Dirk-HH-83 14 Geschrieben 9. März 2021 Melden Geschrieben 9. März 2021 (bearbeitet) Hallo, ist es realistisch, das man bei einer Firewall Policy die Port 443 zum Exchange eingehend erlaubt restriktiv z.B. nur "T-Mobile" erlaubt wäre? Grund: alle Firmenhandies haben D1 SIM Karten, kein MDM vorhanden. Firewalls können ja meistens dies im "from" feld: Wildcard IPv4 Host Range IPv4 Network IPv4 FQDN +++++ FQDN Test war negativ, wenn man dies verwendet: *.customers.d1-online.com *.dip0.t-ipconnect.de bearbeitet 9. März 2021 von Dirk-HH-83 Zitieren
testperson 1.807 Geschrieben 9. März 2021 Melden Geschrieben 9. März 2021 Hi, das sollte machbar sein, sofern du die T-Mobile Netze in Erfahrung bringst. Ich gehe aber davon aus, dass es sicherlich eine Reihe an Bot-Netz-Membern gibt, die ebenfalls T-Mobile nutzen und dich dann eben aus einer erlaubten Range attackieren. Neben "klassischem VPN" könnte ein MPLS / Provider Routing auch für Mobilfunk ein Ansatz sein, damit der Exchange nicht von extern erreichbar ist. Ansonsten eben noch der Ansatz "Reverse Proxy" / "Web Application Firewall" samt Pre-Authentication. Eine weitere Alternative - im Bereich Security - könnte durchaus Exchange online sein. Gruß Jan Zitieren
NorbertFe 2.224 Geschrieben 9. März 2021 Melden Geschrieben 9. März 2021 vor 33 Minuten schrieb testperson: "Web Application Firewall" samt Pre-Authentication. Na das wird aber eben in vielen Fällen nicht helfen. Wieviele kennst du, die /rpc /mapi /ews per Pre-Auth können und das auch so konfigurieren? Zitieren
testperson 1.807 Geschrieben 9. März 2021 Melden Geschrieben 9. März 2021 vor 5 Minuten schrieb NorbertFe: Na das wird aber eben in vielen Fällen nicht helfen. Wieviele kennst du, die /rpc /mapi /ews per Pre-Auth können und das auch so konfigurieren? Daher: vor 40 Minuten schrieb testperson: Eine weitere Alternative - im Bereich Security - könnte durchaus Exchange online sein. :) Zitieren
NilsK 3.017 Geschrieben 9. März 2021 Melden Geschrieben 9. März 2021 Moin, denkbar ist vieles, aber ist es auch sinnvoll? Du verhinderst damit den Zugriff, wenn ein Mitarbeiter sein Handy in ein WLAN hängt. Dafür lässt du beliebige andere Telekom-Nutzer zu. Wenig gewonnen, viel verloren, denke ich. Gruß, Nils Zitieren
NorbertFe 2.224 Geschrieben 9. März 2021 Melden Geschrieben 9. März 2021 vor 2 Stunden schrieb testperson: Daher: :) Das sieht ms auch so. Allerdings würde ich wetten hatten die vermutlich das selbe Problem, nur früher reagieren können. Netterweise ist der Patch ja vom 14.2. signiert, lag also locker zwei Wochen auf Halde. :/ und bei o365 kannst du ja nicht prüfen. ;) Zitieren
Dirk-HH-83 14 Geschrieben 10. März 2021 Autor Melden Geschrieben 10. März 2021 (bearbeitet) aus der kategorie: "drum-herum-basteln" oder "auch wenig kann wirkmächtig sein" (keine aktive lizenz notwendig) Firewalls mit roten Gehäuse können eingehende Port 443 Aufrufe nur dann zum Exchange splitten/durchlassen, wenn der externe DNS Name "erkannt/ermittelt/aufgerufen" wurde Hafnium wurde doch vermutlich über SHODAN mittels IP Adressen verteilt Dann wären im Exchangezertifikate z.B. diese "alternativen Antragstellernamen" DNS-Name=geheime-owa-adresse.firma.de DNS-Name=exchange-server.firma-domäne.local DNS-Name=AutoDiscover.firma-domäne.local DNS-Name=AutoDiscover.firma.de DNS-Name=exchange-server DNS-Name=firma-domäne.local DNS-Name=firma.de bearbeitet 10. März 2021 von Dirk-HH-83 Zitieren
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.