habe aber schon öfter gelesen, dass das so betrieben wird. 

Option 3: ist aufgrund der Tatsache, dass wir unsere Domäne mithilfe von Always-On-VPN eh auch übers Internet erreichbar machen wollen, durchaus charmant. Hätte auch den Vorteil, dass man die Kontrolle darüber hätte, welche Geräte sich mit unserem Netz und somit auch dem Exchange verbinden. Diese wären fest in unserer Hand, sprich GPOs, eingeschränkte Benutzerrechte etc. 

Option 4: Habe ich mich am wenigsten mit befasst, würde den Exchange Server wenns geht lieber nicht umkrempeln wollen. 

 

 

 

 

Share this post


Link to post
Share on other sites
vor einer Stunde schrieb sysop9198:

Wie mache ich den Exchange am Besten von außen erreichbar ohne die Sicherheit komplett zu vernachlässigen und wo platziere ich ihn im Netz?

Kommt auf die Anforderungen hinsichtlich Sicherheit an. Grundsätzlich wär ein Reverse Proxy nicht verkehrt, aber auch allein ist der Exchange jetzt nicht zwingenderweise das größte Risiko, wenn man ihn korrekt konfiguriert. Da das ding ja vor allem von intern erreichbar ist, ist ein Exchange von der Positionierung ähnlich wie ein DC. Den stellst ja auch nicht in die DMZ, bloß weil da ggf. LDAP benötigt wird. Also Option 1.

Option 2 kann sinnvoll sein, aber das kann man hier sicher nicht ohne weiteres klären. Option 3 ginge zwar, aber dürfte für vieles ziemlich unpraktisch sein. Option 4.. Schonmal versucht? ;) BE und FE war Exchange 2003!

Share this post


Link to post
Share on other sites

Option 4 ist der Edge Server gemeint. Ist aber eher für den SMTP Traffik und nicht für die Client Zugriffe.

 

EDIT:

BE und FE bei Exchange 2003 war nie für eine DMZ gedacht!

Edited by Dukel

Share this post


Link to post
Share on other sites
Gerade eben schrieb Dukel:

Ist aber eher für den SMTP Traffik und nicht für die Client Zugriffe.

NUR (nicht eher) für SMTP Server Traffic, wenn wir schon dabei sind.

Share this post


Link to post
Share on other sites

Ich bedanke mich schonmal für die Antworten.

 

@NorbertFe: Die Anforderungen an die Sicherheit würde ich jetzt als nicht zu allzu hoch einstufen. Genaue Vorgaben haben wir leider nicht. 

 

Dann nehm ich aber mal so auf, dass die von mir genannten Optionen im Grunde schon in Ordnung sind. Mit einer VPN-Lösung mache ich mir unter den Anwendern natürlich keine Freunde, die kennen das jetzt anders. Wenn aber ein Reverse-Proxy auch eine übliche Umsetzung ist, dann bekommt der Anwender davon ja gar nichts mit. 

 

Wenn Option 4 eh schon lange Geschichte ist, auch gut. Waren dann alte Artikel über die ich mal gestolpert bin. 

 

Bzgl. Edge-Transport: 

Unser Exchange versendet ja eh schon über einen Smarthost, da unser MX Eintrag für die Domain noch bei Strato liegt. Da sehe ich jetzt  nicht wozu ich den beim momentanen Aufbau bräuchte? 

 

Share this post


Link to post
Share on other sites

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Restore formatting

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.


Werbepartner:



×
×
  • Create New...