Huettenwirt 10 Geschrieben 26. Februar 2010 Melden Teilen Geschrieben 26. Februar 2010 Hallo zusammen, bei einem Bekannten von mir sind in der Firma folgende Ports am Router freigegeben und an den Server durchgeroutet: 25 -> OK für Exchange 47 -> Einwahl für Windows VPN oder?? 110 -> POP3 143 -> IMAP 443 -> SSL 993 -> IMAPS 1723 -> Ich denke nochmal VPN?? 12184 ->?? Ist das in Ordnung so oder ist die Konfiguration so gefährlich da evtl. Sicherheitslücken?? Vielen Dank für Eure Unterstützung!! Zitieren Link zu diesem Kommentar
LukasB 10 Geschrieben 26. Februar 2010 Melden Teilen Geschrieben 26. Februar 2010 PPTP besteht aus TCP/1723 und IP-Protokoll GRE (47). TCP Port 47 wird von PPTP nicht benötigt. Nutzt du denn POP3 und IMAP zum Zugriff auf den Exchange? Im Normalfall sollte dies geschlossen sein. Selbst Macs können mittlerweile mit Entourage WSE direkt mit Exchange reden, also gibt es keinen Grund für POP3/IMAP mehr. Was du auf 12184 laufen hast - keine Ahnung. Zitieren Link zu diesem Kommentar
Huettenwirt 10 Geschrieben 26. Februar 2010 Autor Melden Teilen Geschrieben 26. Februar 2010 Stimmt extern greift niemand über pop3 zu. intern schon wegen den apple mail clients.. Imap ist wegen den Blackberrys offen! Zitieren Link zu diesem Kommentar
Dukel 454 Geschrieben 26. Februar 2010 Melden Teilen Geschrieben 26. Februar 2010 Nicht gesperrte und weitergeleitete Ports sind nur dann ein Problem, wenn auf dem Port ein Programm mit einer Sicherheitslücke lauscht. So pauschal kann man deswegen nicht sagen, ob das so ok ist oder nicht. Zitieren Link zu diesem Kommentar
LukasB 10 Geschrieben 26. Februar 2010 Melden Teilen Geschrieben 26. Februar 2010 Blackberry brauchen kein IMAP, die kommunizieren über den BES. Entourage kann direkt mit Exchange reden, über die Exchange Web Services. (Exchange 2007 vorrausgesetzt) Zitieren Link zu diesem Kommentar
scirocco790 11 Geschrieben 26. Februar 2010 Melden Teilen Geschrieben 26. Februar 2010 Pop3 und Imap/S würde ich prüfen obs echt benötigt wird. Laufen die entsprechenden Dienste auf dem Exchange/Frontend überhaupt? Der Port 12xxx wäre zu prüfen für was der gut ist. Zur Not mal mitloggen ob sich auf dem Port was tut, ansonsten dichtmachen. Zitieren Link zu diesem Kommentar
Dy0nisus 10 Geschrieben 26. Februar 2010 Melden Teilen Geschrieben 26. Februar 2010 Also ich würde nur die verschlüsselten Varianten nutzen ... also imaps ... Zitieren Link zu diesem Kommentar
Huettenwirt 10 Geschrieben 26. Februar 2010 Autor Melden Teilen Geschrieben 26. Februar 2010 Die Blackberrys greifen über instantmail auf den Server zu. Blackberry Enterprise Server läuft nicht... Zitieren Link zu diesem Kommentar
Dukel 454 Geschrieben 26. Februar 2010 Melden Teilen Geschrieben 26. Februar 2010 Die Blackberrys greifen über instantmail auf den Server zu. Blackberry Enterprise Server läuft nicht... Wozu hat man dann Blackberries? Zitieren Link zu diesem Kommentar
Huettenwirt 10 Geschrieben 26. Februar 2010 Autor Melden Teilen Geschrieben 26. Februar 2010 Weiß ich auch noch nicht... Nächster Step ;-) Zitieren Link zu diesem Kommentar
nerd 28 Geschrieben 26. Februar 2010 Melden Teilen Geschrieben 26. Februar 2010 Hi, wenn man einen solchen AUfbau mit der Sicherheitsbrille anschaut, dann sieht das nciht gut aus. Grundsätzlich sollten nämlich keine keine Ports / Dienste direkt von extern nach intern geleitet werden. Entsprechender Datenverkehr sollte immer in einer DMZ proxifizert werden. Nur so erreicht man ein aus Sicherheitssicht vertretbares Level an Schutz. Zitieren Link zu diesem Kommentar
LukasB 10 Geschrieben 26. Februar 2010 Melden Teilen Geschrieben 26. Februar 2010 Grundsätzlich sollten nämlich keine keine Ports / Dienste direkt von extern nach intern geleitet werden. Entsprechender Datenverkehr sollte immer in einer DMZ proxifizert werden. Nur so erreicht man ein aus Sicherheitssicht vertretbares Level an Schutz. Im Prinzip Ja, aber. In einem typischen SBS-Setup für 5-10 Nasen wird sowas meist aus Budget-Mangel nicht umgesetzt. Ein DNAT-Szenario entspricht im SBS-Fall auch den gängigen Best Practices. Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.