Exchange Outlook Web App (OWA) veröffentlichen.

[wznutzer 35]

Guten Abend,

 

aus einem anderen Thread hier ging hervor, dass Exchange OWA die Lösung für ein Problem bei mir sein kann. Dazu muss natürlich OWA extern veröffentlich werden. Mir geht es nicht um eine Step-by-Step Anleitung sondern eher um Meinungen was als, sagen wir, best practice angesehen wird.

 

gegeben (alles W2K12 R2):
- DC, Exchange 2016, RDSH, RDGW mit Azure MFA
- alle verfügbaren CUs, Updates installiert.
- gute, lange, komplexe Passwörter im AD vorhanden

- kleine Umgebung 75 Clients

 

Möglichkeit 1:
Port 443 wird einfach veröffentlicht.
Schmeckt mir irgendwie nicht so ganz.

 

Möglichkeit 2:

Port 443 wird über einen separaten IIS mit aktiviertem Application Request Routing veröffentlicht. So könnte ich z. B. nur /owa und/oder Active-Sync freigeben, aber nicht /ecp. Somit steht aber ein IIS in der Domäne an erster Reihe, wäre aber auch bei Möglichkeit 1 so.

 

Möglichkeit 3:

Veröffentlichung mit der Kombination Web Application Proxy / ADFS. Pre-Auth, URL-Filterung soll alles gehen. Es gibt lt. Doku auch die Möglichkeit abgelaufene Passwörter zu ändern und es kann die Azure MFA für OWA integriert werden.

 

Wie macht ihr das so? Hat jemand das im Einsatz. Der TMG ist ja abgekündigt. In der Theorie hört sich Möglichkeit 3 (WAP/ADFS) am besten an. Allerdings stelle ich mir die Frage warum der Web Application Proxy besser und sicherer authentifizieren kann als der Exchange?

 

Danke und Grüße

[Nobbyaushb 1.471]

Ich habe keinerlei Bauchschmerzen, den Exchange direkt über 443 zu veröffentlichen.

Mache ich bei meinem privaten 2016CU2 auch so.

 

WAP geht auch, ist aber deutlich Mehraufwand.

 

Bei uns in der Firma kann die Firewall die ehem. TMG-Funktionen, (Securepoint) das können mittlerweile auch die Kemp Loadbalancer.

 

;)

bearbeitet 20. September 2016 von Nobbyaushb

[NilsK 2.934]

Moin,

 

in kleineren Umgebungen wie der beschriebenen macht man das heute meist über die Reverse-Proxy-Funktion der Firewall. Die meisten Mittelklasse-Systeme können das. In dem Fall hat man zwar meist keine Vorauthentifizierung, aber immerhin die Trennung. Nur den Port freigeben würde ich nicht.

 

Schönere Lösungen arbeiten mit einem höherwertigen Reverse Proxy. So machen wir das bei größeren Kunden gern mit NetScaler und dessen Authentifizierungsfunktion.

 

Gruß, Nils

[wznutzer 35]

Guten Morgen,

Ich habe keinerlei Bauchschmerzen, den Exchange direkt über 443 zu veröffentlichen.

Inzwischen habe ich gelesen, dass du damit ganz auf Linie von Microsoft ist. Paketfilter aktuelles Windows und Exchange, fertig. Microsoft macht das bei Office 365 auch so.

https://blogs.technet.microsoft.com/exchange/2013/07/17/life-in-a-post-tmg-world-is-it-as-scary-as-you-think/

Mit URL-Filter wäre mir trotzdem wohler, aber in dem Blog heißt es dazu: "Wenn deine 1990er Strategie es so will, mach es halt, notwendig ist es nicht."

 

in kleineren Umgebungen wie der beschriebenen macht man das heute meist über die Reverse-Proxy-Funktion der Firewall. Die meisten Mittelklasse-Systeme können das.

Wenn ich das richtig verstehe, ist die Reverse-Proxy-Funktion eine URL-Filterung. Das würde mir gefallen, auch wenn es in dem MS Blog etwas anders gesehen wird.

 

Der Markt an Security-Systemen ist ja nahezu unüberschaubar. Was setzt ihr den ein? Könnt ihr mir was empfehlen.

Meine Anforderungen wären:

• Netzwerk mit 75 Clients
• Firewall / Packetfilter, Router / Gateway in einem Gerät
• Loadbalancing über 4 - 6 WAN-Leitungen
• Port-Freigabe mit URL-Filterung (Reverse-Proxy :) )
• VLAN-Routing zwischen einzelnen VLANs
• DHCP-Server für verschiedene VLANs bereitstellen
• Möglichkeit ein VPN zwischen zwei Standorten aufzubauen

Die Geräte von Lancom können das (Reverse-Proxy weiß ich nicht genau), deren Interface und Konfiguration finde ich allerdings nicht so gut. Ich glaube Citrix NetScaler sind etwas oversized.

 

Edit:

Die Hersteller der Geräte die ihr einsetzt würden mir reichen.

 

Danke und Grüße

bearbeitet 21. September 2016 von wznutzer

[Dunkelmann 96]

Moin,

 

ich bin wie Nils kein Freund von einfachem Portweiterleitungen.

Es gibt einige Firewalls mit Reverseproxy (Cisco, Fortinet, Sophos usw.). Die machen alle ihren Job, schlagen bei Bedarf Alarm und sperren fragwürdige Hosts.

Nebenbei bieten die Systeme auch Möglichkeiten zum url rewrite/redirect. Damit lassen sich bspw. ver(w)irrte Anwender auf die gewünschte Startseite umleiten.

 

Vorauthentifizierung lässt sich über ADFS und WAP umsetzen.

Mit Server 2016 wird es (vermutlich) auch für RDWeb und RDGW die Möglichkeit zur Vorauthentifizierung und SSO per ADFS/WAP geben.

[monstermania 53]

Die Hersteller der Geräte die ihr einsetzt würden mir reichen.

Moin,

wir hatten bis 2014 die Sophos (Astaro) UTM im Einsatz. Leider war aber das Lizenzsystem von Sophos zum Kotzen! Lizenzierung strikt nach geschützten IP-Adressen. Das wurde uns dann einfach zu teuer. 

Seit 2014 setzten wir einen Securepoint UTM-Cluster ein (Läuft bei uns auf eigener Hardware).

Nach anfänglichen Problemen mit der Auswahl des richtigen DL sind wir inzwischen sehr zufrieden. Die Securepoint UTM läuft sehr stabil und alle unsere Anforderungen sind abgedeckt. Securepoint fährt m.E. ein sehr faires Lizenzmodell (Userlizenzen unabhängig von der Anzahl der vorhandenen Geräte).

 

Gruß

Dirk

[Dukel 454]

Wir haben bei Projekten OWA per Loadbalancer veröffentlicht. Dieser wird eh benötigt und aktuelle Produkte bringen auch Sicherheitsfeatures mit.

[monstermania 53]

Wir haben bei Projekten OWA per Loadbalancer veröffentlicht. Dieser wird eh benötigt und aktuelle Produkte bringen auch Sicherheitsfeatures mit.

...oder aktuelle UTM's bringen auch das Loadbalancing mit... 

[NorbertFe 2.034]

Welche wären das? Abgesehen davon bin ich kein Freund davon, interne Zugriffe extra zur Firewall zu schicken. ;)

[monstermania 53]

Welche wären das? Abgesehen davon bin ich kein Freund davon, interne Zugriffe extra zur Firewall zu schicken. ;)

Bei den Anforderungen ist Load-Balancing von 4-6 WAN-Leitungen aufgeführt. Und sowas können aktuelle UTM's AFAIK  

Wobei der Autor mit ziemlicher Sicherheit das ausgehende Load-Balancing meint.

[wznutzer 35]

Guten Abend,

Leider war aber das Lizenzsystem von Sophos zum Kotzen! Lizenzierung strikt nach geschützten IP-Adressen. Das wurde uns dann einfach zu teuer. 

Ich habe mich nun mit dem Thema beschäftigt. Sophos und Securepoint sind in der Auswahl geblieben. Das Lizenzsystem ist bei den XG-Firewalls meine ich leistungs- und nicht mer von userabhängig. Das hat sich wohl von der SG zur XG Serie geändert. Trotzdem wird es wahrscheinlich eine RC300 von Securepoint werden.

 

 

Bei den Anforderungen ist Load-Balancing von 4-6 WAN-Leitungen aufgeführt. Und sowas können aktuelle UTM's AFAIK  

Wobei der Autor mit ziemlicher Sicherheit das ausgehende Load-Balancing meint.

Ja, ganz genau. Ich muss den initial ausgehenden Traffic über 4 in Zukunft vielleicht auch 6 Leitungen abwickeln.

[NilsK 2.934]

Moin,

 

Wenn ich das richtig verstehe, ist die Reverse-Proxy-Funktion eine URL-Filterung.

 

nein. Ein Reverse Proxy ist ein Reverse Proxy. URL-Filterung kann dort eine Zusatzfunktion sein.

 

https://de.wikipedia.org/wiki/Reverse_Proxy

 

Gruß, Nils

[monstermania 53]

Guten Abend,

Ich habe mich nun mit dem Thema beschäftigt. Sophos und Securepoint sind in der Auswahl geblieben. Das Lizenzsystem ist bei den XG-Firewalls meine ich leistungs- und nicht mer von userabhängig. Das hat sich wohl von der SG zur XG Serie geändert. Trotzdem wird es wahrscheinlich eine RC300 von Securepoint werden.

Nur so als Denkanstoß.

Wir haben uns gegen eine Hardwareappliance von Securepoint entschieden und nutzen Securepoint als VM auf einem seperaten VMWare-Host. Es war deutlich günstiger einen eigenen Server (Dell R320) mit Xeon Quadcore, 8GB RAM, 8 x LAN und SSD incl. Wartungsvertrag zu kaufen als die RC300 von Securepoint zu nehmen. 

Man hätte die Securpoint UTM auch native auf die Dell Hardware installieren können, aber aus Supportgründen wurde uns seitens Securepoint davon abgeraten. Der virtuelle Betrieb der UTM ist dagegen ausdrücklich freigegeben (VMWare oder HyperV).

Und sucht Euch bloß einen kompetenten Partner für die Umsetzung Eurer Anforderungen! Am besten lasst Ihr Euch vorher eine Referenzkundenliste des Partners geben.

Wir sind mit unserem ersten Partner bös auf die Schnauze gefallen!

[testperson 1.677]

Hi,

 

4-6 WAN Leitungen? Wenn ich über sowas stolpere hat das meistens keine sinnvollen Gründe.

Wenn die 4-6 WAN Leitungen entsprechend sinnvolle Gründe haben, solltest du vielleicht auch noch ein Auge auf die HA-Funktionalität werfen und ggfs. über 2 der auserwählten Geräte nachdenken.

 

Gruß

Jan

[wznutzer 35]

Das Lizenzsystem ist bei den XG-Firewalls meine ich leistungs- und nicht mehr userabhängig. Das hat sich wohl von der SG zur XG Serie geändert.

 

Ich muss mich selber korrigieren. Bei der SG zahlt man pauschal für das was die Sophos-Hardware kann, userunabhängig. Die XG ist von Anzahl RAM und Core abhängig. Nur bei der Softwarevariante der SG ist es streng nach IP-Adressen.

Und sucht Euch bloß einen kompetenten Partner für die Umsetzung Eurer Anforderungen!

 

  

Wir sprechen hier wahrscheinlich von unterschiedlichen Dimensionen. Einen Dienstleister würde ich erst gar nicht beauftragen.

4-6 WAN Leitungen? Wenn ich über sowas stolpere hat das meistens keine sinnvollen Gründe.

 

In schlecht versorgten ländlichen Gebieten gibt es diese sinnvollen Gründe.

 

Meine Meinung zur Auswahl hat sich nochmals geändert. Werde doch eine Sophos SG230 nehmen.