5
Sicherheitsbedenken Outlook Anywhere
Hallo zusammen,
ich muss mich als Halbwissender (vielleicht ist es auch noch weniger) mit der IT unserer "Firma" auseinandersetzen, die nach dem letzen Update des Exchangeservers (ich glaube auf 2013) den Zugriff von außerhalb der Domäne stark eingeschränkt haben. Möglich sind zur Zeit nur Active-Sync-Zugriffe, das Webinterface und ein Outlookzugriff über VPN. Da das vorher natürlich ohne VPN ging, habe ich nachgefragt und als Antwort erhalten, dass Microsoft den Support für "Microsoft ForeFront Protection for Exchange" eingestellt habe und deshalb ein Zugriff mit Outlook nur noch über VPN möglich sei.
Nach eigenen Recherchen (so bin ich auch auf diese Forum gestoßen) meine ich heraus gelesen zu haben, dass Microsoft eine Zugriff ohne VPN-Verbindung über Outlook-Anywhere vorsieht. Als ich dies zur Sprache brachte, wurde mir gesagt, Outlook Anywhere würden wegen Sicherheitsbedenken nicht aktiviert, da die Firewall (ISA-Server) nicht Applifikation-Fähig sei (wenn ich das richtig verstanden habe, also den Inhalt der Datenpakete nicht untersuchen kann) und man so eine verwundbare Stelle hätte, über die man von Außen ins interne Netz eindringen könnte.
Nach weiterer Suche im Netz meine ich herausgefunden zu haben, dass man für Outlook Anywhere Port 443 forwarden muss, somit also die Firewall "durchtunnelt". Das würde die Sicherheitsbedenken erklären. Ich meine jetzt aber zusätzlich herausgefunden zu haben, dass man diesen Port auch für OWA freigeben muss. Der WEBaccess ist aber erlaubt bzw. sogar als Mittel der Wahl vorgesehen.
Nun endlich zur Frage: Sind die Sicherhaitsbedenken der IT übertrieben bzw. sogar schizophren, weil Port 443 "offen" ist? Warum ist denn Active-Sync besser?
Vielen Dank schon mal im Voraus
Netco1
ich muss mich als Halbwissender (vielleicht ist es auch noch weniger) mit der IT unserer "Firma" auseinandersetzen, die nach dem letzen Update des Exchangeservers (ich glaube auf 2013) den Zugriff von außerhalb der Domäne stark eingeschränkt haben. Möglich sind zur Zeit nur Active-Sync-Zugriffe, das Webinterface und ein Outlookzugriff über VPN. Da das vorher natürlich ohne VPN ging, habe ich nachgefragt und als Antwort erhalten, dass Microsoft den Support für "Microsoft ForeFront Protection for Exchange" eingestellt habe und deshalb ein Zugriff mit Outlook nur noch über VPN möglich sei.
Nach eigenen Recherchen (so bin ich auch auf diese Forum gestoßen) meine ich heraus gelesen zu haben, dass Microsoft eine Zugriff ohne VPN-Verbindung über Outlook-Anywhere vorsieht. Als ich dies zur Sprache brachte, wurde mir gesagt, Outlook Anywhere würden wegen Sicherheitsbedenken nicht aktiviert, da die Firewall (ISA-Server) nicht Applifikation-Fähig sei (wenn ich das richtig verstanden habe, also den Inhalt der Datenpakete nicht untersuchen kann) und man so eine verwundbare Stelle hätte, über die man von Außen ins interne Netz eindringen könnte.
Nach weiterer Suche im Netz meine ich herausgefunden zu haben, dass man für Outlook Anywhere Port 443 forwarden muss, somit also die Firewall "durchtunnelt". Das würde die Sicherheitsbedenken erklären. Ich meine jetzt aber zusätzlich herausgefunden zu haben, dass man diesen Port auch für OWA freigeben muss. Der WEBaccess ist aber erlaubt bzw. sogar als Mittel der Wahl vorgesehen.
Nun endlich zur Frage: Sind die Sicherhaitsbedenken der IT übertrieben bzw. sogar schizophren, weil Port 443 "offen" ist? Warum ist denn Active-Sync besser?
Vielen Dank schon mal im Voraus
Netco1
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 256500
Url: https://administrator.de/contentid/256500
Printed on: April 24, 2024 at 14:04 o'clock
5 Comments
Latest comment
Hi,
na ja, der Unterschied ist hier, einfach gesagt, dass beim OWA die Verbindung nicht durchgereicht wird. Der ISA fungiert hier als Reverse Proxy. D.h. er nimmt die Anfrage vom externen Client an und baut dann eine neue SSL-Verbindung vom ISA zum Exchange, holt die gewünschten Daten ab, und sendet sie dem Client über dessen externen Verbindung. Der ISA hat also nicht das Problem, dass er nicht in den "Tunnel" reinschauen könnte, weil er hier ja eine Insel zwischem dem externen und internen ist. (Tunnel ist hier nicht ganz korrekt, aber egal)
Beim Anywhere bin ich jetzt nicht ganz sicher. Ich dachte aber bisher, dass das auch nicht direkt durchgeht sondern auch hier vom ISA eine neue SSL-Verbindung nach intern aufgebaut werden muss. Wenn das so sein sollte, dann wäre Anywhere diesbezüglich mit OWA gleichzusetzen. Wenn nein, dann wären die Bedenken nicht ganz unbegründet. Muss ich selbst erstmal nachschauen.
E.
Edit:
Siehe hier:
http://www.msxfaq.de/clients/oaproxy.htm
und hier
http://www.msxfaq.de/clients/oasicherheit.htm
Ich verstehe das so, dass auch beim Anywhere kein direkter Zugriff von Extern auf den Exchange stattfindet.
E.
na ja, der Unterschied ist hier, einfach gesagt, dass beim OWA die Verbindung nicht durchgereicht wird. Der ISA fungiert hier als Reverse Proxy. D.h. er nimmt die Anfrage vom externen Client an und baut dann eine neue SSL-Verbindung vom ISA zum Exchange, holt die gewünschten Daten ab, und sendet sie dem Client über dessen externen Verbindung. Der ISA hat also nicht das Problem, dass er nicht in den "Tunnel" reinschauen könnte, weil er hier ja eine Insel zwischem dem externen und internen ist. (Tunnel ist hier nicht ganz korrekt, aber egal)
Beim Anywhere bin ich jetzt nicht ganz sicher. Ich dachte aber bisher, dass das auch nicht direkt durchgeht sondern auch hier vom ISA eine neue SSL-Verbindung nach intern aufgebaut werden muss. Wenn das so sein sollte, dann wäre Anywhere diesbezüglich mit OWA gleichzusetzen. Wenn nein, dann wären die Bedenken nicht ganz unbegründet. Muss ich selbst erstmal nachschauen.
E.
Edit:
Siehe hier:
http://www.msxfaq.de/clients/oaproxy.htm
und hier
http://www.msxfaq.de/clients/oasicherheit.htm
Ich verstehe das so, dass auch beim Anywhere kein direkter Zugriff von Extern auf den Exchange stattfindet.
E.
Hallo,
ja MS hat Forefront soweit eingestellt.
Den ISA Server aber schon sehr viel länger.
Dafür gibt's aber das als Nachfolger:
http://technet.microsoft.com/de-de/library/dn584113.aspx
Oder nen Squid auf Linux Basis.
Ich finde jetzt die Sicherheitsbedenken nicht übertrieben und die Herangehensweise inkonsequent und es fehlt an Wissen um Probleme besser zu lösen damit der Originalzustand wieder hergestellt werden kann.
ja MS hat Forefront soweit eingestellt.
Den ISA Server aber schon sehr viel länger.
Dafür gibt's aber das als Nachfolger:
http://technet.microsoft.com/de-de/library/dn584113.aspx
Oder nen Squid auf Linux Basis.
Ich finde jetzt die Sicherheitsbedenken nicht übertrieben und die Herangehensweise inkonsequent und es fehlt an Wissen um Probleme besser zu lösen damit der Originalzustand wieder hergestellt werden kann.
Hi.
Schau Dir doch mal http://www.msxfaq.de/clients/oasicherheit.htm an und beachte auch den Hinweis ganz zu Anfang.
Das eigentliche Problem ist meist das Endgerät auf dem die Daten angesehen werden und nicht der Übertragungsweg. Beispiel: Deine IT erlaubt Dir, von Deinem privaten Laptop aus per VPN auf Outlook OWA zuzugreifen. Dazu spielen Sie Dir brav eine VPN-Software auf den Rechner und los geht's. Leider braucht man für OWA-Zugriff aber das Domänenkennwort und der Keylogger, welcher auf Deinem Rechner schlummert (installiert beim privaten Surfen), zeichnet mit Freude dieses Kennwort auf.
Was dann damit passiert, ist nicht mehr in eurer Gewalt. Mit Pech findet sich wirklich jemand, der damit etwas anfangen kann. Zudem könnte der auch alle anderen Daten, die mit dem Laptop angesehen werden, einsehen/screenshotten/kopieren und wegfunken.
Schau Dir doch mal http://www.msxfaq.de/clients/oasicherheit.htm an und beachte auch den Hinweis ganz zu Anfang.
Das eigentliche Problem ist meist das Endgerät auf dem die Daten angesehen werden und nicht der Übertragungsweg. Beispiel: Deine IT erlaubt Dir, von Deinem privaten Laptop aus per VPN auf Outlook OWA zuzugreifen. Dazu spielen Sie Dir brav eine VPN-Software auf den Rechner und los geht's. Leider braucht man für OWA-Zugriff aber das Domänenkennwort und der Keylogger, welcher auf Deinem Rechner schlummert (installiert beim privaten Surfen), zeichnet mit Freude dieses Kennwort auf.
Was dann damit passiert, ist nicht mehr in eurer Gewalt. Mit Pech findet sich wirklich jemand, der damit etwas anfangen kann. Zudem könnte der auch alle anderen Daten, die mit dem Laptop angesehen werden, einsehen/screenshotten/kopieren und wegfunken.
1
Zunächst einmal vielen Dank für die schnelle und kompetente Hilfe. Ich bin zwar nicht sicher, ob ich alles richtig verstanden habe, nehme aber folgendes mit:
Ohne eine passende Firewall ist der Zugriff von außerhalb wohl tatsächlich eine Gefahrenquelle und bleibt es wohl auch mit einer solchen, da man keine "Kontrolle" über die eingesetzten Rechner hat (Passwortschutz, Gruppenrichtlinien etc.).
Was mir nicht so richtig klar geworden ist: Worin liegt sicherheitstechnisch der Unterscheid zwischen einem Zugriff per Active sync und Outlook Anywhere? Wenn der Tipp meiner IT ist, ich solle es doch einfach mit einem MAC probieren, da dort Active Sync unterstützt wird, hängt da ja auch ein System am Exchangeserver, dass man nicht so leicht kontrollieren kann.
Nochmals vielen Dank
Netco1
Ohne eine passende Firewall ist der Zugriff von außerhalb wohl tatsächlich eine Gefahrenquelle und bleibt es wohl auch mit einer solchen, da man keine "Kontrolle" über die eingesetzten Rechner hat (Passwortschutz, Gruppenrichtlinien etc.).
Was mir nicht so richtig klar geworden ist: Worin liegt sicherheitstechnisch der Unterscheid zwischen einem Zugriff per Active sync und Outlook Anywhere? Wenn der Tipp meiner IT ist, ich solle es doch einfach mit einem MAC probieren, da dort Active Sync unterstützt wird, hängt da ja auch ein System am Exchangeserver, dass man nicht so leicht kontrollieren kann.
Nochmals vielen Dank
Netco1
Zitat von @netco1:
Was mir nicht so richtig klar geworden ist: Worin liegt sicherheitstechnisch der Unterscheid zwischen einem Zugriff per Active
sync und Outlook Anywhere? Wenn der Tipp meiner IT ist, ich solle es doch einfach mit einem MAC probieren, da dort Active Sync
unterstützt wird, hängt da ja auch ein System am Exchangeserver, dass man nicht so leicht kontrollieren kann.
Nochmals vielen Dank
Also das ist doch mal ein Toller Tip von der IT, kauf dir doch einfach eine MACWas mir nicht so richtig klar geworden ist: Worin liegt sicherheitstechnisch der Unterscheid zwischen einem Zugriff per Active
sync und Outlook Anywhere? Wenn der Tipp meiner IT ist, ich solle es doch einfach mit einem MAC probieren, da dort Active Sync
unterstützt wird, hängt da ja auch ein System am Exchangeserver, dass man nicht so leicht kontrollieren kann.
Nochmals vielen Dank
