Dirk-HH-83 13 Posted March 9 Report Share Posted March 9 (edited) Hallo, ist es realistisch, das man bei einer Firewall Policy die Port 443 zum Exchange eingehend erlaubt restriktiv z.B. nur "T-Mobile" erlaubt wäre? Grund: alle Firmenhandies haben D1 SIM Karten, kein MDM vorhanden. Firewalls können ja meistens dies im "from" feld: Wildcard IPv4 Host Range IPv4 Network IPv4 FQDN +++++ FQDN Test war negativ, wenn man dies verwendet: *.customers.d1-online.com *.dip0.t-ipconnect.de Edited March 9 by Dirk-HH-83 Quote Link to post
testperson 737 Posted March 9 Report Share Posted March 9 Hi, das sollte machbar sein, sofern du die T-Mobile Netze in Erfahrung bringst. Ich gehe aber davon aus, dass es sicherlich eine Reihe an Bot-Netz-Membern gibt, die ebenfalls T-Mobile nutzen und dich dann eben aus einer erlaubten Range attackieren. Neben "klassischem VPN" könnte ein MPLS / Provider Routing auch für Mobilfunk ein Ansatz sein, damit der Exchange nicht von extern erreichbar ist. Ansonsten eben noch der Ansatz "Reverse Proxy" / "Web Application Firewall" samt Pre-Authentication. Eine weitere Alternative - im Bereich Security - könnte durchaus Exchange online sein. Gruß Jan Quote Link to post
NorbertFe 736 Posted March 9 Report Share Posted March 9 vor 33 Minuten schrieb testperson: "Web Application Firewall" samt Pre-Authentication. Na das wird aber eben in vielen Fällen nicht helfen. Wieviele kennst du, die /rpc /mapi /ews per Pre-Auth können und das auch so konfigurieren? Quote Link to post
testperson 737 Posted March 9 Report Share Posted March 9 vor 5 Minuten schrieb NorbertFe: Na das wird aber eben in vielen Fällen nicht helfen. Wieviele kennst du, die /rpc /mapi /ews per Pre-Auth können und das auch so konfigurieren? Daher: vor 40 Minuten schrieb testperson: Eine weitere Alternative - im Bereich Security - könnte durchaus Exchange online sein. :) Quote Link to post
NilsK 1,391 Posted March 9 Report Share Posted March 9 Moin, denkbar ist vieles, aber ist es auch sinnvoll? Du verhinderst damit den Zugriff, wenn ein Mitarbeiter sein Handy in ein WLAN hängt. Dafür lässt du beliebige andere Telekom-Nutzer zu. Wenig gewonnen, viel verloren, denke ich. Gruß, Nils Quote Link to post
NorbertFe 736 Posted March 9 Report Share Posted March 9 vor 2 Stunden schrieb testperson: Daher: :) Das sieht ms auch so. Allerdings würde ich wetten hatten die vermutlich das selbe Problem, nur früher reagieren können. Netterweise ist der Patch ja vom 14.2. signiert, lag also locker zwei Wochen auf Halde. :/ und bei o365 kannst du ja nicht prüfen. ;) Quote Link to post
Dirk-HH-83 13 Posted March 10 Author Report Share Posted March 10 (edited) aus der kategorie: "drum-herum-basteln" oder "auch wenig kann wirkmächtig sein" (keine aktive lizenz notwendig) Firewalls mit roten Gehäuse können eingehende Port 443 Aufrufe nur dann zum Exchange splitten/durchlassen, wenn der externe DNS Name "erkannt/ermittelt/aufgerufen" wurde Hafnium wurde doch vermutlich über SHODAN mittels IP Adressen verteilt Dann wären im Exchangezertifikate z.B. diese "alternativen Antragstellernamen" DNS-Name=geheime-owa-adresse.firma.de DNS-Name=exchange-server.firma-domäne.local DNS-Name=AutoDiscover.firma-domäne.local DNS-Name=AutoDiscover.firma.de DNS-Name=exchange-server DNS-Name=firma-domäne.local DNS-Name=firma.de Edited March 10 by Dirk-HH-83 Quote Link to post
Recommended Posts
Join the conversation
You can post now and register later. If you have an account, sign in now to post with your account.