winmadness 43 Posted March 20 Report Share Posted March 20 Hallo, ich habe bereits im Forum von Frankysweb.de folgende Frage gestellt: Ich habe eine Frage zu folgender Überlegung: Aus dem Internet ist nur ActiveSync über einen eigenen Port erreichbar. Alle anderen Dienste nur über VPN / LAN. Würde die Sicherheit von EAS erhöht werden, wenn ich einen eigenen vSwitch (Exchange läuft in einer Hyper-V VM) mit eigenem Netzwerk für den EAS Dienst anlegen würde. Ich könnte dieses Netzwerk auf dem Server über die "Öffentliche Firewall" komplett dicht machen und nur den EAS Port durchlassen. Auch in der OPNSense Firewall könnte ich das Netzwerk komplett absichern. Die Frage ist nun ob dieses einen potentiellen Angriff wie ProxyLogon verhindern könnte. Der Angreifer könnte bei einer vergleichbaren Sicherheitslücke in ActiveSync eine Webshell im EAS Verzeichnis ablegen. Wenn er sich dann noch Systemrechte über einen Exploit verschaffen könnte wäre das zusätzliche Netzwerk sinnlos. Eure Meinung hierzu. Quote Link to post
NorbertFe 739 Posted March 21 Report Share Posted March 21 (edited) vor 9 Stunden schrieb winmadness: könnte wäre das zusätzliche Netzwerk sinnlos. Eure Meinung hierzu. Genau das. Die ganze Überlegung „Port verdrehen“, „anderes Netzwerk“ ist nichts anderes als Security by obscurity. Und sorgt außerdem dazu, dass ggf. Nicht mal active Sync am Ende immer funktioniert. Wenn du nur active Sync willst, dann nimm ne Prä-Authentifizierung dazu, dann hast du mehr gewonnen. Edited March 21 by NorbertFe Quote Link to post
testperson 737 Posted March 21 Report Share Posted March 21 Hi, sofern der "Free Loadbalancer" von Kemp noch das ESP integriert hat, wäre der einen Blick wert: Free Load Balancer for IT Admins, Software Developers, DevOps and Open Source Users Gruß Jan Quote Link to post
NorbertFe 739 Posted March 21 Report Share Posted March 21 (edited) naja Lösungen dafür gibts viele. ;) kemp hat dazu ein bisschen was veröffentlicht: https://kemptechnologies.com/blog/everything-you-need-to-know-about-microsoft-exchange-server-hack/?utm_source=newsletter&utm_medium=email&utm_campaign=blog-insights&utm_content=exchange-server-hack&mkt_tok=Nzk5LVdGQy03NDgAAAF76R2cE71epwA9mDyfwzYj3zoipJ7qaZmPF8VxGvejtjOE8uKiAzAJHB2PFW19J9QQiL_-rxChQHDG7ubdBw0nxILhknohtLbEj-50WdXR7lw Edited March 21 by NorbertFe Quote Link to post
winmadness 43 Posted March 21 Author Report Share Posted March 21 vor 3 Stunden schrieb NorbertFe: Genau das. Die ganze Überlegung „Port verdrehen“, „anderes Netzwerk“ ist nichts anderes als Security by obscurity Es geht nicht um "Security by obscurity", sondern um eine Absicherung der Verbindung. Den EAS Port habe ich nicht zur Verschleierung geändert, sondern aus rein praktischen Erwägungen - ist bei der Freigabe / Sperrung von Ports in der Firewall einfach zu handeln. @all: Danke für die Tipps. Ich habe die OPNSense Firewall im Einsatz, mal sehen was ich hier machen kann. Quote Link to post
NorbertFe 739 Posted March 21 Report Share Posted March 21 Magst du so sehen, ändert aber nix an meiner Aussage. Quote Link to post
Recommended Posts
Join the conversation
You can post now and register later. If you have an account, sign in now to post with your account.