Huettenwirt 10 Geschrieben 26. Februar 2010 Melden Geschrieben 26. Februar 2010 Hallo zusammen, bei einem Bekannten von mir sind in der Firma folgende Ports am Router freigegeben und an den Server durchgeroutet: 25 -> OK für Exchange 47 -> Einwahl für Windows VPN oder?? 110 -> POP3 143 -> IMAP 443 -> SSL 993 -> IMAPS 1723 -> Ich denke nochmal VPN?? 12184 ->?? Ist das in Ordnung so oder ist die Konfiguration so gefährlich da evtl. Sicherheitslücken?? Vielen Dank für Eure Unterstützung!! Zitieren
LukasB 10 Geschrieben 26. Februar 2010 Melden Geschrieben 26. Februar 2010 PPTP besteht aus TCP/1723 und IP-Protokoll GRE (47). TCP Port 47 wird von PPTP nicht benötigt. Nutzt du denn POP3 und IMAP zum Zugriff auf den Exchange? Im Normalfall sollte dies geschlossen sein. Selbst Macs können mittlerweile mit Entourage WSE direkt mit Exchange reden, also gibt es keinen Grund für POP3/IMAP mehr. Was du auf 12184 laufen hast - keine Ahnung. Zitieren
Huettenwirt 10 Geschrieben 26. Februar 2010 Autor Melden Geschrieben 26. Februar 2010 Stimmt extern greift niemand über pop3 zu. intern schon wegen den apple mail clients.. Imap ist wegen den Blackberrys offen! Zitieren
Dukel 460 Geschrieben 26. Februar 2010 Melden Geschrieben 26. Februar 2010 Nicht gesperrte und weitergeleitete Ports sind nur dann ein Problem, wenn auf dem Port ein Programm mit einer Sicherheitslücke lauscht. So pauschal kann man deswegen nicht sagen, ob das so ok ist oder nicht. Zitieren
LukasB 10 Geschrieben 26. Februar 2010 Melden Geschrieben 26. Februar 2010 Blackberry brauchen kein IMAP, die kommunizieren über den BES. Entourage kann direkt mit Exchange reden, über die Exchange Web Services. (Exchange 2007 vorrausgesetzt) Zitieren
scirocco790 11 Geschrieben 26. Februar 2010 Melden Geschrieben 26. Februar 2010 Pop3 und Imap/S würde ich prüfen obs echt benötigt wird. Laufen die entsprechenden Dienste auf dem Exchange/Frontend überhaupt? Der Port 12xxx wäre zu prüfen für was der gut ist. Zur Not mal mitloggen ob sich auf dem Port was tut, ansonsten dichtmachen. Zitieren
Dy0nisus 10 Geschrieben 26. Februar 2010 Melden Geschrieben 26. Februar 2010 Also ich würde nur die verschlüsselten Varianten nutzen ... also imaps ... Zitieren
Huettenwirt 10 Geschrieben 26. Februar 2010 Autor Melden Geschrieben 26. Februar 2010 Die Blackberrys greifen über instantmail auf den Server zu. Blackberry Enterprise Server läuft nicht... Zitieren
Dukel 460 Geschrieben 26. Februar 2010 Melden Geschrieben 26. Februar 2010 Die Blackberrys greifen über instantmail auf den Server zu. Blackberry Enterprise Server läuft nicht... Wozu hat man dann Blackberries? Zitieren
Huettenwirt 10 Geschrieben 26. Februar 2010 Autor Melden Geschrieben 26. Februar 2010 Weiß ich auch noch nicht... Nächster Step ;-) Zitieren
nerd 28 Geschrieben 26. Februar 2010 Melden Geschrieben 26. Februar 2010 Hi, wenn man einen solchen AUfbau mit der Sicherheitsbrille anschaut, dann sieht das nciht gut aus. Grundsätzlich sollten nämlich keine keine Ports / Dienste direkt von extern nach intern geleitet werden. Entsprechender Datenverkehr sollte immer in einer DMZ proxifizert werden. Nur so erreicht man ein aus Sicherheitssicht vertretbares Level an Schutz. Zitieren
LukasB 10 Geschrieben 26. Februar 2010 Melden Geschrieben 26. Februar 2010 Grundsätzlich sollten nämlich keine keine Ports / Dienste direkt von extern nach intern geleitet werden. Entsprechender Datenverkehr sollte immer in einer DMZ proxifizert werden. Nur so erreicht man ein aus Sicherheitssicht vertretbares Level an Schutz. Im Prinzip Ja, aber. In einem typischen SBS-Setup für 5-10 Nasen wird sowas meist aus Budget-Mangel nicht umgesetzt. Ein DNAT-Szenario entspricht im SBS-Fall auch den gängigen Best Practices. Zitieren
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.