Jump to content

Port 443 eingehend in der Firewall "härten"


Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Recommended Posts

Hallo, 

 

ist es realistisch, das man bei einer Firewall Policy die Port 443 zum Exchange eingehend erlaubt  restriktiv z.B. nur "T-Mobile" erlaubt wäre?

Grund:  alle Firmenhandies haben D1 SIM Karten, kein MDM vorhanden.

 

Firewalls können ja meistens dies im "from" feld:

Wildcard IPv4 
Host Range IPv4 
Network IPv4 
FQDN

 

+++++

 

FQDN Test war negativ, wenn man dies verwendet:

*.customers.d1-online.com

*.dip0.t-ipconnect.de

 

Edited by Dirk-HH-83
Link to post

Hi,

 

das sollte machbar sein, sofern du die T-Mobile Netze in Erfahrung bringst. Ich gehe aber davon aus, dass es sicherlich eine Reihe an Bot-Netz-Membern gibt, die ebenfalls T-Mobile nutzen und dich dann eben aus einer erlaubten Range attackieren.

 

Neben "klassischem VPN" könnte ein MPLS / Provider Routing auch für Mobilfunk ein Ansatz sein, damit der Exchange nicht von extern erreichbar ist. Ansonsten eben noch der Ansatz "Reverse Proxy" / "Web Application Firewall" samt Pre-Authentication. Eine weitere Alternative - im Bereich Security - könnte durchaus Exchange online sein.

 

Gruß

Jan

Link to post
vor 33 Minuten schrieb testperson:

"Web Application Firewall" samt Pre-Authentication.

Na das wird aber eben in vielen Fällen nicht helfen. Wieviele kennst du, die /rpc /mapi /ews per Pre-Auth können und das auch so konfigurieren?

Link to post
vor 5 Minuten schrieb NorbertFe:

Na das wird aber eben in vielen Fällen nicht helfen. Wieviele kennst du, die /rpc /mapi /ews per Pre-Auth können und das auch so konfigurieren?

Daher:

vor 40 Minuten schrieb testperson:

Eine weitere Alternative - im Bereich Security - könnte durchaus Exchange online sein.

:)

Link to post

Moin,

 

denkbar ist vieles, aber ist es auch sinnvoll?

 

Du verhinderst damit den Zugriff, wenn ein Mitarbeiter sein Handy in ein WLAN hängt. Dafür lässt du beliebige andere Telekom-Nutzer zu. Wenig gewonnen, viel verloren, denke ich.

 

Gruß, Nils

 

Link to post
vor 2 Stunden schrieb testperson:

Daher:

:)

Das sieht ms auch so. Allerdings würde ich wetten hatten die vermutlich das selbe Problem, nur früher reagieren können. Netterweise ist der Patch ja vom 14.2. signiert, lag also locker zwei Wochen auf Halde. :/ und bei o365 kannst du ja nicht prüfen. ;) 

Link to post
Posted (edited)

 

aus der kategorie:   "drum-herum-basteln"  oder  "auch wenig kann wirkmächtig sein"   (keine aktive lizenz notwendig)

Firewalls mit roten Gehäuse können eingehende Port 443 Aufrufe    nur dann zum Exchange splitten/durchlassen, wenn der externe DNS Name "erkannt/ermittelt/aufgerufen" wurde

Hafnium wurde doch vermutlich über SHODAN mittels IP Adressen verteilt

 

Dann wären im Exchangezertifikate z.B. diese "alternativen Antragstellernamen"

DNS-Name=geheime-owa-adresse.firma.de

DNS-Name=exchange-server.firma-domäne.local

DNS-Name=AutoDiscover.firma-domäne.local

DNS-Name=AutoDiscover.firma.de

DNS-Name=exchange-server

DNS-Name=firma-domäne.local

DNS-Name=firma.de

 

Edited by Dirk-HH-83
Link to post
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

×
×
  • Create New...