4
Frage zur Sicherheit von OWA 2010 per NAT über Firewall
Guten Abend,
habe heute auf unserer Firewall (Watchguard) NAT für HTTPS eingerichtet, damit von draußen der OWA nutzbar ist:
und zwar so:
Paketfilter HTTPS - Port 443
FROM Any External
TO SNat
danach habe ich eine unserer festen IP ausgewählt, danach die interne IP vom Exchange eingetragen.
Abgespeichert und ausprobiert:
https://(feste-IP)/owa
Der Zugriff funktioniert augenscheinlich einwandfrei:
Nun zu meinen Fragen:
Ist das die normale Vorgehensweise ?
Gibt es Möglichkeiten um die Sicherheit zu erhöhen... mir erscheint die Einrichtung irgendwie zu einfach.
Vielen Dank für Eure Wissenswerte.
Gruß
Tharen
habe heute auf unserer Firewall (Watchguard) NAT für HTTPS eingerichtet, damit von draußen der OWA nutzbar ist:
und zwar so:
Paketfilter HTTPS - Port 443
FROM Any External
TO SNat
danach habe ich eine unserer festen IP ausgewählt, danach die interne IP vom Exchange eingetragen.
Abgespeichert und ausprobiert:
https://(feste-IP)/owa
Der Zugriff funktioniert augenscheinlich einwandfrei:
Nun zu meinen Fragen:
Ist das die normale Vorgehensweise ?
Gibt es Möglichkeiten um die Sicherheit zu erhöhen... mir erscheint die Einrichtung irgendwie zu einfach.
Vielen Dank für Eure Wissenswerte.
Gruß
Tharen
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 184390
Url: https://administrator.de/contentid/184390
Printed on: April 24, 2024 at 07:04 o'clock
4 Comments
Latest comment
Hallo,
sicherer & üblicher ist es, einen Reverse-Proxy zwischenzuschalten - im MS-Umfeld dann meist ein TMG (Threat Management Gateway). Dieser führt die Authentifizierung durch und kontrolliert eingehende HTTP-Anforderungen auf verschiedene Angriffsmöglichkeiten wie Pufferüberläufe in der Anfrage, Adress-Spoofing, DoS etc.
Daneben veröffentlichst du auf die von dir beschriebene Art (Port 443 öffnen) nicht nur OWA sondern auch EWS, ECP, Exchange ActiveSync und Outlook Anywhere (RPC-over-HTTPS), sprich: es ist jedes virtuelle Verzeichnis auf der Website abrufbar. Dann solltest du die Services natürlich auch entsprechend konfigurieren. Bei Verwendung eines TMG werden nur bestimmte Verzeichnisse, und damit auch nur die Services, die man wirklich will, freigegeben.
Gruß
Filipp
sicherer & üblicher ist es, einen Reverse-Proxy zwischenzuschalten - im MS-Umfeld dann meist ein TMG (Threat Management Gateway). Dieser führt die Authentifizierung durch und kontrolliert eingehende HTTP-Anforderungen auf verschiedene Angriffsmöglichkeiten wie Pufferüberläufe in der Anfrage, Adress-Spoofing, DoS etc.
Daneben veröffentlichst du auf die von dir beschriebene Art (Port 443 öffnen) nicht nur OWA sondern auch EWS, ECP, Exchange ActiveSync und Outlook Anywhere (RPC-over-HTTPS), sprich: es ist jedes virtuelle Verzeichnis auf der Website abrufbar. Dann solltest du die Services natürlich auch entsprechend konfigurieren. Bei Verwendung eines TMG werden nur bestimmte Verzeichnisse, und damit auch nur die Services, die man wirklich will, freigegeben.
Gruß
Filipp
Moin Tharen,
was ist normal? Der 5 Mann Betrieb wird OWA über Router freigeben haben.
Wir haben wie Fillip schon geschrieben hat, TMG als RP in der DMZ stehen. Zusätzlich haben wir Vacso im Einsatz. Somit ist OWA nicht mehr mit dem AD Passwort geschützt sondern über einen PIN + OTP. Machen viele Banken, Konzerne so..
Aber was möchtest du schützen? Steht der Sicherheitsaufwand im Verhältnis der Daten?
Wie Nutzer benötigen die OWA Funktion? Grunsätzlich nur die MA freigeben, es benötigen
Wie sehen bei dir Kennwortrichtlinien aus?
Grüße,
Dani
was ist normal? Der 5 Mann Betrieb wird OWA über Router freigeben haben.
Wir haben wie Fillip schon geschrieben hat, TMG als RP in der DMZ stehen. Zusätzlich haben wir Vacso im Einsatz. Somit ist OWA nicht mehr mit dem AD Passwort geschützt sondern über einen PIN + OTP. Machen viele Banken, Konzerne so..
Aber was möchtest du schützen? Steht der Sicherheitsaufwand im Verhältnis der Daten?
Wie Nutzer benötigen die OWA Funktion? Grunsätzlich nur die MA freigeben, es benötigen
Wie sehen bei dir Kennwortrichtlinien aus?
Grüße,
Dani
Hallo Dani, hallo Filipp,
auch noch so spät unterwegs gewesen..
Es sollen vielleicht 4-5 Leute den OWA nutzen. Mehr nicht.
Bisher habe ich das mittels PPTP gemacht, doch mein Cheffe ist grad in Übersee und das PPTP funktioniert nicht ... keine Ahnung warum.
Daher habe ich die Lösung mit dem 443 "schnell" mal eingerichtet, damit er auf seine Mails kommt.
Vielen Dank für Eure Hinweise und den Tip mit TMG. Das arbeite jetzt erst mal durch.
Gruß
Tharen
auch noch so spät unterwegs gewesen..
Es sollen vielleicht 4-5 Leute den OWA nutzen. Mehr nicht.
Bisher habe ich das mittels PPTP gemacht, doch mein Cheffe ist grad in Übersee und das PPTP funktioniert nicht ... keine Ahnung warum.
Daher habe ich die Lösung mit dem 443 "schnell" mal eingerichtet, damit er auf seine Mails kommt.
Vielen Dank für Eure Hinweise und den Tip mit TMG. Das arbeite jetzt erst mal durch.
Gruß
Tharen
Hallo, hast du hier mit der Weile einen Lösungsansatz gefunden?
Ich sitze vor einem ähnlichen Problem und will den Exchange zusätzlich absichern.
Die Watchguard kann ja IPS, Applications Control und den https-Proxy, allerdings bin ich nicht sicher was ich davon nehmen soll oder ggf in welcher Kombination
Ich sitze vor einem ähnlichen Problem und will den Exchange zusätzlich absichern.
Die Watchguard kann ja IPS, Applications Control und den https-Proxy, allerdings bin ich nicht sicher was ich davon nehmen soll oder ggf in welcher Kombination
