Exchange Dienste zusätzlich absichern

[winmadness 79]

Hallo,

ich habe bereits im Forum von Frankysweb.de folgende Frage gestellt:

Ich habe eine Frage zu folgender Überlegung: Aus dem Internet ist nur ActiveSync über einen eigenen Port erreichbar. Alle anderen Dienste nur über VPN / LAN. Würde die Sicherheit von EAS erhöht werden, wenn ich einen eigenen vSwitch (Exchange läuft in einer Hyper-V VM) mit eigenem Netzwerk für den EAS Dienst anlegen würde. Ich könnte dieses Netzwerk auf dem Server über die "Öffentliche Firewall" komplett dicht machen und nur den EAS Port durchlassen. Auch in der OPNSense Firewall könnte ich das Netzwerk komplett absichern. Die Frage ist nun ob dieses einen potentiellen Angriff wie ProxyLogon verhindern könnte. Der Angreifer könnte bei einer vergleichbaren Sicherheitslücke in ActiveSync eine Webshell im EAS Verzeichnis ablegen. Wenn er sich dann noch Systemrechte über einen Exploit verschaffen könnte wäre das zusätzliche Netzwerk sinnlos. Eure Meinung hierzu.

[NorbertFe 2.230]

vor 9 Stunden schrieb winmadness:

könnte wäre das zusätzliche Netzwerk sinnlos. Eure Meinung hierzu.

Genau das. Die ganze Überlegung „Port verdrehen“, „anderes Netzwerk“ ist nichts anderes als Security by obscurity. Und sorgt außerdem dazu, dass ggf. Nicht mal active Sync am Ende immer funktioniert. Wenn du nur active Sync willst, dann nimm ne Prä-Authentifizierung dazu, dann hast du mehr gewonnen.

bearbeitet 21. März 2021 von NorbertFe

[testperson 1.809]

Hi,

 

sofern der "Free Loadbalancer" von Kemp noch das ESP integriert hat, wäre der einen Blick wert: Free Load Balancer for IT Admins, Software Developers, DevOps and Open Source Users

 

Gruß

Jan

[NorbertFe 2.230]

naja Lösungen dafür gibts viele. ;)

kemp hat dazu ein bisschen was veröffentlicht:

https://kemptechnologies.com/blog/everything-you-need-to-know-about-microsoft-exchange-server-hack/?utm_source=newsletter&utm_medium=email&utm_campaign=blog-insights&utm_content=exchange-server-hack&mkt_tok=Nzk5LVdGQy03NDgAAAF76R2cE71epwA9mDyfwzYj3zoipJ7qaZmPF8VxGvejtjOE8uKiAzAJHB2PFW19J9QQiL_-rxChQHDG7ubdBw0nxILhknohtLbEj-50WdXR7lw

bearbeitet 21. März 2021 von NorbertFe

[winmadness 79]

vor 3 Stunden schrieb NorbertFe:

Genau das. Die ganze Überlegung „Port verdrehen“, „anderes Netzwerk“ ist nichts anderes als Security by obscurity

Es geht nicht um "Security by obscurity", sondern um eine Absicherung der Verbindung. Den EAS Port habe ich nicht zur Verschleierung geändert, sondern aus rein praktischen Erwägungen - ist bei der Freigabe / Sperrung von Ports in der Firewall einfach zu handeln.

@all: Danke für die Tipps. Ich habe die OPNSense Firewall im Einsatz, mal sehen was ich hier machen kann.

[NorbertFe 2.230]

Magst du so sehen, ändert aber nix an meiner Aussage.

[Siduxbox 0]

Hallo Zusammen,

 

suche schon seit längerem eine Möglichkeit mein On-Premise Exchange zusätzich abzusichern und bin mit unserer FW und dem Reverse Proxy (Geo Blocking, usw) nicht wirklich glücklich. Zukünftig will die neue Cloud MDM Lösung auch einen veröffentlichten Exchange :-(! Bin dann nach langem rum googeln hier gelandet: https://www.msf-itservice.de/managed-active-proxy.html 

Hab heute mal angerufen! Die machen ein Cloud Active Sync Proxy via Zertifikat und interner CA den man dann explizit auf der FW per NAT und FW auf 443 allowed - restlicher Traffic kommt dann halt auch nicht mehr an. Hab mal ein Angebot angefordert - hört sich aber ganz vernünftig an. Was meint ihr?

 

Cheers

 

Frank

[cj_berlin 1.448]

Das ist vermutlich auch Werbung, aber die Lösung besteht ja darin, dass Du auf Deiner Firewall nur den Zugriff auf den Exchange auf Port 443 von den Adressen des MSF freischalten musst. Die Endgeräte sprechen dann mit MSF und nicht mit Deinem Exchange. Ist also nicht "security by obscurity", sondern "security by reverse proxy", und wenn letzterer intelligent genug ist, wäre das ja auch  das, was man für Webdienste grundsätzlich macht.