User7070 10 Geschrieben 10. Januar 2007 Melden Teilen Geschrieben 10. Januar 2007 Hallo, ist es mit einem Risiko verbunden, einen Exchange Server 2003 direkt aus dem Internet erreichbar zu machen (Portweiterleitung / NAT auf der Firewall)? Ist das mit Risiken verbunden? Ich bin der Meinung, dass man das nicht so machen sollte, da auf einem Exchange Server in der Regel wichtige Daten liegen. Was meint Ihr? User7070 Zitieren Link zu diesem Kommentar
woiza 10 Geschrieben 10. Januar 2007 Melden Teilen Geschrieben 10. Januar 2007 Hi, man kann es so machen, wobei in sensiblen Umfeldern dann eigentlich ein Frontend oder gleich ein ISA in die DMZ gehören. Das Problem ist ja nicht nur der direkte Zugriff auf den Exchange von aussen, hoffentlich nur auf Port 25/443, sondern auch, dass du deine DMZ nach innen ziemlich aufmachen musst. Bei uns laufen die Mails aus dem Internet erst über 2 andere Systeme, bevor sie auf dem Exchange landen. Gruß woiza Zitieren Link zu diesem Kommentar
Monarch 10 Geschrieben 10. Januar 2007 Melden Teilen Geschrieben 10. Januar 2007 Das Problem ist ja nicht nur der direkte Zugriff auf den Exchange von aussen, hoffentlich nur auf Port 25/443, sondern auch, dass du deine DMZ ziemlich RBei uns laufen die Mails aus dem Internet erst über 2 andere Systeme, bevor sie auf dem Exchange landen. Ehm ja, ich kann mir ungefähr vorstellen, was du mit diesen Satzbruchstücken sagen wolltest :suspect: @User7070 Ich würde das niemals direkt veröffentlichen. Es ist sehr sinnvoll wenn davor ein ISA Server oder ähnliche Application Layer-Firewall steht, die die Zugriffe ggf. Filtern kann. Zitieren Link zu diesem Kommentar
marka 584 Geschrieben 10. Januar 2007 Melden Teilen Geschrieben 10. Januar 2007 Einen Exchangeserver würde ich prinzipiell, wenn ohne POP-Connectoren gearbeitet werden soll, in eine DMZ stellen. Jeder Dienst, der aus dem Internet erreichbar ist, ist prinzipiell angreifbar und mit Risiken verbunden. Deshalb würde ich die Gefahr auch durch die DMZ minimieren, und nur die zwingend benötigten Ports freigeben. Nach außen hin Port 110 TCP (POP3) ausgehend öffnen, eingehend Port 25 TCP (SMTP). Wenn Du OWA einsetzen willst, zusätzlich Port 80 TCP (HTTP) und bei OWA über HTTPS zusätzlich 443 TCP und UDP Ports für direkte Exchange-Verbindung sind mir leider derzeit unbekannt. Zitieren Link zu diesem Kommentar
substyle 20 Geschrieben 10. Januar 2007 Melden Teilen Geschrieben 10. Januar 2007 Ich finde das sich außer OWA alles auch getrost über ein VPN machen lässt, da bracuht es auch kein Exchange in der DMZ. Bei OWA würde ich wie schon erwähnt eine Front / Backend Lösung nebst DMZ und ISA bevorzugen! Grüße subby Zitieren Link zu diesem Kommentar
woiza 10 Geschrieben 10. Januar 2007 Melden Teilen Geschrieben 10. Januar 2007 Ehm ja, ich kann mir ungefähr vorstellen, was du mit diesen Satzbruchstücken sagen wolltest :suspect: @User7070 Ich würde das niemals direkt veröffentlichen. Es ist sehr sinnvoll wenn davor ein ISA Server oder ähnliche Application Layer-Firewall steht, die die Zugriffe ggf. Filtern kann. Off-Topic: Ohja, da hatte ich um die Uhrzeit wohl noch etwas Streit mit meiner Notebooktastatur. Habs korrigiert, danke für den Hinweis... Zitieren Link zu diesem Kommentar
woiza 10 Geschrieben 10. Januar 2007 Melden Teilen Geschrieben 10. Januar 2007 Einen Exchangeserver würde ich prinzipiell, wenn ohne POP-Connectoren gearbeitet werden soll, in eine DMZ stellen.Jeder Dienst, der aus dem Internet erreichbar ist, ist prinzipiell angreifbar und mit Risiken verbunden. Das ist richtig, allerdings ist bei einem kompromittierten Exchange ein riesen Scheunentor ins interne LAN verfügbar, weil in Richtung DC fast alles aufzumachen ist. Ob man da noch von einer DMZ sprechen kann, ist fraglich. Wenn ein Postfix in der DMZ steht, dann ist nach innen und aussen nur 25 offen. Sollte der Postfix kompromittiert werden, hätte der Angreifer nach innen nur 25 offen. Von meinen Domänendaten ist er dann noch weit entfernt. Wenn ich OWA möchte, würde ich evtl. über nen ISA nachdenken. Klar bei einer kleinen Struktur ist das vielleicht ein bißchen viel Aufwand, aber sicherer wäre es ohne Exchange direkt in der DMZ. Deshalb würde ich die Gefahr auch durch die DMZ minimieren, und nur die zwingend benötigten Ports freigeben. Nach außen hin Port 110 TCP (POP3) ausgehend öffnen, eingehend Port 25 TCP (SMTP). Wenn Du OWA einsetzen willst, zusätzlich Port 80 TCP (HTTP) und bei OWA über HTTPS zusätzlich 443 TCP und UDP Ports für direkte Exchange-Verbindung sind mir leider derzeit unbekannt. Falls du mit direkter E2k3-Verbindung MAPI von außen meinst, würde ich auf RPC over HTTP zurückgreifen, dann reichen die genannten Ports. Ansonsten müsste ich ja nach außen RPC und eine Latte Highports aufmachen. Das Problem ist aber, dass nach INNEN alles aufzumachen ist, was ein AD-Client so braucht. Gruß woiza Zitieren Link zu diesem Kommentar
Peda 10 Geschrieben 10. Januar 2007 Melden Teilen Geschrieben 10. Januar 2007 Wenn man sowas macht, dann doch bitte richtig mit ISA der die Veröffentlichung vornimmt und daran ein FrontEnd Server. Dann macht man nur nen Port von ISA zum FE auf. Der Backend Exchange bleibt unberührt. Die Kommunikation findet per RPC statt. Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.