Jump to content

Exchange Dienste zusätzlich absichern


Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Empfohlene Beiträge

Hallo,

ich habe bereits im Forum von Frankysweb.de folgende Frage gestellt:

Ich habe eine Frage zu folgender Überlegung: Aus dem Internet ist nur ActiveSync über einen eigenen Port erreichbar. Alle anderen Dienste nur über VPN / LAN. Würde die Sicherheit von EAS erhöht werden, wenn ich einen eigenen vSwitch (Exchange läuft in einer Hyper-V VM) mit eigenem Netzwerk für den EAS Dienst anlegen würde. Ich könnte dieses Netzwerk auf dem Server über die "Öffentliche Firewall" komplett dicht machen und nur den EAS Port durchlassen. Auch in der OPNSense Firewall könnte ich das Netzwerk komplett absichern. Die Frage ist nun ob dieses einen potentiellen Angriff wie ProxyLogon verhindern könnte. Der Angreifer könnte bei einer vergleichbaren Sicherheitslücke in ActiveSync eine Webshell im EAS Verzeichnis ablegen. Wenn er sich dann noch Systemrechte über einen Exploit verschaffen könnte wäre das zusätzliche Netzwerk sinnlos. Eure Meinung hierzu.

Link zu diesem Kommentar
vor 9 Stunden schrieb winmadness:

könnte wäre das zusätzliche Netzwerk sinnlos. Eure Meinung hierzu.

Genau das. Die ganze Überlegung „Port verdrehen“, „anderes Netzwerk“ ist nichts anderes als Security by obscurity. Und sorgt außerdem dazu, dass ggf. Nicht mal active Sync am Ende immer funktioniert. Wenn du nur active Sync willst, dann nimm ne Prä-Authentifizierung dazu, dann hast du mehr gewonnen.

bearbeitet von NorbertFe
Link zu diesem Kommentar
vor 3 Stunden schrieb NorbertFe:

Genau das. Die ganze Überlegung „Port verdrehen“, „anderes Netzwerk“ ist nichts anderes als Security by obscurity

Es geht nicht um "Security by obscurity", sondern um eine Absicherung der Verbindung. Den EAS Port habe ich nicht zur Verschleierung geändert, sondern aus rein praktischen Erwägungen - ist bei der Freigabe / Sperrung von Ports in der Firewall einfach zu handeln.

@all: Danke für die Tipps. Ich habe die OPNSense Firewall im Einsatz, mal sehen was ich hier machen kann.

Link zu diesem Kommentar
  • 10 Monate später...

Hallo Zusammen,

 

suche schon seit längerem eine Möglichkeit mein On-Premise Exchange zusätzich abzusichern und bin mit unserer FW und dem Reverse Proxy (Geo Blocking, usw) nicht wirklich glücklich. Zukünftig will die neue Cloud MDM Lösung auch einen veröffentlichten Exchange :-(! Bin dann nach langem rum googeln hier gelandet: https://www.msf-itservice.de/managed-active-proxy.html 


Hab heute mal angerufen! Die machen ein Cloud Active Sync Proxy via Zertifikat und interner CA den man dann explizit auf der FW per NAT und FW auf 443 allowed - restlicher Traffic kommt dann halt auch nicht mehr an. Hab mal ein Angebot angefordert - hört sich aber ganz vernünftig an. Was meint ihr?

 

Cheers

 

Frank

Link zu diesem Kommentar

Das ist vermutlich auch Werbung, aber die Lösung besteht ja darin, dass Du auf Deiner Firewall nur den Zugriff auf den Exchange auf Port 443 von den Adressen des MSF freischalten musst. Die Endgeräte sprechen dann mit MSF und nicht mit Deinem Exchange. Ist also nicht "security by obscurity", sondern "security by reverse proxy", und wenn letzterer intelligent genug ist, wäre das ja auch  das, was man für Webdienste grundsätzlich macht.

Link zu diesem Kommentar
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Schreibe einen Kommentar

Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.

Gast
Auf dieses Thema antworten...

×   Du hast formatierten Text eingefügt.   Formatierung jetzt entfernen

  Only 75 emoji are allowed.

×   Dein Link wurde automatisch eingebettet.   Einbetten rückgängig machen und als Link darstellen

×   Dein vorheriger Inhalt wurde wiederhergestellt.   Editor-Fenster leeren

×   Du kannst Bilder nicht direkt einfügen. Lade Bilder hoch oder lade sie von einer URL.

×
×
  • Neu erstellen...