EWS Nutzung über WAN, Sicherheitsprobleme?

[Wolke2k4 11]

Hallo zusammen,

 

ein Kunde fragt an, möchte EWS gern für Anbindung eines Fachverfahrens nutzen. Zugriff soll aus dem Internet via 443 auf den Exchange erfolgen. Wir könnten zwar einen bereits in Benutzung befindlichen Reverse Proxy (Windows Host) hierfür mitnutzen. Aus Sicherheitsgründen wollen wir künftig aber alle Kunden mit RP Lösungen auf VPN only umstellen.

 

Mir gehts jetzt aber speziell noch mal um das EWS: Verstehe ich doch korrekt?:

 

1. EWS wird nicht mehr weiterentwickelt?

2. EWS ist ein Dienst, der wenn aus dem Internet verfügbar gemacht wird, letztlich genauso anfällig gegen Angriffe ist wie OWA und Active Sync?

3. Noch etwas in Bezug auf die Sicherheit was den EWS anbelangt und gegen den Einsatz über Portforwarding WAN zu DMZ (RP) zu LAN spricht?

 

Danke für euer Feedback.

[cj_berlin 1.315]

Moin,

 

Re 1: Schwer zu sagen. Exchange vNext hat außerhalb von Microsoft noch niemand gesehen, und in allen derzeit unterstützten on-premises-Versionen ist EWS die einzige unterstützte API.

Re 2: Definiere "genauso anfällig". Es sind unterschiedliche Anwendungen, die in unterschiedlichen Anwendungspools laufen. Ein Angriff, der auf OWA abzielt, wird bei EWS nicht unbedingt weiterkommen.

Re 3: Wieviele Wochen hast Du Zeit zum Lesen?  Portforwarding sollte heute wirklich ein No-Go sein. Ein Reverse Proxy, der den Traffic nicht bloss durchleichtet, sondern auch analysiert, also praktisch ein Web Application Proxy, ist das Mindestmaß bei Veröffentlichung.

 

Wenn das Fachverfahren im Internet steht, wird dessen Anbieter nicht immer VPN zu den einzelnen Endkunden anbieten können oder wollen.

[Wolke2k4 11]

vor einer Stunde schrieb cj_berlin:

Re 2: Definiere "genauso anfällig".
 

Es ist ein Webdienst, HTTP/HTTPS... der auf einen LAN Server zeigt. Der RP ist aktuell kein WAP, wenngleich wir vorgeschaltet noch eine Firewall haben mit diversen Sicherheitsmechanismen... aber ich sehe es letztlich genauso wie Du: Portforwarding ist ein No-Go und ich für mich oder wir für uns haben die Entscheidung getroffen, dass wir die Kunden von solchen Szenarien entkoppeln werden.

 

Dann wird es halt künftig AS nur mittels VPN Client geben.

[NorbertFe 2.034]

Weil VPN Lösungen ja nie attackiert werden? ;) Ich verstehe den Ansatz dahinter, aber VPN als allein seligmachende Lösung halte ich nicht für tragbar. Aber so hat halt jeder seine Ansichten.

[cj_berlin 1.315]

vor 2 Stunden schrieb Wolke2k4:

Dann wird es halt künftig AS nur mittels VPN Client geben.

Da hast Du bald ganz viele neue Freunde  

[Wolke2k4 11]

@NorbertFe: Ich hatte ja nicht geschrieben, dass ich VPN als unangreifbar betrachte. Mir ist natürlich klar, dass es auch hier Lücken gibt und die haben wir vom Hersteller der von uns eingesetzten Appliances auch schon gesehen und fixen müssen. Aber ich sehe es so: Während ich mit HTTPS via Exchange/Reverse Proxy UND VPN 2 offene Türen in der Firewall habe, die ggf. sogar ganz bis auf den Exchange durchgereicht wird, habe ich mit VPN only nur eine Tür.

Das ist nach meinen Dafürhalten schon ein zwingend zu berücksichtigender Punkt in der Sicherheits und Patcharchtektur.

 

@cj_berlin: Wir haben bereits erste Kunden umgestellt. Der erste Kunde hatte vorher nur Outlook Sync über iCloud Systemsteuerung. Was das für ein Seegen ist, wenn man dann auf AS via VPN geht muss ich Dir ja nicht sagen...

Der zweite Kunde hats auch geschluckt und das Argument mit der Sicherheit zieht auch bzw. muss eben ziehen.

 

Weniger ist eben mehr, ich denke da sind wir uns einig.