Jump to content

Exchange und ActiveSync


Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Empfohlene Beiträge

Wie gesagt, https://www.mcseboard.de/ms-exchange-forum-80/exchange-activesync-3-186106.html#post1153070 hier steht, was ich wissen wollte. Wenn du keine Lust hast, das hier weiter zu diskutieren lassen wir es einfach. Für dich funktioniert es, also alles bestens.

 

Bye

Norbert

 

Ja aber genau das habe ich dir bereits geschrieben und natürlich habe ich Lust mich mit dir weiter auszutauschen. Weiß eben nur nicht was du noch wissen musst, denn ich habe dir geschrieben was für Software und Hardware eingesetzt wird. Wir haben keine Reverse Gateways im Einsatz wie TMG2010 oder ähnliches.. wir haben lediglich nur eine physikalische DMZ aufgesetzt. Sonicwalls.. mehr eben nicht und die erwähnte Software vom Exchange Active Sync und die IPHONES.

 

Gruß

Link zu diesem Kommentar
Ja aber genau das habe ich dir bereits geschrieben und natürlich habe ich Lust mich mit dir weiter auszutauschen.

 

Nein hast du nicht. Du sprichst die ganze Zeit von DMZ und Mailserver. Was auch immer man sich darunter dann vorstellen soll.

 

Weiß eben nur nicht was du noch wissen musst, denn ich habe dir geschrieben was für Software und Hardware eingesetzt wird.

 

Achso? Abgesehen von Sonicwall hab ich von Software nicht viel gesehen.

 

Wir haben keine Reverse Gateways im Einsatz wie TMG2010 oder ähnliches..

 

OK.

 

wir haben lediglich nur eine physikalische DMZ aufgesetzt. Sonicwalls..

 

OK.

 

mehr eben nicht und die erwähnte Software vom Exchange Active Sync und die IPHONES.

 

Welche erwähnte Software vom Exchange Active Sync? EAS ist integraler BEstandteil der Exchange CAS Rolle seit E2007. Habt ihr jetzt also einen CAS in die DMZ gestellt oder wie?

 

Bye

Norbert

Link zu diesem Kommentar
Nein hast du nicht. Du sprichst die ganze Zeit von DMZ und Mailserver. Was auch immer man sich darunter dann vorstellen soll.

 

 

 

Achso? Abgesehen von Sonicwall hab ich von Software nicht viel gesehen.

 

 

 

OK.

 

 

 

OK.

 

 

 

Welche erwähnte Software vom Exchange Active Sync? EAS ist integraler BEstandteil der Exchange CAS Rolle seit E2007. Habt ihr jetzt also einen CAS in die DMZ gestellt oder wie?

 

Bye

Norbert

 

Naja deshalb meinte ich, dass wir nichts an Software laufen haben bis auf Exchange und EAS. Der Server ist NUR Exchange Server, vorher Gast jetzt physikalisch! Es läuft noch ein Virenscanner auf dem Exchange. Der Server macht sonst nichts, nur Exchange. Dazwischen hängen 2 Sonicwalls, dazu gibts auch nichts mehr zu sagen. In den FWs die entsprechenden Ports weitergeleitet, fertig. Wenn keine Software im Einsatz ist, dann kann ich dir auch keine nennen. Weitere HW ist auch nicht im Einsatz als diese, die ich dir bereits gennant habe.

 

1 Server - Windows Server 2008 R2, Exchange, EAS aktiviert, Virenscanner, Memberserver der domäne.local

2 FWs von Sonicwall

x IPHONES mit Exchange Postfach für die Synchronisation

 

Das wars.

Link zu diesem Kommentar

Na war diese Beschreibung jetzt so schwer? Also demzufolge steht jetzt der exchangeserver in der Dmz und ihr greift von intern in die Dmz und von extern in die Dmz. Abgesehen davon, dass ihr dadurch in meinen Augen das Gegenteil von sicherer geworden seid (der ssl tunnel terminiert nämlich im endeffekt weiterhin auf dem exchange) betreibt ihr zudem eine von ms nicht unterstützte Umgebung (How NOT to Deploy Client Access Servers - BradHugh's WebLog - Site Home - MSDN Blogs). Aber wie gesagt, ihr seid zufrieden und damit hat sich's für mich.

 

Bye

Norbert

Link zu diesem Kommentar
Na war diese Beschreibung jetzt so schwer? Also demzufolge steht jetzt der exchangeserver in der Dmz und ihr greift von intern in die Dmz und von extern in die Dmz. Abgesehen davon, dass ihr dadurch in meinen Augen das Gegenteil von sicherer geworden seid (der ssl tunnel terminiert nämlich im endeffekt weiterhin auf dem exchange) betreibt ihr zudem eine von ms nicht unterstützte Umgebung (How NOT to Deploy Client Access Servers - BradHugh's WebLog - Site Home - MSDN Blogs). Aber wie gesagt, ihr seid zufrieden und damit hat sich's für mich.

 

Bye

Norbert

 

SSL auf den Exchange terminert - nicht schlimm, habe ich weiter oben geschrieben, denn die Mails sind nicht entscheident, sondern die restlichen Server!!

 

Das Not How To werde ich mir mal anschauen, das war mir bisher nicht klar.

 

Gruß

Link zu diesem Kommentar
SSL auf den Exchange terminert - nicht schlimm, habe ich weiter oben geschrieben, denn die Mails sind nicht entscheident, sondern die restlichen Server!!

 

Exchange ist Mitglied deiner internen Domäne nehme ich an. Also ist eure vermeintliche Sicherheit eigentlich genau das: vermeintlich.

 

Das Not How To werde ich mir mal anschauen, das war mir bisher nicht klar.

 

Gruß

 

Das habe ich vermutet.

 

Bye

Norbert

Link zu diesem Kommentar

Ich weiß nicht wie andere Kollegen das sehen, aber:

DMZ - schön und gut, ABER: kein Server/Client in der DMZ sollte Mitglied der Domäne (außer du hast eine eigene DMZ Domäne - möglich ist viel) sein. Denn dadurch ist die Sicherheit geschmälert.

Best Practise - meiner Ansicht nacht - wäre ein TMG (oder ähnliches) der dir das Port 443 zum Exchange hin verwaltet.

Alternativ ist auch ein einfaches Portforwarding in den meisten fällen ausreichend.

 

LG

Stefan

Link zu diesem Kommentar

DMZ - schön und gut, ABER: kein Server/Client in der DMZ sollte Mitglied der Domäne (außer du hast eine eigene DMZ Domäne - möglich ist viel) sein.

 

+1

 

Denn dadurch ist die Sicherheit geschmälert.

 

+1

 

Best Practise - meiner Ansicht nacht - wäre ein TMG (oder ähnliches) der dir das Port 443 zum Exchange hin verwaltet.

 

+1

 

Alternativ ist auch ein einfaches Portforwarding in den meisten fällen ausreichend.

 

-1: Das ist sogar kontraproduktiv, dann lieber den Server als Domänen-Mitglied in die DMZ. Der entscheidende Punkt eines Proxys ist der Conten Layer Filter, also das reinschauen in die Pakete aus Ausfiltern BEVOR es den betreffenden Server erreicht. Wenn in diesem Fall des Portforwarding der Server angegriffen wird, befinde ich mich im INTERNEN Netz, hinter der Firewall. Steht der Server in der DMZ gibt es zwischen dem Server und dem internen Netz eine weitere Hemmschwelle.

 

Ganz allgemein müssen wir uns aber immer vor Augen halten, was wir hier wirklich verhindern: Gelegenheitshacker und Script-Kiddies, die bei Aufwand sich lieber ein neues Ziel suchen. Wäre ich Hacker und wollte unbedingt an die Daten der Firma, würde ich nicht hacken. Dann würde ich einen Admin "kaufen". Das ist aber Ende viel einfacher und billiger. ;)

Link zu diesem Kommentar
Exchange ist Mitglied deiner internen Domäne nehme ich an. Also ist eure vermeintliche Sicherheit eigentlich genau das: vermeintlich.

 

 

 

Das habe ich vermutet.

 

Bye

Norbert

 

Gut, danke für den Tip, mal wieder stehe ich vor einer Tür, die ich noch aufschließen muss.

Dabei war ich mir soooo sicher, dass diese Lösung sehr viel sicherer wäre..

 

Mal abgesehen von der nicht Unterstützen Weise war mein Gedanke folgender:

Sollte jemand über 447 auf den Server gelangen, dann wäre er nur auf dem Exchange, weiter kommt er nicht, da durch die 2. FW abgesichert wird und dahinter befindet sich alles was meiner Meinung nach geschützt sein müsste.

Bei VPN genau das Gleiche. Und natürlich ist Exchange Mitglied, wüsst nicht, dass es auch ohne funktionieren würde.

 

Eine einfache Portweiterleitung wäre für mich "normalerweise" das dümmste was man machen könnte, denn dann wäre ein User über 447 auf der kompletten Maschine ohne weiteren Schutz.. Das muss mir mal jemand erklären.. Ich bin doch durch die DMZ sehr viel mehr abgesichert, meiner Meinung nach aber die ist ja bekanntlich ohnehin daneben.. ;(

 

Genau aus dem Grund haben wir aus einem Gast eine physikalische Maschine gemacht, da für uns Mailserver nicht als kritisch betrachtet wird, eher was sich hinter der 2. FW befindet.

 

Ich muss noch einiges lernen. Vielen Dank schonmal für eure Ratschläge!

 

Gruß

Link zu diesem Kommentar

Wenn Ihr den SBS in der DMZ hat (sowas habe ich ehrlich gesagt noch nie gehört), welche Ports habt Ihr dann geöffnet?

SBS<->Lan alles?

 

Anstatt der 2. Sonicwall (falls die nicht vorhanden war), hättet Ihr euch für ~1500€ eine TMG Appliance kaufen können (Celestix z.b.) und hättet damit das EAS Problem erschlagen. Zusätzlich hättet Ihr eine 2. Firewall gehabt, mit so netten Zusatzfeatures wie Webproxy, Webveröffentlichungen, evtl. Regel passierenden auf AD Usern usw.

 

Dein Konstrukt wird in keinster Weise von Microsoft supportet und du hast nichts an Sicherheit dazugewonnen.

Dein SBS hat alle "wichtigen" Daten (E-Mails und UserAccounts) und steht jetzt in einer "DMZ". Im Endeffekt hast du auch Port 443 auf den Server aufgemacht wo alles wichtige liegt. Die 2. FW hättet Ihr euch sparen können, als Angreifer bin ich doch schon auf dem wichtigsten Server eurer Domäne, wenn ich durch die EAS veröffentlichung durchkomme.

Link zu diesem Kommentar
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Schreibe einen Kommentar

Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.

Gast
Auf dieses Thema antworten...

×   Du hast formatierten Text eingefügt.   Formatierung jetzt entfernen

  Only 75 emoji are allowed.

×   Dein Link wurde automatisch eingebettet.   Einbetten rückgängig machen und als Link darstellen

×   Dein vorheriger Inhalt wurde wiederhergestellt.   Editor-Fenster leeren

×   Du kannst Bilder nicht direkt einfügen. Lade Bilder hoch oder lade sie von einer URL.

×
×
  • Neu erstellen...