wernbert 10 Geschrieben 25. Februar 2008 Melden Teilen Geschrieben 25. Februar 2008 Hallo Leute! Ich stehe vor einem kleinen Sicherheitsproblem! Mein Server läuft sehr gut, jetzt habe ich der Geschäftsleitung vorgeschlagen dass wir auch OWA nützen! Jetzt meine Bedenken betreffend Sicherheit: Der Zugriff soll mittels Web-Client möglich sein! Wir haben eine Fixe IP und irgendwie hab ich da bedenken einfach einen Port ins LAN freizuschalten! Wie löse ich jetzt am besten mein Problem: mit zertifikaten? oder doch einfach Port-Freischalten VPN fällt weg da die Benutzer von irgendwo zugreifen und nicht immer den eigen Laptop mithaben! wie würdet ihr das realisieren?? Zitieren Link zu diesem Kommentar
Baw 10 Geschrieben 25. Februar 2008 Melden Teilen Geschrieben 25. Februar 2008 Hallo Ich kann mal sagen wie das ganze bei uns läuft: OWA über einen FrontEnd-Server in der öffentlichen DMZ bereitgestellt. Dieser kann nur über HTTPS erreicht werden. Die Verbindung wird durch ein Nicht-Offizielles Zertifikat gesichert. Geplant ist, dass beim Wechsel auf Exchange 2007 ein öffentliches Zertifikat verwendet wird. Was dein Vorhaben anbelangt hätte ich auch Bedenken einfach mal Ports Internet-LAN frei zu schalten. Wobei die Absicherung der Verbindung über ein Zertifikat keine Alternative zur Freigabe von Ports bietet (hat ja nichts miteinander zu tun). Was ich auf keinen Fall machen würde ist ohne https zu arbeiten bzw. den Zugriff über http zuzulassen. Nun stellt sich natürlich die Frage nach den benötigten Mitteln und der benötigten Sicherheit. Die Risiken musst du selber abwägen bzw. was für dich möglich ist. Zitieren Link zu diesem Kommentar
NorbertFe 2.032 Geschrieben 25. Februar 2008 Melden Teilen Geschrieben 25. Februar 2008 OWA per FE Server in einer DMZ ist seit Exchange 2003 schon keine sonderlich empfehlenswerte Konfig mehr. Eigentlich war es das auch mit Exchange 2000 nie, wenn auch MS das so propagierte. Insofern wenn man nur einen Server hat, ist ein ISA Server sicherlich die beste Lösung um einen Exchange nach extern zu veröffentlichen. Einen Port mußt du auch mit Zertifikaten nach aussen veröffentlichen. Generell kannst du je nach Budget natürlich noch eine Zweifaktor Authentifizierung wie bspw. Safeword oder RSA konfigurieren. Bye Norbert Zitieren Link zu diesem Kommentar
Baw 10 Geschrieben 25. Februar 2008 Melden Teilen Geschrieben 25. Februar 2008 OWA per FE Server in einer DMZ ist seit Exchange 2003 schon keine sonderlich empfehlenswerte Konfig mehr. Um noch was dazu zu lernen: Wieso ist die Konfiguration nicht empfohlen? Wir haben vor es mit dem Exchange 2007 genau gleich zu realisieren. Zitieren Link zu diesem Kommentar
NorbertFe 2.032 Geschrieben 25. Februar 2008 Melden Teilen Geschrieben 25. Februar 2008 Um noch was dazu zu lernen: Wieso ist die Konfiguration nicht empfohlen? Wir haben vor es mit dem Exchange 2007 genau gleich zu realisieren. Bei Exchange 2007 gibt es die Edge Role, da ist das wieder eine empfohlene Lösung. Bei Exchange 2000/2003 war es keine Empfehlung, weil du von der DMZ aus in dein LAN zuviele Ports öffnen mußt, da sich dein Domainmitglied (Exchangeserver) ja auch mit deinen DCs unterhalten will/muß. Insofern erreichst du selbst mit Frontend Server in Zusammenspiel mit dem ISA deutlich mehr Sicherheit wenn der FE im LAN stünde. Wie geschrieben, bei Exchange 2007 mit Edge Role dann nicht mehr. Dann brauchst du für den OWA Zugriff (CAS) aber auch der muß im LAN stehen. Bye Norbert Zitieren Link zu diesem Kommentar
nerd 28 Geschrieben 25. Februar 2008 Melden Teilen Geschrieben 25. Februar 2008 Hi, wie sieht denn euer Schutzbedarf aus, und was ist schon vorhanden? Die Revisionssichere Lösung wäre: 1. Firewall 2. Reverse Proxy 3. Exchange (am besten 2k7) 4. interne Firewall 5. Lan Viele Grüße Zitieren Link zu diesem Kommentar
Baw 10 Geschrieben 26. Februar 2008 Melden Teilen Geschrieben 26. Februar 2008 da sich dein Domainmitglied (Exchangeserver) ja auch mit deinen DCs unterhalten will/muß. Unser FE-Server ist nicht Mitglied der Domäne, sondern ein eingenständiger Server. Die Authentifizierung der User läuft ausserdem über dein internen Exchange (BE). Dann sind es nur noch ein paar Ports (fünf glaub ich?!) die auch nur vom FE zum BE zugelassen werden. Oder habe ich deinen Post falsch verstanden? Zitieren Link zu diesem Kommentar
NorbertFe 2.032 Geschrieben 26. Februar 2008 Melden Teilen Geschrieben 26. Februar 2008 Unser FE-Server ist nicht Mitglied der Domäne, sondern ein eingenständiger Server. Die Authentifizierung der User läuft ausserdem über dein internen Exchange (BE). Dann sind es nur noch ein paar Ports (fünf glaub ich?!) die auch nur vom FE zum BE zugelassen werden.Oder habe ich deinen Post falsch verstanden? Wenn du Exchange 2003 Frontend Server einsetzt, dann ist der definitiv ein Domainmitglied. Ohne Domain kein Exchange. Zitieren Link zu diesem Kommentar
Baw 10 Geschrieben 26. Februar 2008 Melden Teilen Geschrieben 26. Februar 2008 Ich weiss nicht exakt wie der Server konfiguriert ist, aber er ist definitiv nicht Mitglied der Domäne. Ich war nicht dabei als der Exchange installiert wurde und kenne die genaue Konfiguration von diesem nicht. Wobei ich nicht weiss, ob bei uns nicht eine spezielle Konstellation besteht. Bei uns werden keine Mails über das FE empfangen oder gesendet, es ist rein dafür da OWA bereit zu stellen. Die Mails laufen über eine McAfee Apliance direkt an den BE Exchange. Eins weiss ich auf jeden Fall, es läuft;) Zitieren Link zu diesem Kommentar
NorbertFe 2.032 Geschrieben 26. Februar 2008 Melden Teilen Geschrieben 26. Februar 2008 Ich weiss nicht exakt wie der Server konfiguriert ist, aber er ist definitiv nicht Mitglied der Domäne. Ich war nicht dabei als der Exchange installiert wurde und kenne die genaue Konfiguration von diesem nicht. Wobei ich nicht weiss, ob bei uns nicht eine spezielle Konstellation besteht. Bei uns werden keine Mails über das FE empfangen oder gesendet, es ist rein dafür da OWA bereit zu stellen. Die Mails laufen über eine McAfee Apliance direkt an den BE Exchange. Eins weiss ich auf jeden Fall, es läuft;) Er ist definitiv Mitglied einer Domain. Welcher, kommt auf deine Konfig an. Jedenfalls geht Exchange ohne AD nicht. Ausnahme Exchange 2007 Edge. Wenn du nur OWA über den FE bekommst, dann ist das sicher kein FE ;) Sondern eher ein ISA als Reverse Proxy. Bye Norbert Zitieren Link zu diesem Kommentar
Baw 10 Geschrieben 26. Februar 2008 Melden Teilen Geschrieben 26. Februar 2008 Er ist definitiv Mitglied einer Domain. Welcher, kommt auf deine Konfig an. Jedenfalls geht Exchange ohne AD nicht. Ausnahme Exchange 2007 Edge. Wenn du nur OWA über den FE bekommst, dann ist das sicher kein FE ;) Sondern eher ein ISA als Reverse Proxy. Bye Norbert Es ist gut möglich, dass es kein FE im "klassischen" Sinne ist, aber sicher ist, dass er nicht in der Domäne ist, Exchange darauf installiert ist und er owa bereit stellt. ISA haben wir nur als Proxy für die Mitarbeiter im Einsatz. Vielleicht war der Server auch mal in der Domäne und wurde empfernt (keine Ahnung ob das geht, ist nur mal so daher gesagt...) Zitieren Link zu diesem Kommentar
NorbertFe 2.032 Geschrieben 26. Februar 2008 Melden Teilen Geschrieben 26. Februar 2008 Es ist gut möglich, dass es kein FE im "klassischen" Sinne ist, aber sicher ist, dass er nicht in der Domäne ist, Exchange darauf installiert ist und er owa bereit stellt. ISA haben wir nur als Proxy für die Mitarbeiter im Einsatz. Vielleicht war der Server auch mal in der Domäne und wurde empfernt (keine Ahnung ob das geht, ist nur mal so daher gesagt...) Ohne Auskünfte kann ich und wahrscheinlich auch sonst niemand was sagen. Fakt ist, Exchange ohne Domain geht definitiv nicht. ISA der OWA veröffentlicht geht ohne Domain. Was bei euch steht kannst wohl nur du herausfinden... Zitieren Link zu diesem Kommentar
Baw 10 Geschrieben 26. Februar 2008 Melden Teilen Geschrieben 26. Februar 2008 Ohne Auskünfte kann ich und wahrscheinlich auch sonst niemand was sagen. Fakt ist, Exchange ohne Domain geht definitiv nicht. ISA der OWA veröffentlicht geht ohne Domain. Was bei euch steht kannst wohl nur du herausfinden... Schon klar, werde mir das Ding morgen mal etwas genauer anschauen und dann berichten was genau läuft. Im Übrigen läuft ein Exchange Enterprise auf dem FE und BE. Ausserdem haben wir noch eine Exchange Entreprise Lizenz auf Vorrat :D Sprich drei EE-Lizenzen, dabei würde eine EE und eine Standard reichen. War aber vor meiner Zeit;) Zitieren Link zu diesem Kommentar
NorbertFe 2.032 Geschrieben 26. Februar 2008 Melden Teilen Geschrieben 26. Februar 2008 Ausserdem haben wir noch eine Exchange Entreprise Lizenz auf Vorrat :D Sprich drei EE-Lizenzen, dabei würde eine EE und eine Standard reichen. War aber vor meiner Zeit;) Du bist der Hecht ;) Bye Norbert Zitieren Link zu diesem Kommentar
Baw 10 Geschrieben 28. Februar 2008 Melden Teilen Geschrieben 28. Februar 2008 Ich bin ein Held x( --> ISA Reverse Proxy Immerhin schön, dass wir die bessere Lösung einsetzen;) Gruess BeschämterBaw Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.