Jump to content

SBS2011 Outlook Anywhere Sicherheit


Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Empfohlene Beiträge

Hallo,

 

es wurde der Wunsch laut dass Outlook bei einem SBS2011 auch über das Internet zugreifen kann. Da ich mit Outlook Anywhere noch nicht in Berührung gekommen bin habe ich mir schon einige Sachen dazu angesehen, wobei diese in Sachen Sicherheit etwas auseinandergehen. Mir ist es etwas unbehaglich wenn ich einen Exchange Port direkt von außen verfügbar mache ohne weiteren Prüfmechanismus dazwischen. Vielleicht kann mir ja jemand sagen ob meine Sorge begründet ist oder nicht.

Ich habe z.B. folgendes howto gefunden, dort wird aber nicht darauf eingegangen ob eine weitere Absicherung nötig ist: http://www.frankysweb.de/?p=116

Bei der folgenden Anleitung (allerdings nur bis Exchange 2007) ist wiederum ein ISA Server dabei: http://office.microsoft.com/de-de/outlook-help/verwenden-von-outlook-anywhere-zum-herstellen-einer-verbindung-mit-ihrem-exchange-server-ohne-vpn-HP010102444.aspx

Außerdem bin ich über das Forefront Thread Management Gateway gestolpert, welches aber bereits abgekündigt wurde. Doch da denke ich mir es muss ja eine Daseinsberechtigung für dieses Teil gegeben haben, das schürt wiederum die Zweifel ob ein Direktzugriff wirklich zu empfehlen ist.

Es wäre schön wenn jemand etwas Licht ins Dunkel bringen könnte. Danke schonmal!

 

Gruß, Michi

 

Link zu diesem Kommentar

Moin,

die Exchange-Entwickler sagen mittlerweile folgendes dazu:
http://blogs.technet.com/b/exchange/archive/2013/07/17/life-in-a-post-tmg-world-is-it-as-scary-as-you-think.aspx

 

Meine persönliche Meinung (mir ist aber bewusst, dass man bei IT-Sicherheit eine nach oben hin offene Paranoiditätsgrenze findet):

 

Das Risiko für diesen Fall ist sehr überschaubar. Ein Angreifer müsste nicht nur SSL knacken, er müsste auch noch RPC angreifen, um irgendwelchen Nutzen zu erreichen. Die CAS-Server sind an dieser Stelle nicht für Probleme bekannt und verwerfen schlechtes RPC schnell.

 

Angriff auf OA sind bisher nicht bekannt geworden, auch keine Angriff auf RPC.

 

Speziell für OA war der Nutzen irgendeines Proxies bisher eh sehr begrenzt. Der Angriffsvektor hierbei ist RPC und RPC kann von keinem mir bekannten Proxy (auch vom TMG nicht), wirklich "durchleuchtet" werden.

 

Daher muss man abwägen, ob man wirklich mehr Schutz oder vor allem mehr Komplexität ins Netz bekommt.

Link zu diesem Kommentar

Das wichtigste ist, dass Du in Hinsicht auf die Sicherheitsupdates immer aktuell bist. Sobald Microsoft Patche herausgibt, steigen die Angriff auf genau dieser Lücken. Hacker analysieren die Patche offensichtlich und nutzen sie sofort aus.

 

Die meisten Probleme hierbei hat Windows, bzw. der IIS. Bei Exchange gabe es in den vergangenen Jahren kaum richtiger sicherheitskritische Lücken. Die letzten großen waren von lizenzierten Oracle-Komponenten und da reicht es, das Feature in Exchange einfach abzuschalten.

Link zu diesem Kommentar
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Schreibe einen Kommentar

Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.

Gast
Auf dieses Thema antworten...

×   Du hast formatierten Text eingefügt.   Formatierung jetzt entfernen

  Only 75 emoji are allowed.

×   Dein Link wurde automatisch eingebettet.   Einbetten rückgängig machen und als Link darstellen

×   Dein vorheriger Inhalt wurde wiederhergestellt.   Editor-Fenster leeren

×   Du kannst Bilder nicht direkt einfügen. Lade Bilder hoch oder lade sie von einer URL.

×
×
  • Neu erstellen...