Exchange 2007 HTCAS in "Perimeter Network"

[gardsen 10]

Hallo zusammen,

 

hier steht, dass es nicht supported ist, einen HT / CAS hinter einer Firewall zu betreiben, bzw. den Rollenserver in ein anderes Netzsegment mit einer Firewall zu installieren.

 

Was ist nun aber in dem Fall, in dem der entsprechende Server bidirektional (voll IP) durch die FW mit den Mailboxservern sprechen darf, ist dann noch eine supportete Umgebung vorhanden?

 

Schematisch wäre das so:

 

Segment 1 (Sitename: SITE-1)

Mailbox-Server 1+2, DC1

 

Segment 2 (Sitename: SITE-2)

Hub Transport, Client Access, DC2

 

Edge lasse ich außen vor, das ist in diesem Fall "egal".

 

DC1 und DC2 synchronisieren sich natürlich (keine RODCs) und die Mailbox-Server können mit HT/CAS wie beschrieben kommunizieren.

 

"Darf" man das so?

 

Grüße,

Gardsen

[Nobbyaushb 1.471]

Moin,

 

was man darf ist teilweise Auslegungssache - ich würde NIEMALS eine Maschine in die DMZ - ach heißt ja jetzt Perimeter-Network - stellen, die AD-Member ist.

Ob das was man da gebaut hat, auch supportet ist, ist eine andere Geschichte.

 

Einzig ein Edge wäre sinnvoll, aber der ist auch kein AD Member.

 

Aber warum sowas mit 2007 noch bauen? 2016 ist fast fertig....

 

:cool:

[gardsen 10]

Hey!

 

mit 2007 deshalb, weil der Umstieg auf 2016 mit CALs etc. noch nicht budgetiert ist.

 

Es ist ja keine echte DMZ, deshalb die ". Es ist einfach nur ein anderes FW-Segment, wo auch AD-Memberserver ganz normal drinstehen. Ein Zugriff über WAN ist hier nicht möglich.

 

Die EDGE-Systeme stehen in der DMZ ja.

 

Gruß,

Gardsen

[NorbertFe 2.039]

Nein, da in jeder AD Site, in der ein Mailboxserver steht auch ein CAS/HT stehen muß. Wozu sollte dein Konstrukt auch sinnvoll nutzbar sein? Ausser mehr Konfigurationsaufwand und mehr Fehleranfälligkeiten fallen mir keine "Vorteile" auf. ;)

Kennst du:

http://blogs.msdn.com/b/brad_hughes/archive/2008/05/05/how-not-to-deploy-client-access-servers.aspx

Don't pretend your DMZ/Perimeter network isn't a DMZ/Perimeter Network

 

Bye

Norbert

[gardsen 10]

Das gilt aber "nur" für Exchange '07 oder? Ab höheren Versionen ist doch eine Trennung möglich oder nicht?

 

Nun, der Sicherheitsgedanke steht im Vordergund. Wir haben ein Stern-VPN, wo alle Tunnel und Services in einem Segment terminieren. Die Datenbankserver wollen wir (da besonders schützenswert) in ein Segment "dahinter" heben. Dieses Segment ist nicht aus den Tunneln erreichbar.

 

Dann kann ich das gedanklich abhaken. Danke für die Hilfe!

[NorbertFe 2.039]

Und warum sind die Datenbank schützenswerter als der CAS/HT Server? Der hat sowieso VOLLZUGRIFF auf den Mailboxserver. Also gibt's da keinen Grund den zu separieren. Den Blog hast du doch gelesen, oder? Und ab 2016, würdest du dann wie separieren? :rolleyes: ;)

 

So nochmal zum Thema CAS und DB in unterschiedlichen Sites:

https://technet.microsoft.com/en-us/library/aa996299(v=exchg.141).aspx (Ist zwar für 2010, aber gilt afair auch für 2007)

•Client Access servers provide a connectivity point to the Exchange organization for users who are accessing Exchange remotely. A Client Access server must be deployed in each site that contains Mailbox servers.

Ich denke damit ist deine Frage jetzt abschließend geklärt, oder?

 

Bye

Norbert

bearbeitet 27. Juli 2015 von NorbertFe

[gardsen 10]

Weil in der Datenbank die Daten liegen. Unsere SQL-Server liegen im gleichen Netzsegment, da gehören Sie auch hin. Sollte es tatsächlich mal jemandem gelingen, in das Tunnelnetzwerk einzubrechen, müsste der erstmal auf den HTCAS, der wiederum hat nur die entsprechenden Ports zum Datenbankserver geöffnet.

Das ist einfach eine Sicherheitsbarriere, die zusätzlich eingebaut werden soll und muss.

 

Den Blog habe ich gelesen, ja - getagged ist das aber auf Exchange 2007, daher dachte ich, das gilt auch dafür. Dann müssen wir uns wohl oder übel an das Thema CAS-Proxy ranmachen. Ich war nur davon ausgegangen, dass MS hier vielleicht (ja ab 2016?) dem Kunden überlässt, wo er die Server hinstellt.

Hm. Naja nein, das wirft eher weiterhin die Frage auf:

 

Ich brauche zwingend einen CAS im gleichen Segment / Site für den Mailboxserver. Ok, kann ich machen.

Ich verstehe das aber so, dass ich auch einen CAS ohne Mailboxserver (also genau andersrum) bauen kann, der wiederum geht dann gegen den Mailboxserver...?

 

Jetzt bin ich endgültig verwirrt.

[NorbertFe 2.039]

Wir reden doch über 2007 oder? Hör doch mal auf über den CAS an der Stelle zu reden. Dazu gibt's soviele statements...

Und noch eins

http://blogs.technet.com/b/exchange/archive/2013/02/18/exchange-firewalls-and-support-oh-my.aspx

bearbeitet 27. Juli 2015 von NorbertFe

[gardsen 10]

Ja, (noch, bis zur Umstellung in ca 2? Jahren) Exchange '07. Und nein, genau darum geht es hier doch.

Da sehe ich jetzt (die Seite hatte ich auch schon zu fassen) in "Figure 4" genau die Konfiguration wie sie auch bei uns sein soll. Nur, dass der Hub/Transport noch mit als Rolle auf dem CAS läuft (das ist auch jetzt schon so, ändert aber auch nichts).

Die entsprechende Regel kann man schaffen. Und automatisch habe ich ein deutlich höheres Maß an Sicherheit reingepackt.

 

Für die Clients kann ich dann die in der Zeichnung genannten Ports verwenden und ich habe genau die Lösung.

[NorbertFe 2.039]

Hast du _nicht_ oder wo genauso siehst du die "mehr Sicherheit"?

Die entsprechende Regel kann man schaffen. Und automatisch habe ich ein deutlich höheres Maß an Sicherheit reingepackt.

Aha, und wo genau ist das höhere Maß denn?

 

Bye

Norbert

[gardsen 10]

Mir knackt jemand das Netz auf und landet auf meinem HTCAS, der steht im gleichen Segment wie mein Mailboxserver. Durch meine PaloAlto kann ich jetzt nichts mehr sehen, da die nur Segmentübergreifend arbeitet. Auch ein NetScaler schafft es nicht, mit der AAA-Filterung die ungewollten Änderungen und / oder Angriffe zu erkennen, weil auch hier keine Filterung auf Events möglich ist.

Das ist mehr Sicherheit. Fakt ist, dass das BSI und eigentlich jedes gute Firewallkonzept genau diese Dinge vorgibt, besonders schützenswerte Daten (Mailboxdaten, Mails(!)) nicht in die gleichen Schutzzonen zu packen, wie Zugriffsserver.

 

Steht hier: https://www.bsi.bund.de/DE/Themen/ITGrundschutz/ITGrundschutzKataloge/Inhalt/_content/baust/b01/b01007.html

und hier: https://www.bsi.bund.de/DE/Themen/ITGrundschutz/ITGrundschutzKataloge/Inhalt/_content/baust/b03/b03301.html

bearbeitet 27. Juli 2015 von gardsen

[NorbertFe 2.039]

Mir knackt jemand das Netz auf und landet auf meinem HTCAS, der steht im gleichen Segment wie mein Mailboxserver. Durch meine PaloAlto kann ich jetzt nichts mehr sehen, da die nur Segmentübergreifend arbeitet. Auch ein NetScaler schafft es nicht, mit der AAA-Filterung die ungewollten Änderungen und / oder Angriffe zu erkennen, weil auch hier keine Filterung auf Events möglich ist.

Das ist mehr Sicherheit.

Wenn ich auf deinem CAS stehe, dann bin ich ADMIN auf deinem Exchange auch auf dem Mailboxserver. Und rate mal, wie die sich unterhalten... :rolleyes: Der CAS unterhält sich zwangsläufig auch mit deinen "schützenswerten" DCs.

 

Fakt ist, dass das BSI und eigentlich jedes gute Firewallkonzept genau diese Dinge vorgibt, besonders schützenswerte Daten (Mailboxdaten, Mails(!)) nicht in die gleichen Schutzzonen zu packen.

Dann hör endlich auf, die einzelnen Exchange Rollen als "unterschiedlich schützenswert" zu deklarieren. Dir liegen doch jetzt genügend Hinweise seitens des Herstellers vor, die genau das verneinen. Und das sogar begründen. Wenn du mehr Sicherheit willst (was genau eigentlich?) dann stell nen Reverse Proxy in die DMZ und gut.

 

Steht hier: https://www.bsi.bund.de/DE/Themen/ITGrundschutz/ITGrundschutzKataloge/Inhalt/_content/baust/b01/b01007.html

und hier: https://www.bsi.bund.de/DE/Themen/ITGrundschutz/ITGrundschutzKataloge/Inhalt/_content/baust/b03/b03301.html

Auf was genau beziehst du die Links?

 

Bye

Norbert

 

PS: Wenn du schon mit BSI anfängst, dann solltest du die Technik die du absichern willst auch verstanden haben und die Herstellerhinweise auch ernst nehmen. Wenn dir das egal ist, dann kannst du gern so tun, als wärest du total sicher und kommst vielleicht durchs BSI-AUDIT (was auch immer das auch aussagen wird), hast aber auch keine Sicherheit im eigentlichen gewonnen.

 

PPS: Auf die Frage, wie du das denn bspw. ab Exchange 2016 realisieren würdest, hast du ja leider nicht geantwortet.

bearbeitet 27. Juli 2015 von NorbertFe

[Nobbyaushb 1.471]

@gardsen Dann mach mal, scheinbar hast du ja nichts anderes zu tun, als mehr Komplexität zu erzeugen als notwendig ist.

 

Ein bisschen neurotisch ist ja durchaus ok, aber man kann es durchaus übertreiben.

 

Da du hier schon diverse Produkte genannt hast, die eine kleinere Firma in der Regel aus Kostengründen nicht kauft,

über wieviel User reden wir hier?

 

Ist das eine Entwicklungsabteilung von Rüstungsgütern?

 

:rolleyes:

[gardsen 10]

Schön, dass man hier mal wieder polarisiert. Ich danke Euch für diese Bestätigung. Könnt das Thema zumachen. Ich finde das immer wieder sagenhaft hier...

 

Das hat mit neurotisch nichts zu tun, man sollte nur nicht einfach immer alle Dienste in ein Netzsegment hauen, nur weil's praktisch ist.

 

Wir reden hier über 3000 User und wir haben diese Produkte im Einsatz, sind über weit mehr als 240 Standorte verteilt. Wo es unsicher wird? Genau da.

Ist aber auch egal, ich werde mich anderswo informieren...

[NorbertFe 2.039]

Dann mach mal. Die anderswo dürften dir auch keine weiteren Infos geben. Du hast wie gesagt weiterhin nicht auf die Punkte geantwortet, die ich nannte. Aber deine "paar" User werden es dir danken. Viel Erfolg.

 

Bye

Norbert