stefankittel
May 09, 2018, updated at 09:40:25 (UTC)
view2761
view3
0
Goto Top

Log eines nginx-Reverse-Proxy vor Exchange 2016 OWA oder Active-Sync auswerten

GermanQuestionExchange ServerMicrosoft
Hallo,

ich probiere hier gerade mit einem nginx als Reverse-Proxy vor einem Exchange 2016.
Was ich von MS sehr "schade" finde ist, dass bei einer fehlerhaften Anmeldung kein 401 oder 403 sondern ein 200 zurückliefert.

Mit einem 40x könnt man recht einfach fail2ban verwenden um Zugriffsversuche gleich im Proxy zu blocken.

Frage 1: Kennt Jemand einen Weg um Exchange 2010-2016 dazu zu bewegen einen 40x als Fehler zurückliefern?

Aber im Log wird der URL auf die verwiesen wird steht "reason=2".
IP- - [09/May/2018:08:23:35 +0000] "GET /owa/auth/logon.aspx?url=https%3a%2f%2fTestserver%2fowa%2f%23authRedirect%3dtrue&reason=2 HTTP/1.1" 200 10158 "https://Testserver/owa/auth/logon.aspx?replaceCurrent=1&url=https%3a%2f%2fTestserver%2fowa%2f%23authRedirect%3dtrue" "Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:59.0) Gecko/20100101 Firefox/59.0"

Wenn ich diesem MS Dokument glauben darf, bedeutet ein Reason != 0 einen Fehler beim Zugriff oder der Anmeldung.
Ein Reason=2 ist dann ein "Error: Access is denied.".
Danach könnte ich in den Logs schauen und die IP bei übermäßiger Fehlerzahl blocken.
https://support.microsoft.com/en-us/help/327843/troubleshooting-outlook- ...

Frage 2: Kann das Jemand bestätigen?
Und weiß ob das auch bei Exchange 2010-2016 so ist?

Danke

Stefan
comment-contentCommentShareShare
Share on Facebook Share on Twitter Share on Reddit Share on Linkedin

Content-Key: 373499

Url: https://administrator.de/contentid/373499

Printed on: April 20, 2024 at 02:04 o'clock

3 Comments
Latest comment
Goto Top
Mitglied: 136166
136166 May 09, 2018 updated at 09:09:36 (UTC)
Goto Top
Wenn ich diesem MS Dokument glauben darf, bedeutet ein Reason != 0 einen Fehler beim Zugriff oder der Anmeldung.
Nicht zwingend. "4" wäre z.B. "Ihr Kennwort wurde geändert."
Ein Reason=2 ist dann ein "Error: Access is denied.".
Ja das ist hier richtig, trotzdem würde ich das Portal anders vor sochen Attacken schützen
5 ways to protect Microsoft Exchange/Outlook Web from Brute Force, DoS
Member: StefanKittel
StefanKittel May 09, 2018 updated at 09:40:51 (UTC)
Goto Top
Hallo,

Danke.

1. Strong Passwords and a Lockout Mechanism
But what many people fail to realize is a brute-force attack can quickly turn into a Denial of Service (DoS) attack. Take for example this lockout configuration:
Meine Variente wäre IP gebunden. Ein DoS würde damit nicht passieren.

2. - 5.
Basieren alle auf OWA.
Die meisten Hacker nutzen aber Active-Sync wo sich dies nicht so einfach abbilden lässt.
2FA ist schon schwierig wenn man Emails auf seinem iPhone abrufen will.

Woher weist Du das mit reason=4?

Ja, ich habe OWA oben geschrieben face-smile
Aber gemeint ist OWA, ECP und Active-Sync

Stefan
Mitglied: 136166
136166 May 09, 2018 updated at 09:44:07 (UTC)
Goto Top
Woher weist Du das mit reason=4?
Probiers aus face-smile.
Die meisten Hacker nutzen aber Active-Sync wo sich dies nicht so einfach abbilden lässt.
Doch, mit Client-Zertifikaten!
GermanQuestionExchange ServerMicrosoft
Hotly discussed
gleixnerdCheck of ZFW Firewallgleixnerd - 3 CommentsAlexWishaHow to set up and configure a Linux GRE tunnelAlexWisha - 3 CommentsjstrickerWIREGUARD VPN ON UDM PRO BEHIND FRITZBOX - HANDSHAKE DID NOT COMPLETEjstricker - 3 CommentsDaniEnd of Support dates for Office 2016, 2019 Apps und Productivity ServersDani - 1 Comment