winhar01 10 Geschrieben 6. Juli 2006 Melden Teilen Geschrieben 6. Juli 2006 Hallo, wir wollen für unsere externen User (der Einfachheit halber) den Zugriff auf Ihre Mail via Outlook Web Access realisieren. Technisch steht die Lösung, allerdings gibt es von Seiten unseres Sicherheitsbeauftragten die Bedenken, dass damit ja über Keylogger usw. die Firmendaten gefährdet werden können. Wie wird das bei Euch geregelt? Setzt Ihr OWA ein? Dürfen es alle benutzen oder nur "ausgewählte"? Gibt es noch zusätzliche Sicherheitsmechanismen? Würde mich über Informationen freuen. mfg Harald Winter P.S. Selbstverständlich geht OWA über https und einen Frontendserver in der DMZ. Zitieren Link zu diesem Kommentar
Christoph35 10 Geschrieben 6. Juli 2006 Melden Teilen Geschrieben 6. Juli 2006 Noch besser wäre es, einen ISA in die DMZ zu stellen und den FE-Exchange ins interne Netz und diesen dann über den ISA zu veröffentlichen. Bei uns wird Zugriff auf OWA nur über ein SSL-VPN gewährt, dass mit SecurID abgesichert ist. Christoph Zitieren Link zu diesem Kommentar
winhar01 10 Geschrieben 6. Juli 2006 Autor Melden Teilen Geschrieben 6. Juli 2006 Hallo, war vielleicht falsch ausgedrückt. Vor dem FrontEnd-Server steht schon ne Firewall, die nur Port 443 durchläßt. Allerdings ist das nicht so sehr das Sicherheitsproblem. Bei uns gewht es mehr darum, wie die Sicherheit auf den Clients, z.B. Internetcafe gewährleistet wird. Gruß winhar01 Zitieren Link zu diesem Kommentar
Christoph35 10 Geschrieben 6. Juli 2006 Melden Teilen Geschrieben 6. Juli 2006 Lies Dir mal das zum Thema FE/BE durch :) http://www.microsoft.com/technet/prodtechnol/exchange/2003/library/febetop.mspx Und das zum Thema OWA: http://www.microsoft.com/technet/prodtechnol/exchange/guides/E2k3ClientAccGuide/c13a0fb5-a4af-4a16-825b-ebee1ab01a43.mspx?mfr=true Habt Ihr OWA Forms Based Authentication aktiviert? Da kann man auf der Login-Page auswählen, ob man an einem öffentlichen Rechner sitzt oder einem privaten. Unter anderem bestimmt das die Lebensdauer des Cookies, das gesetzt wird und den Umgang mit Attachments. Christoph Zitieren Link zu diesem Kommentar
winhar01 10 Geschrieben 6. Juli 2006 Autor Melden Teilen Geschrieben 6. Juli 2006 Hallo, ja wir haben Form based authentification. Aber das verhindert ja nicht, dass auf meinem Client möglicherweise ein Programm läuft, das die Tastatureingaben mitloggt. Klar, wir könnten jetzt jeden verdonnern, dass er nur mit einem Firmennotebook auf den Server zugreifen darf, aber schwer überwachbar. Abgesehen davon hat halt auch nicht jeder immer ein Firmennotebook greifbar, denn dann könnte er ja im Normalfall auch Outlook über vpn machen. Mich würde einfach interessieren, wie andere Firmen (bzw. deren Admins) zu dem Thema stellen, denn OWA wird ja durchaus bei ein paar Firmen eingesetzt. Gruß winhar01 Zitieren Link zu diesem Kommentar
nobex 10 Geschrieben 6. Juli 2006 Melden Teilen Geschrieben 6. Juli 2006 Aber das verhindert ja nicht, dass auf meinem Client möglicherweise ein Programm läuft, das die Tastatureingaben mitloggt. Bei Rechnern, über die Du keine Kontrolle hast, kannst Du das nie verhindern. Vieleicht gibt es einen Möglicheit mit Smartcards, aber bei Tastatureingaben kannst Du nichts machen. Zitieren Link zu diesem Kommentar
Otaku19 33 Geschrieben 6. Juli 2006 Melden Teilen Geschrieben 6. Juli 2006 Lies Dir mal das zum Thema FE/BE durch :) Habt Ihr OWA Forms Based Authentication aktiviert? Da kann man auf der Login-Page auswählen, ob man an einem öffentlichen Rechner sitzt oder einem privaten. Unter anderem bestimmt das die Lebensdauer des Cookies, das gesetzt wird und den Umgang mit Attachments. Christoph komtm das nciht auf die Exchange Version an? kann mich dunke erinenrn das es früher diese Auswahl nicht gab Zitieren Link zu diesem Kommentar
winhar01 10 Geschrieben 6. Juli 2006 Autor Melden Teilen Geschrieben 6. Juli 2006 Hallo, Bei Rechnern, über die Du keine Kontrolle hast, kannst Du das nie verhindern. Vieleicht gibt es einen Möglicheit mit Smartcards, aber bei Tastatureingaben kannst Du nichts machen. genau deshalb wollte ich ja wissen, wie es anderswo gehandhabt wird. Wie verhindern es Firmen, die OWA im Einsatz haben, denn mir ist keine praktikable Möglichkeit bekannt, wie ich Firmenlaptops den Zugang erlaube, während Internet-Cafe-Rechner aussperre - gut der Anwender könnte immer vorher anrufen, mir seine IP-Adresse mitteilen und dann schalte ich nur diese frei, aber das ist dann mehr ne ABM-Maßnahme. Gruß winhar01 Zitieren Link zu diesem Kommentar
GuentherH 61 Geschrieben 6. Juli 2006 Melden Teilen Geschrieben 6. Juli 2006 Hi. Wenn OWA oder Webmailprogramm (ist ja dann schließlich egal was es ist), dann hast du immer mit deinen genannten Problemen zu kämpfen. Wenn es um die Sicherheit der Firmendaten geht, dann würde ich den Zugriff ausschließlich über VPN erlauben. Das dies nur mit dem eigenen Notebook geht, sollte kein Problem sein, wenn die Einwahl nur mit einem VPN Client möglich ist. Dann ist eben der VPN Client nur auf dem Notebook installiert. Eine Möglichkeit wäre noch mit einer Authentification zu arbeiten, bei der der notwendige Client auf einem USB Stick vorhanden ist - z.B. von RSA - http://www.rsasecurity.com/node.asp?id=1219 LG Günther Zitieren Link zu diesem Kommentar
winhar01 10 Geschrieben 6. Juli 2006 Autor Melden Teilen Geschrieben 6. Juli 2006 Hallo, eine VPN-Lösung haben wir bereits implementiert, die auch fest an die Firmennotebooks gekoppelt ist. Allerdings kommt bei unseren Leuten halt immer wieder das Problem, dass Sie halt gerade mal kein Laptop dabei haben, aber ganz dringend auf Ihre Mails zugreifen müssen. Deshalb kam die Idee mit OWA. Ich vermute wir werden diese Lösung trotzdem einführen müssen, da der Druck von allen Seiten immer größer wird. Wir werden wahrscheinlich die OWA-Berechtigung für alle erstmal deaktivieren und dann halt nur die Berechtigten freischalten. Gibt es sonst noch ne Möglichkeit OWA Clientseitig abzusichern, z.B. Anmeldung über Zertfikat auf USB-Stick? Damit wären Keylogger schonmal außen vor. Wichtig ist halt, dass die Lösung möglichst ohne zusätzliche Software möglich ist. Gruß winhar01 Zitieren Link zu diesem Kommentar
gelöscht 0 Geschrieben 6. Juli 2006 Melden Teilen Geschrieben 6. Juli 2006 Hallo, nein, ohne zusätzliche Software ist keine weitere Sicherung möglich, RSA wurde schon gennannt. Meine Erfahrung: ein Unternehmen das auf Security Wert legt veröffentlicht kein OWA ins Internet. Gruss, ASR Zitieren Link zu diesem Kommentar
ChristianHemker 10 Geschrieben 6. Juli 2006 Melden Teilen Geschrieben 6. Juli 2006 Zum Thema RSA verweise ich gerne auf meinen Blog, dort habe ich die komplette Installation mal mit einigen Videos dokumentiert: http://hemker.blog.de/2006/04/15/blogcast_teil~729284 Zitieren Link zu diesem Kommentar
Christoph35 10 Geschrieben 7. Juli 2006 Melden Teilen Geschrieben 7. Juli 2006 komtm das nciht auf die Exchange Version an? kann mich dunke erinenrn das es früher diese Auswahl nicht gab Richtig, diese Möglichkeit gibt es erst mit Exch. 2003. Christoph Zitieren Link zu diesem Kommentar
winhar01 10 Geschrieben 7. Juli 2006 Autor Melden Teilen Geschrieben 7. Juli 2006 Hallo Christian, das mit RSA-Token hört sich gut an. Kannst Du mir da eine ungefähre Preisvorstellung geben, was diese Token + die Software für ca. 30 - 50 Benutzer kosten würde, das würde mir schon weiterhelfen. Gruß winhar01 Zitieren Link zu diesem Kommentar
ChristianHemker 10 Geschrieben 7. Juli 2006 Melden Teilen Geschrieben 7. Juli 2006 Bei Preisen bin ich echt überfragt, wende dich am besten an einen RSA Security Partner. Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.