bits 10 Geschrieben 27. Mai 2008 Melden Teilen Geschrieben 27. Mai 2008 Hallo Experten, Ich weiss, dass die optimale Lösung wäre ein ISA Server davorzuschalten. :rolleyes: Würdet Ihr überhaupt Euch trauen, einfach ein Portforwarding auf Port 443 direkt auf den Server zu machen? :shock: Bin da ein bisschen skeptisch. Falls ich es doch so machen sollte, auf was würdet Ihr achten. Gut, ich kann die Kontensperrdauer modifizieren etc. Was ich auch könnte wäre, über die Fortigate zuerst einen SSL VPN zu öffnen und dann zu connecten. Hmm, cooler wäre es direkt. Ohne erst eine VPN Session over SSL zu machen. Tips für eine einigermassen sichere Implementierung? :wink2: Zitieren Link zu diesem Kommentar
nerd 28 Geschrieben 27. Mai 2008 Melden Teilen Geschrieben 27. Mai 2008 Hi, wenn du eine tatsächlich sichere Lösung haben möchtest, dann solltest du auf keinen Fall einfach ein Portforwarding aktivieren. Das ist ein security nogo... Bietet deine Firewall zufällig eine reverse proxy Funktion? Damit könntest du deine FW zum https Endpunkt machen und von dieser mit einer neuen Verbindung auf den OWA gehen. Zitieren Link zu diesem Kommentar
bits 10 Geschrieben 27. Mai 2008 Autor Melden Teilen Geschrieben 27. Mai 2008 Hi Nerd :) Okey, hmm, grr, manno, muss ich unbedingt ein ISA aufsetzen? :rolleyes: Niet, denke nicht dass Reverse Proxy geht auf der Fortigate 50B.... :shock: Habe zumindest nichts davon gelesen im Manual... Naja, dann werde ich halt VPN over SSL verwenden.. :( Sagen wir mal so, mache ich ein normales Portforwarding, was könnte passieren, wenn ich die Sicherheitsrichtlinien so einstelle, dass nach 3 falschen Eingaben das Konto gesperrt ist, bis ich es wieder aktiviere?? :suspect: Zitieren Link zu diesem Kommentar
djmaker 95 Geschrieben 28. Mai 2008 Melden Teilen Geschrieben 28. Mai 2008 Gegenfrage: Wie kannst Du verhindern das jemand extern seine Domänenanmeldedaten im IE speichert und sich einen Computervirus einfängt? Zitieren Link zu diesem Kommentar
bits 10 Geschrieben 28. Mai 2008 Autor Melden Teilen Geschrieben 28. Mai 2008 Lach... Alles klar.. ;) Zitieren Link zu diesem Kommentar
nerd 28 Geschrieben 28. Mai 2008 Melden Teilen Geschrieben 28. Mai 2008 und um auf deine Frage an sich noch zu kommen. Das "einfachste" wäre ein DoS Angriff bei dem am Schluß alle deine Konten gesperrt sind (es sei denn ein Versuch war erfolgreich ;)). Das Grundsätzliche Problem bei solchen Konstrukten ist auch, dass der Netzwerkverkehr direkt in dein Internes Netzwerk geht. Damit entstehen potentielle Angriffsmöglichkeiten die zum Ziel haben auch andere Host / Ports in deinem Netz anzusprechen. Zitieren Link zu diesem Kommentar
bits 10 Geschrieben 28. Mai 2008 Autor Melden Teilen Geschrieben 28. Mai 2008 @Nerd: Weisst, ich kenne Firmen die das mit Portweiterleitung nutzen und sagen, sie hätten kaum Probleme damit.. Ich weiss nicht, ich hätte keine nerven dafür.. Aber eben die einen machen es so die anderen schalten einen ISA davor etc.. Ich nutze wohl lieber VPN over SSL ;) Zitieren Link zu diesem Kommentar
nerd 28 Geschrieben 28. Mai 2008 Melden Teilen Geschrieben 28. Mai 2008 Sicherheit ist immer so eine Sache - wenn man allerdings nichts dafuer tut, dann ist das wie Lotto spielen und das die quoten gegen einen stehen... ... und keine Probleme zu haben ist auch nur eine sehr schwache Aussage - wuerden die Firmen bemerken, wenn jemand in ihrem Netz Daten klauen wuerde? In aller Regel sparen solche Firmen naemlich nicht nur ein Firewalls sondern auch am Monitoring... Zitieren Link zu diesem Kommentar
bits 10 Geschrieben 28. Mai 2008 Autor Melden Teilen Geschrieben 28. Mai 2008 @nerd: Stimme Dir voll zu. Wobei mit keine Probleme zu haben meinten die, dass mit dem gehackt werden.. ;) Apropos, meine Fortinet 50B kann User Authentifizieren. Somit habe ich nun ne Rule erstellt die von 07:00 - 18:00 Uhr aktiv ist und gleichzeitig, bevor auf die OWA Site gelange, mich zuerst Authentifizieren muss an der Firewall. Erst dann lässt mich die Firewall durch. Feines Feature nicht Nerd? ;) Somit bin ich wieder auf der sicheren Seite oder? ;) Zitieren Link zu diesem Kommentar
LukasB 10 Geschrieben 28. Mai 2008 Melden Teilen Geschrieben 28. Mai 2008 Wir haben das bei fast all unseren SBS-Kunden so im Einsatz. Manchmal ist halt nicht immer wirtschaftlich in kleineren Unternehmungen. Negative Erfahrungen habe ich bisjetzt noch nicht gesamt - Auch sporadisches Log-Durchgucken zeigt kaum Brute-Force Angriffe. Zitieren Link zu diesem Kommentar
bits 10 Geschrieben 28. Mai 2008 Autor Melden Teilen Geschrieben 28. Mai 2008 @Lukas: Was habt Ihr auch so? Mit der Fortinet und Pre User Authentifizierung auf der Firewall? Oder Portforwarding?? :suspect: Zitieren Link zu diesem Kommentar
LukasB 10 Geschrieben 28. Mai 2008 Melden Teilen Geschrieben 28. Mai 2008 @Lukas: Was habt Ihr auch so? Mit der Fortinet und Pre User Authentifizierung auf der Firewall? Oder Portforwarding?? :suspect: Sorry, letzteres. Nur Portforwarding. Zitieren Link zu diesem Kommentar
bits 10 Geschrieben 29. Mai 2008 Autor Melden Teilen Geschrieben 29. Mai 2008 Ahh ok, und hattest damit noch nie Probleme?? Find ich cool.. :) Zitieren Link zu diesem Kommentar
LukasB 10 Geschrieben 29. Mai 2008 Melden Teilen Geschrieben 29. Mai 2008 Ahh ok, und hattest damit noch nie Probleme?? Find ich cool.. :) SBS-Kunden sind halt was spezielles - der typische Schweizer Small Business Inhaber gibt nicht gerne Zeug aus der Hand (Hosted Exchange etc.), will natürlich am liebsten garkein Geld für IT ausgeben, aber am Ende natürlich trotzdem alle Features haben. Das führt dann halt zu technischen Kompromissen, die üblicherweise garnichtmal so schlecht funktionieren. Die Leute wollen sich dann meistens selbst um alles kümmern (inklusive Softwarewartung, Backupchecks), und machen das meistens gewissenhafter als der typische KMU-IT-Angestellte. Eigentlich schlecht für uns als Dienstleiser ;) Zitieren Link zu diesem Kommentar
nerd 28 Geschrieben 29. Mai 2008 Melden Teilen Geschrieben 29. Mai 2008 ... aus security Sicht ist das aber kein guter Aufbau. Aber auf security legen leider die wenigsten KMU's Wert - bis mal etwas passiert und die Jungs merken wie stark sie von ihrem Server abhängig sind... Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.