Jump to content

Exchange Dienste zusätzlich absichern


Recommended Posts

Hallo,

ich habe bereits im Forum von Frankysweb.de folgende Frage gestellt:

Ich habe eine Frage zu folgender Überlegung: Aus dem Internet ist nur ActiveSync über einen eigenen Port erreichbar. Alle anderen Dienste nur über VPN / LAN. Würde die Sicherheit von EAS erhöht werden, wenn ich einen eigenen vSwitch (Exchange läuft in einer Hyper-V VM) mit eigenem Netzwerk für den EAS Dienst anlegen würde. Ich könnte dieses Netzwerk auf dem Server über die "Öffentliche Firewall" komplett dicht machen und nur den EAS Port durchlassen. Auch in der OPNSense Firewall könnte ich das Netzwerk komplett absichern. Die Frage ist nun ob dieses einen potentiellen Angriff wie ProxyLogon verhindern könnte. Der Angreifer könnte bei einer vergleichbaren Sicherheitslücke in ActiveSync eine Webshell im EAS Verzeichnis ablegen. Wenn er sich dann noch Systemrechte über einen Exploit verschaffen könnte wäre das zusätzliche Netzwerk sinnlos. Eure Meinung hierzu.

Link to post
vor 9 Stunden schrieb winmadness:

könnte wäre das zusätzliche Netzwerk sinnlos. Eure Meinung hierzu.

Genau das. Die ganze Überlegung „Port verdrehen“, „anderes Netzwerk“ ist nichts anderes als Security by obscurity. Und sorgt außerdem dazu, dass ggf. Nicht mal active Sync am Ende immer funktioniert. Wenn du nur active Sync willst, dann nimm ne Prä-Authentifizierung dazu, dann hast du mehr gewonnen.

Edited by NorbertFe
Link to post
vor 3 Stunden schrieb NorbertFe:

Genau das. Die ganze Überlegung „Port verdrehen“, „anderes Netzwerk“ ist nichts anderes als Security by obscurity

Es geht nicht um "Security by obscurity", sondern um eine Absicherung der Verbindung. Den EAS Port habe ich nicht zur Verschleierung geändert, sondern aus rein praktischen Erwägungen - ist bei der Freigabe / Sperrung von Ports in der Firewall einfach zu handeln.

@all: Danke für die Tipps. Ich habe die OPNSense Firewall im Einsatz, mal sehen was ich hier machen kann.

Link to post

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

×
×
  • Create New...