15
Exchange 2007 und BES NICHT in DMZ
Moin Moin,
in einem von mir erfundenem Projekt soll ein Exchange 2007 Server und ein BlackBerry Enterprise-Server Express in ein neues Netzwerk intigriert werden.
Dieses Netzwerk wird duch eine Hybrid-Firewall abgesichert.
Die beiden Server sollen nun nicht in der DMZ stehen sondern direkt in das Intranet integriert werden.
Wie ist dies umsetzbar, bzw. müssen Ports freigegeben werden, die zu akuten Sicherheitslücken führen können (Webmail/OWA soll nicht aktiviert werden)?
Vielen Dank für eure Hilfe.
Cypresshigh
in einem von mir erfundenem Projekt soll ein Exchange 2007 Server und ein BlackBerry Enterprise-Server Express in ein neues Netzwerk intigriert werden.
Dieses Netzwerk wird duch eine Hybrid-Firewall abgesichert.
Die beiden Server sollen nun nicht in der DMZ stehen sondern direkt in das Intranet integriert werden.
Wie ist dies umsetzbar, bzw. müssen Ports freigegeben werden, die zu akuten Sicherheitslücken führen können (Webmail/OWA soll nicht aktiviert werden)?
Vielen Dank für eure Hilfe.
Cypresshigh
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 141231
Url: https://administrator.de/contentid/141231
Printed on: April 19, 2024 at 06:04 o'clock
15 Comments
Latest comment
Hallo,
für das Zustellen der Mails per SMTP muss der Port 35 vom WAN zum Exchange geöffnet werden.
Für den BES muss der Port 3101 von erp.de.blackbarry.net zum BES geöffnet werden.
vG
LS
für das Zustellen der Mails per SMTP muss der Port 35 vom WAN zum Exchange geöffnet werden.
Für den BES muss der Port 3101 von erp.de.blackbarry.net zum BES geöffnet werden.
vG
LS
Zitat von @laster:
Hallo,
für das Zustellen der Mails per SMTP muss der Port 35 vom WAN zum Exchange geöffnet werden.
Für den BES muss der Port 3101 von erp.de.blackbarry.net zum BES geöffnet werden.
vG
LS
Hallo,
für das Zustellen der Mails per SMTP muss der Port 35 vom WAN zum Exchange geöffnet werden.
Für den BES muss der Port 3101 von erp.de.blackbarry.net zum BES geöffnet werden.
vG
LS
du meinst port 25
Super Danke,
wird SMTP für das Empfangen und Versenden von Emails benutzt oder nur für das Zustellen?
Dankeschööön,
Cypresshigh
wird SMTP für das Empfangen und Versenden von Emails benutzt oder nur für das Zustellen?
Dankeschööön,
Cypresshigh
3101 muß aber nicht eingehend geöffnet werden sondern ausgehend, auch wenn das in der BES Doku immer falsch steht. ;)
Was bezeichnest du denn als Zustellen? ;) Dein Exchangeserver bekommt mails von extern per SMTP zugestellt und wird ausgehende Mails natürlich per SMTP an andere SMTP Server zustellen.
Bye
Norbert
Bye
Norbert
Gut die Frage hat sich erledigt :D ... hatte da was im Kopf von wegen Empfangen nutzt er SMTP und für das ins Internet verschicken POP3, oder so - aber das sind wieder nur Hirngespinste ;D
Zum BES nochmal ... sind die Ports nicht normalerweise ausgehend (Lan->Internet) immer geöffnet
Schönen Tag noch,
Cypresshigh
Zum BES nochmal ... sind die Ports nicht normalerweise ausgehend (Lan->Internet) immer geöffnet
Schönen Tag noch,
Cypresshigh
Zitat von @Cypresshigh:
Zum BES nochmal ... sind die Ports nicht normalerweise ausgehend (Lan->Internet) immer geöffnet
Zum BES nochmal ... sind die Ports nicht normalerweise ausgehend (Lan->Internet) immer geöffnet
Ähm, also in den von mir administrierten Netzwerken nicht. ;) Wozu auch?
Bye
Norbert
:D :D
wurd mir so in der Berufsschule beigebracht, dass alle Ports von Innen nach Außen frei sind und nur die von Außen nach Innen gesperrt sind -> wobei deine Methode mit Sicherheit die beste ist :D
wurd mir so in der Berufsschule beigebracht, dass alle Ports von Innen nach Außen frei sind und nur die von Außen nach Innen gesperrt sind -> wobei deine Methode mit Sicherheit die beste ist :D
Zumindest besser/sicherer. ;)
Bye
Norbert
Bye
Norbert
Da hast du recht ;)
... hättet ihr vielleicht noch ein-zwei Gründe warum man einen Exchange /BES-E - Server nicht in einem kleineren Unternehmen in einer DMZ platzieren sollte?
Gruß und einen schönen sonnigen Tag,
Cypresshigh
Ich habe nämlich einfach verplant bei der Planung des Projekts eine DMZ mit einzubeziehen, nun gibt es ja meiner Meinung nach zwei Optionen:
1.
Exchange und BES werden im lokalen Netz eingegliedert, Ports werden auf Firewall für Exchange freigegeben.
-> Potenzielles Sicherheitsrisiko für das lokale Netz
2.
SMTP-Relay und BlackBerry-Router (den Sinn von dem hab ich noch nicht so ganz verstanden) werden in die DMZ eingegliedert.
-> kaum ein Sicherheitsrisiko, da alles über das SMTP-Relay läuft.
Jedoch habe ich keine Ahnung, wie man das SMTP-Relay und dann den Exchange konfigurieren muss. Vielleicht kann mir da ja einer weiter helfen oder eine andere Lösung vorschlagen.
P.S. Wofür wird eigentlich der Port 31010 ausgehend benutzt? Ich dachte immer die Kommunikation zwischen erp.de.blackbarry.net und dem BES geht über verschlüsselte Emails?
Gruß,
Cypresshigh
1.
Exchange und BES werden im lokalen Netz eingegliedert, Ports werden auf Firewall für Exchange freigegeben.
-> Potenzielles Sicherheitsrisiko für das lokale Netz
2.
SMTP-Relay und BlackBerry-Router (den Sinn von dem hab ich noch nicht so ganz verstanden) werden in die DMZ eingegliedert.
-> kaum ein Sicherheitsrisiko, da alles über das SMTP-Relay läuft.
Jedoch habe ich keine Ahnung, wie man das SMTP-Relay und dann den Exchange konfigurieren muss. Vielleicht kann mir da ja einer weiter helfen oder eine andere Lösung vorschlagen.
P.S. Wofür wird eigentlich der Port 31010 ausgehend benutzt? Ich dachte immer die Kommunikation zwischen erp.de.blackbarry.net und dem BES geht über verschlüsselte Emails?
Gruß,
Cypresshigh
Zitat von @Cypresshigh:
Ich habe nämlich einfach verplant bei der Planung des Projekts eine DMZ mit einzubeziehen, nun gibt es ja meiner Meinung nach
zwei Optionen:
1.
Exchange und BES werden im lokalen Netz eingegliedert, Ports werden auf Firewall für Exchange freigegeben.
-> Potenzielles Sicherheitsrisiko für das lokale Netz
Ich habe nämlich einfach verplant bei der Planung des Projekts eine DMZ mit einzubeziehen, nun gibt es ja meiner Meinung nach
zwei Optionen:
1.
Exchange und BES werden im lokalen Netz eingegliedert, Ports werden auf Firewall für Exchange freigegeben.
-> Potenzielles Sicherheitsrisiko für das lokale Netz
Um das einschätzen zu können, müßte man erstmal eure Sicherheitsanforderungen kennen. Nur weil man eine DMZ konfiguriert ist man noch lange nicht automatisch sicher. Und einen Exchangeserver in die DMZ zu stellen ist sowieso keine gute Idee (mal von Exchange Edge abgesehen).
2.
SMTP-Relay und BlackBerry-Router (den Sinn von dem hab ich noch nicht so ganz verstanden) werden in die DMZ eingegliedert.
-> kaum ein Sicherheitsrisiko, da alles über das SMTP-Relay läuft.
SMTP-Relay und BlackBerry-Router (den Sinn von dem hab ich noch nicht so ganz verstanden) werden in die DMZ eingegliedert.
-> kaum ein Sicherheitsrisiko, da alles über das SMTP-Relay läuft.
Zum Blackberry Router kann ich dir nicht viel sagen, da aber die Kommunikation von BES immer intern initiiert wird, sehe ich das eher unkritisch. SMTP Relay/Edge Server ist natürlich eine Variante.
Jedoch habe ich keine Ahnung, wie man das SMTP-Relay und dann den Exchange konfigurieren muss.
Soviel zum Thema DMZ und SIcherheit. ;) Man sollte sich mit der Materie schon auskennen. ;)
Vielleicht kann mir da ja einer weiter helfen oder eine andere Lösung vorschlagen.
Edge oder anderes SMTP Relay ist eher davon abhängig, wieviel du bezahlen willst/kannst und ob dir der Edge Vorteile bringt.
P.S. Wofür wird eigentlich der Port 31010 ausgehend benutzt?
AFAIK werden über den die Mails über RIM zum Handy gepusht. TCP 3101 ;)
Ich dachte immer die Kommunikation zwischen erp.de.blackbarry.net und dem BES geht über verschlüsselte Emails?
Da dachtest du falsch. Die schicken keine verschlüsselten Emails dahin. ;)
Bye
Norbert
Gut soweit schonmal eine Danke das du bei dem guten Wetter antwortest :D
Das Projekt ist ja ein fiktives Projekt, was nur für die Abschlussdokumentation meiner Ausbildung "erfunden" wurde und auch testweise aufgebaut wurde.
Von daher müsste ich nur die Funktionsweise vom SMTP-Relay / EDGE-Server verstehen und nur kurz erläutern wie die Konfiguration funktioniert.
Wie genau funktioniert das denn mit dem EDGE-Server, funktioniert der quasi wie ein SMTP-Relay, bzw. ist der ein vollständiger Ersatz dafür?
Und wie funktioniert dann die Vermitlung zwischen SMTP-Relay/EDGE-Server zum Exchange? Müssen da dann nicht auch Ports vom Intranet freigegeben werden? Oder wie kann ich mir das vorstellen??
Gruß und einen schönen sonnigen 24°C Tag noch,
Cypresshigh
Das Projekt ist ja ein fiktives Projekt, was nur für die Abschlussdokumentation meiner Ausbildung "erfunden" wurde und auch testweise aufgebaut wurde.
Von daher müsste ich nur die Funktionsweise vom SMTP-Relay / EDGE-Server verstehen und nur kurz erläutern wie die Konfiguration funktioniert.
Wie genau funktioniert das denn mit dem EDGE-Server, funktioniert der quasi wie ein SMTP-Relay, bzw. ist der ein vollständiger Ersatz dafür?
Und wie funktioniert dann die Vermitlung zwischen SMTP-Relay/EDGE-Server zum Exchange? Müssen da dann nicht auch Ports vom Intranet freigegeben werden? Oder wie kann ich mir das vorstellen??
Gruß und einen schönen sonnigen 24°C Tag noch,
Cypresshigh
Zitat von @Cypresshigh:
Das Projekt ist ja ein fiktives Projekt, was nur für die Abschlussdokumentation meiner Ausbildung "erfunden" wurde
und auch testweise aufgebaut wurde.
Von daher müsste ich nur die Funktionsweise vom SMTP-Relay / EDGE-Server verstehen und nur kurz erläutern wie die
Konfiguration funktioniert.
Das Projekt ist ja ein fiktives Projekt, was nur für die Abschlussdokumentation meiner Ausbildung "erfunden" wurde
und auch testweise aufgebaut wurde.
Von daher müsste ich nur die Funktionsweise vom SMTP-Relay / EDGE-Server verstehen und nur kurz erläutern wie die
Konfiguration funktioniert.
Das kannst du im Technet nachlesen.
Wie genau funktioniert das denn mit dem EDGE-Server, funktioniert der quasi wie ein SMTP-Relay, bzw. ist der ein
vollständiger Ersatz dafür?
Und wie funktioniert dann die Vermitlung zwischen SMTP-Relay/EDGE-Server zum Exchange? Müssen da dann nicht auch Ports vom
Intranet freigegeben werden? Oder wie kann ich mir das vorstellen??
vollständiger Ersatz dafür?
Und wie funktioniert dann die Vermitlung zwischen SMTP-Relay/EDGE-Server zum Exchange? Müssen da dann nicht auch Ports vom
Intranet freigegeben werden? Oder wie kann ich mir das vorstellen??
Auch das steht im Technet. ;) Da das ja eine Prüfungsarbeit ist, solltest du dir das schon selbst aneignen.
Bye
Norbert
Du hast ja recht ;)
aber kannst du mir vielleicht noch einmal weiterhelfen, diesmal hat meine Kollege ein Problem.
Macht es mehr Sinn ein Modem/Router vor der Firewall zu stellen, oder sollte man eher ein Modem-Firewall-Router Konzept benutzen?
Gruß,
Finn
aber kannst du mir vielleicht noch einmal weiterhelfen, diesmal hat meine Kollege ein Problem.
Macht es mehr Sinn ein Modem/Router vor der Firewall zu stellen, oder sollte man eher ein Modem-Firewall-Router Konzept benutzen?
Gruß,
Finn
